AWS: 送信元 IP に基づいて AWS へのアクセスを拒否する - AWS Identity and Access Management

AWS: 送信元 IP に基づいて AWS へのアクセスを拒否する

この例は、指定された IP 範囲外のプリンシパルからリクエストが送信された場合に、アカウント内のすべての AWS アクションへのアクセスを拒否する IAM ポリシーを作成する方法を示しています。ポリシーは、会社の IP アドレスが指定された範囲内にある場合に有用です。ポリシーでは、プリンシパルの認証情報を使用した AWS サービスからのリクエストは拒否されません。このポリシーは、プログラムおよびコンソールアクセスのアクセス許可を定義します。このポリシーを使用するには、サンプルポリシーのイタリック体のプレースホルダーテキストを独自の情報に置き換えます。次に、ポリシーの作成またはポリシーの編集の手順に従います。

"Effect": "Deny" と同じポリシーステートメントで負の条件を使用する際は注意してください。負の条件を使用すると、ポリシーステートメントで指定されたアクションは、指定されたものを除くすべての条件で明示的に拒否されます。

さらに、このポリシーには複数の条件キーその結果、論理的なAND。このポリシーでは、すべてのAWSアクションは、送信元 IP アドレスがnot指定された範囲内ANDがAWSサービスがnot電話をかける。

重要

このポリシーでは、アクションを許可しません。特定のアクションを許可する他のポリシーと組み合わせてこのポリシーを使用します。

他のポリシーでアクションが許可されている場合、プリンシパルは IP アドレス範囲内からリクエストを実行することができます。AWS サービスは、プリンシパルの認証情報を使用してリクエストを実行することもできます。プリンシパルが IP 範囲外からリクエストを実行すると、リクエストは拒否されます。また、プリンシパルがサービスをトリガーするアクションを実行しても、サービスロールまたはサービスにリンクされたロールをクリックして、プリンシパルの代わりに電話をかけることができます。

ポリシーで aws:SourceIp キーが機能しない場合の情報など、aws:ViaAWSService および aws:SourceIp 条件キーの使用の詳細については、「AWS グローバル条件コンテキストキー」を参照してください。

{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "192.0.2.0/24", "203.0.113.0/24" ] }, "Bool": {"aws:ViaAWSService": "false"} } } }