Tác giả: Suchintya Dandapat
Ngày phát hành: 26 JAN 2026
Chuyên mục: Announcements, AWS IAM Identity Center, Compliance, Foundational (100), Launch, Security, Identity, & Compliance, Technical How-to
Amazon Web Services (AWS) khuyến nghị sử dụng AWS IAM Identity Center để cung cấp quyền truy cập cho lực lượng lao động của bạn vào các ứng dụng do AWS quản lý—chẳng hạn như Amazon Q Developer—và các tài khoản AWS. Hôm nay, chúng tôi đã công bố IAM Identity Center hỗ trợ IPv6. Để tìm hiểu thêm về những lợi ích của IPv6, hãy truy cập trang sản phẩm IPv6.
Khi bạn bật IAM Identity Center, nó cung cấp một cổng truy cập để người dùng lực lượng lao động truy cập các ứng dụng và tài khoản AWS của họ bằng cách đăng nhập vào cổng truy cập bằng URL hoặc bằng cách sử dụng dấu trang cho URL ứng dụng. Trong cả hai trường hợp, cổng truy cập xử lý xác thực người dùng trước khi cấp quyền truy cập vào các ứng dụng và tài khoản. Việc hỗ trợ cả kết nối IPv4 và IPv6 đến cổng truy cập giúp tạo điều kiện truy cập liền mạch cho các client, chẳng hạn như trình duyệt và ứng dụng, bất kể cấu hình mạng của chúng.
Việc ra mắt hỗ trợ IPv6 trong IAM Identity Center giới thiệu các endpoint dual-stack mới hỗ trợ cả IPv4 và IPv6, để người dùng có thể kết nối bằng client IPv4, IPv6 hoặc dual-stack. Các endpoint IPv4 hiện tại vẫn tiếp tục hoạt động mà không yêu cầu bất kỳ hành động nào. Khả năng dual-stack do Identity Center cung cấp mở rộng sang các ứng dụng được quản lý. Khi người dùng truy cập endpoint dual-stack của ứng dụng, ứng dụng sẽ tự động định tuyến đến endpoint dual-stack của Identity Center để xác thực. Để sử dụng Identity Center từ các client IPv6, bạn phải hướng dẫn lực lượng lao động của mình sử dụng các endpoint dual-stack mới và cập nhật cấu hình trên nhà cung cấp danh tính (IdP) bên ngoài của bạn, nếu bạn sử dụng một.
Trong bài đăng này, chúng tôi sẽ chỉ cho bạn cách cập nhật cấu hình để cho phép các client IPv6 kết nối trực tiếp với các endpoint của IAM Identity Center mà không yêu cầu dịch vụ dịch địa chỉ mạng. Chúng tôi cũng sẽ chỉ cho bạn cách giám sát người dùng đang kết nối đến endpoint nào. Trước khi đi sâu vào chi tiết triển khai, hãy cùng xem xét các giai đoạn chính của quá trình chuyển đổi.
Tổng quan về quá trình chuyển đổi
Để sử dụng IAM Identity Center từ mạng và client IPv6, bạn cần sử dụng các endpoint dual-stack mới. Hình 1 cho thấy quá trình chuyển đổi từ IPv4 sang IPv6 qua các endpoint dual-stack trông như thế nào khi sử dụng Identity Center. Hình minh họa cho thấy:
- Trạng thái trước đó khi các client sử dụng các endpoint IPv4.
- Giai đoạn chuyển đổi, khi các client của bạn sử dụng kết hợp các endpoint IPv4 và dual-stack.
- Sau khi quá trình chuyển đổi hoàn tất, các client của bạn sẽ kết nối với các endpoint dual-stack bằng IPv4 hoặc IPv6 của chúng, tùy thuộc vào sở thích của chúng.
Hình 1: Chuyển đổi từ endpoint chỉ IPv4 sang dual-stack
Điều kiện tiên quyết
Bạn phải có các điều kiện tiên quyết sau để bật quyền truy cập IPv6 cho người dùng và quản trị viên lực lượng lao động của bạn:
- Một phiên bản IAM Identity Center hiện có
- Tường lửa hoặc gateway đã được cập nhật để bao gồm các endpoint dual-stack mới
- Các client và mạng có khả năng IPv6
Làm việc với quản trị viên mạng của bạn để cập nhật cấu hình tường lửa và gateway của bạn, đồng thời xác minh rằng các client của bạn, chẳng hạn như máy tính xách tay hoặc máy tính để bàn, đã sẵn sàng chấp nhận kết nối IPv6. Nếu bạn đã bật kết nối IPv6 cho các dịch vụ AWS khác, bạn có thể đã quen thuộc với những thay đổi này. Tiếp theo, hãy thực hiện hai bước sau.
