Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Kontrol akses API dengan kebijakan IAM
<a name="ip-access"></a>

Jika Anda menggunakan kebijakan IAM untuk mengontrol akses Layanan AWS berdasarkan alamat IP, Anda mungkin perlu memperbarui kebijakan Anda untuk menyertakan rentang IPv6 alamat. Panduan ini menjelaskan perbedaan antara IPv4 dan IPv6 dan menjelaskan cara memperbarui kebijakan IAM Anda untuk mendukung kedua protokol. Menerapkan perubahan ini membantu Anda mempertahankan akses aman ke AWS sumber daya Anda sambil mendukung IPv6.

## Apa itu IPv6?
<a name="what-is-ipv6"></a>

IPv6 adalah standar IP generasi berikutnya yang dimaksudkan untuk akhirnya menggantikan IPv4. Versi sebelumnya, IPv4, menggunakan skema pengalamatan 32-bit untuk mendukung 4,3 miliar perangkat. IPv6 Sebaliknya menggunakan pengalamatan 128-bit untuk mendukung sekitar 340 triliun triliun triliun (atau 2 hingga daya 128) perangkat. 

Untuk informasi selengkapnya, lihat [ IPv6halaman web VPC](https://aws.amazon.com/vpc/ipv6/).

Ini adalah contoh IPv6 alamat:

```
2001:cdba:0000:0000:0000:0000:3257:9652 # This is a full, unabbreviated IPv6 address.
2001:cdba:0:0:0:0:3257:9652             # The same address with leading zeros in each group omitted
2001:cdba::3257:965                     # A compressed version of the same address.
```

## Kebijakan dual-stack (IPv4 dan) IAM IPv6
<a name="ipv6-access"></a>

Anda dapat menggunakan kebijakan IAM untuk mengontrol akses ke Secrets Manager APIs dan mencegah alamat IP di luar rentang yang dikonfigurasi mengakses Secrets Manager. APIs

*Secretsmanager. \$1region\$1 .amazonaws.com* titik akhir dual-stack untuk Secrets Manager mendukung keduanya dan. APIs IPv6 IPv4

Jika Anda perlu mendukung keduanya IPv4 dan IPv6, perbarui kebijakan pemfilteran alamat IP Anda untuk menangani IPv6 alamat. Jika tidak, Anda mungkin tidak dapat terhubung ke Secrets Manager IPv6.

### Siapa yang harus melakukan perubahan ini?
<a name="customers-impacted"></a>

Perubahan ini memengaruhi Anda jika Anda menggunakan pengalamatan ganda dengan kebijakan yang berisi`aws:sourceIp`. *Pengalamatan ganda* berarti bahwa jaringan mendukung keduanya IPv4 dan IPv6. 

Jika Anda menggunakan pengalamatan ganda, perbarui kebijakan IAM Anda yang saat ini menggunakan alamat IPv4 format untuk menyertakan alamat IPv6 format.

### Siapa yang seharusnya tidak melakukan perubahan ini?
<a name="customers-not-impacted"></a>

Perubahan ini tidak memengaruhi Anda jika Anda *hanya* menggunakan IPv4 jaringan.

## Menambahkan IPv6 ke kebijakan IAM
<a name="updating-for-ipv6"></a>

Kebijakan IAM menggunakan tombol `aws:SourceIp` kondisi untuk mengontrol akses dari alamat IP tertentu. Jika jaringan Anda menggunakan pengalamatan ganda (IPv4 dan IPv6), perbarui kebijakan IAM Anda untuk menyertakan rentang IPv6 alamat.

Dalam `Condition` elemen kebijakan Anda, gunakan `NotIpAddress` operator `IpAddress` dan untuk kondisi alamat IP. Jangan gunakan operator string, karena mereka tidak dapat menangani berbagai format IPv6 alamat yang valid.

Contoh-contoh ini digunakan`aws:SourceIp`. Untuk VPCs, gunakan `aws:VpcSourceIp` sebagai gantinya.