Bước 1: Cập nhật cấu hình IdP của bạn
Bạn có thể bỏ qua bước này nếu bạn không sử dụng IdP bên ngoài làm nguồn danh tính của mình.
Trong bước này, bạn cập nhật URL Dịch vụ tiêu dùng xác nhận (ACS) từ phiên bản IAM Identity Center của bạn vào cấu hình của IdP cho tính năng đăng nhập một lần và cấu hình SCIM cho việc cấp phép người dùng. Khả năng của IdP của bạn xác định cách bạn cập nhật các URL ACS. Nếu IdP của bạn hỗ trợ nhiều URL ACS, hãy cấu hình cả URL IPv4 và dual-stack để cho phép chuyển đổi linh hoạt. Với cấu hình đó, một số người dùng có thể tiếp tục sử dụng các endpoint chỉ IPv4 trong khi những người khác sử dụng các endpoint dual-stack cho IPv6. Nếu IdP của bạn chỉ hỗ trợ một URL ACS, để sử dụng IPv6, bạn phải cập nhật URL ACS dual-stack mới trong IdP của mình và chuyển đổi tất cả người dùng sang sử dụng các endpoint dual-stack. Nếu bạn không sử dụng IdP bên ngoài, bạn có thể bỏ qua bước này và chuyển sang bước tiếp theo.
Cập nhật cả cấu hình đăng nhập một lần SAML và cấp phép SCIM:
- Cập nhật cài đặt đăng nhập một lần trong IdP của bạn để sử dụng các URL dual-stack mới. Đầu tiên, định vị các URL trong AWS Management Console cho IAM Identity Center.
a. Chọn Settings trong ngăn điều hướng và sau đó chọn Identity source.
b. Chọn Actions và chọn Manage authentication.
c. Trong phần Manage SAML 2.0 authentication, bạn sẽ tìm thấy các URL sau trong Service provider metadata:
* AWS access portal sign-in URL
* IAM Identity Center Assertion Consumer Service (ACS) URL
* IAM Identity Center issuer URL - Nếu IdP của bạn hỗ trợ nhiều URL ACS, hãy thêm URL dual-stack vào cấu hình IdP của bạn cùng với URL IPv4 hiện có. Với cài đặt này, bạn và người dùng của bạn có thể quyết định thời điểm bắt đầu sử dụng các endpoint dual-stack, mà không cần tất cả người dùng trong tổ chức của bạn phải chuyển đổi cùng lúc.
Hình 2: Các URL đăng nhập một lần dual-stack - Nếu IdP của bạn không hỗ trợ nhiều URL ACS, hãy thay thế URL IPv4 hiện có bằng URL dual-stack mới và chuyển đổi lực lượng lao động của bạn chỉ sử dụng các endpoint dual-stack.
- Cập nhật endpoint cấp phép trong IdP của bạn. Chọn Settings trong ngăn điều hướng và trong phần Identity source, chọn Actions và chọn Manage provisioning. Trong phần Automatic provisioning, sao chép SCIM endpoint mới kết thúc bằng
api.aws. Cập nhật URL mới này trong IdP bên ngoài của bạn.
Hình 3: URL endpoint SCIM dual-stack
Bước 2: Định vị và chia sẻ các endpoint dual-stack mới
Tổ chức của bạn cần hai loại URL cho kết nối IPv6. Loại đầu tiên là URL cổng truy cập dual-stack mới mà người dùng lực lượng lao động của bạn sử dụng để truy cập các ứng dụng và tài khoản AWS được gán cho họ. URL cổng truy cập dual-stack có sẵn trong bảng điều khiển IAM Identity Center, được liệt kê là Dual-stack trong Settings summary (bạn có thể cần mở rộng phần Access portal URLs, được hiển thị trong Hình 4).
Hình 4: Định vị các endpoint cổng truy cập dual-stack
URL dual-stack này kết thúc bằng app.aws làm tên miền cấp cao nhất (TLD) của nó. Chia sẻ URL này với lực lượng lao động của bạn và yêu cầu họ sử dụng URL dual-stack này để kết nối qua IPv6. Ví dụ, nếu lực lượng lao động của bạn sử dụng cổng truy cập để truy cập các tài khoản AWS, họ sẽ cần đăng nhập qua URL cổng truy cập dual-stack mới khi sử dụng kết nối IPv6. Thay vào đó, nếu lực lượng lao động của bạn truy cập URL ứng dụng, bạn cần bật URL ứng dụng dual-stack theo hướng dẫn cụ thể của ứng dụng. Để biết thêm thông tin, hãy xem các dịch vụ AWS hỗ trợ IPv6.
Các URL mà quản trị viên sử dụng để quản lý IAM Identity Center là loại URL thứ hai mà tổ chức của bạn cần. Các endpoint dịch vụ dual-stack mới kết thúc bằng api.aws làm TLD của chúng và được liệt kê trong các endpoint dịch vụ Identity Center. Quản trị viên có thể sử dụng các endpoint dịch vụ này để quản lý người dùng và nhóm trong Identity Center, cập nhật quyền truy cập của họ vào các ứng dụng và tài nguyên, và thực hiện các hoạt động quản lý khác. Ví dụ, nếu quản trị viên của bạn sử dụng identitystore.{region}.amazonaws.com để quản lý người dùng và nhóm trong Identity Center, họ nên sử dụng phiên bản dual-stack của cùng một endpoint dịch vụ là identitystore.{region}.api.aws, để họ có thể kết nối với các endpoint dịch vụ bằng client và mạng IPv6.
Nếu người dùng hoặc quản trị viên của bạn sử dụng AWS SDK để truy cập các ứng dụng và tài khoản AWS hoặc quản lý dịch vụ, hãy làm theo các endpoint Dual-stack và FIPS để bật kết nối đến các endpoint dual-stack.
Sau khi hoàn thành hai bước này, lực lượng lao động và quản trị viên của bạn có thể kết nối với IAM Identity Center bằng IPv6. Hãy nhớ rằng, các endpoint này cũng hỗ trợ IPv4, vì vậy các client chưa có khả năng IPv6 vẫn có thể kết nối bằng IPv4.
Giám sát việc sử dụng endpoint dual-stack
Bạn có thể tùy chọn giám sát nhật ký AWS CloudTrail để theo dõi việc sử dụng các endpoint dual-stack. Sự khác biệt chính giữa việc sử dụng endpoint chỉ IPv4 và dual-stack là TLD và xuất hiện trong trường clientProvidedHostHeader. Ví dụ sau đây cho thấy sự khác biệt giữa các sự kiện CloudTrail này cho lệnh gọi API CreateTokenWithIAM.
Endpoint chỉ IPv4
"CloudTrailEvent": { "eventName": "CreateToken", "tlsDetails": { "tlsVersion": "TLSv1.3", "cipherSuite": "TLS_AES_128_GCM_SHA256", "clientProvidedHostHeader": "oidc.us-east-1.amazonaws.com" }}Endpoint dual-stack
"CloudTrailEvent": { "eventName": "CreateToken", "tlsDetails": { "tlsVersion": "TLSv1.3", "cipherSuite": "TLS_AES_128_GCM_SHA256", "clientProvidedHostHeader": "oidc.us-east-1.api.aws" }}Kết luận
IAM Identity Center hiện cho phép các client kết nối qua IPv6 một cách tự nhiên mà không cần cơ sở hạ tầng dịch địa chỉ mạng. Bài đăng này đã chỉ cho bạn cách chuyển đổi tổ chức của mình để sử dụng IPv6 với Identity Center và các ứng dụng tích hợp của nó. Hãy nhớ rằng các endpoint IPv4 hiện có sẽ tiếp tục hoạt động, vì vậy bạn có thể chuyển đổi theo tốc độ của riêng mình. Ngoài ra, bạn không cần thực hiện hành động ngay lập tức. Tuy nhiên, chúng tôi khuyên bạn nên lập kế hoạch chuyển đổi để tận dụng các lợi ích của IPv6 và đáp ứng các yêu cầu tuân thủ. Nếu bạn có câu hỏi, nhận xét hoặc lo ngại, hãy liên hệ AWS Support, hoặc bắt đầu một chủ đề mới trong kênh re:Post của IAM Identity Center.
Nếu bạn có phản hồi về bài đăng này, hãy gửi nhận xét trong phần Comments bên dưới. Nếu bạn có câu hỏi về bài đăng này, hãy liên hệ AWS Support.
Về tác giả
Suchintya Dandapat
Suchintya Dandapat là Giám đốc sản phẩm chính tại AWS, nơi ông hợp tác với các khách hàng doanh nghiệp để giải quyết những thách thức danh tính khó khăn nhất của họ, cho phép các hoạt động an toàn ở quy mô toàn cầu.
AWS Study Group 