Berikut ini adalah [Menolak akses AWS berdasarkan kebijakan referensi IP sumber](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html) dari *Panduan Pengguna IAM*. `NotIpAddress`Dalam `Condition` elemen untuk daftar dua rentang IPv4 alamat, `192.0.2.0/24` dan`203.0.113.0/24`, yang akan ditolak akses ke API.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "aws:SourceIp": [
                    "192.0.2.0/24",
                    "203.0.113.0/24"
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
    }
}
```

------

Untuk memperbarui kebijakan ini, ubah `Condition` elemen untuk menyertakan rentang IPv6 alamat `2001:DB8:1234:5678::/64` dan`2001:cdba:3257:8593::/64`.

**catatan**  
Jangan hapus IPv4 alamat yang ada. Mereka diperlukan untuk kompatibilitas mundur.

```
"Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24", <<DO NOT REMOVE existing IPv4 address>>
                        "203.0.113.0/24", <<DO NOT REMOVE existing IPv4 address>>
                        "2001:DB8:1234:5678::/64", <<New IPv6 IP address>>
                        "2001:cdba:3257:8593::/64" <<New IPv6 IP address>>
                    ]
                },
                "Bool": {
                    "aws:ViaAWSService": "false"
                }
            }
```

Untuk memperbarui kebijakan ini untuk VPC, gunakan `aws:VpcSourceIp` sebagai pengganti: `aws:SourceIp`

```
"Condition": {
                "NotIpAddress": {
                    "aws:VpcSourceIp": [
                        "10.0.2.0/24", <<DO NOT REMOVE existing IPv4 address>>
                        "10.0.113.0/24", <<DO NOT REMOVE existing IPv4 address>>
                        "fc00:DB8:1234:5678::/64", <<New IPv6 IP address>>
                        "fc00:cdba:3257:8593::/64" <<New IPv6 IP address>>
                    ]
                },
                "Bool": {
                    "aws:ViaAWSService": "false"
                }
            }
```

## Memverifikasi dukungan klien Anda IPv6
<a name="testing-connection"></a>

Jika Anda menggunakan *secretsmanager. Titik akhir \$1region\$1 .amazonaws.com*, verifikasi bahwa Anda dapat terhubung dengannya. Langkah-langkah berikut menjelaskan cara melakukan verifikasi. 

**Contoh ini menggunakan Linux dan curl versi 8.6.0 dan menggunakan [AWS Secrets Manager layanan](https://docs.aws.amazon.com/general/latest/gr/secretsmanager.html) yang telah IPv6 mengaktifkan titik akhir yang terletak di titik akhir amazonaws.com.** 

**catatan**  
**Secretsmanager. \$1region\$1 .amazonaws.com berbeda dari konvensi penamaan** dual-stack yang [khas](https://docs.aws.amazon.com/general/latest/gr/rande.html#dual-stack-endpoints). Untuk daftar lengkap titik akhir Secrets Manager, lihat[AWS Secrets Manager titik akhir](asm_access.md#endpoints).  
Ubah Wilayah AWS ke Wilayah yang sama di mana layanan Anda berada. Dalam contoh ini, kita menggunakan US East (N. Virginia) — `us-east-1` endpoint.

1. Tentukan apakah titik akhir diselesaikan dengan IPv6 alamat menggunakan perintah berikut. `dig` 

   ```
   $ dig +short AAAA secretsmanager.us-east-1.amazonaws.com 
   
   > 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
   ```

1. Tentukan apakah jaringan klien dapat membuat IPv6 koneksi menggunakan `curl` perintah berikut. Kode respons 404 berarti koneksi berhasil, sedangkan kode respons 0 berarti koneksi gagal.

   ```
   $ curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://secretsmanager.us-east-1.amazonaws.com 
   
   > remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
   > response code: 404
   ```

Jika IP jarak jauh diidentifikasi **dan** kode respons tidak`0`, koneksi jaringan berhasil dibuat ke titik akhir menggunakan IPv6. IP jarak jauh harus menjadi IPv6 alamat karena sistem operasi harus memilih protokol yang valid untuk klien.

Jika IP jarak jauh kosong atau kode responsnya`0`, jaringan klien atau jalur jaringan ke titik akhir adalah IPv4 -only. Anda dapat memverifikasi konfigurasi ini dengan `curl` perintah berikut. 

```
$ curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://secretsmanager.us-east-1.amazonaws.com 

> remote ip: 3.123.154.250
> response code: 404
```