AWS: 送信元 IP に基づいて AWS へのアクセスを拒否する - AWS Identity and Access Management

AWS: 送信元 IP に基づいて AWS へのアクセスを拒否する

この例は、指定した IP 範囲外のプリンシパルからリクエストが送信された場合に、アカウントのすべての AWS のアクションへのアクセスを拒否する ID ベースポリシーを作成する方法を示しています。ポリシーは、会社の IP アドレスが指定された範囲内にある場合に有用です。この例では、リクエストは、CIDR 範囲 192.0.2.0/24 または 203.0.113.0/24 以外からでない限り拒否されます。ポリシーでは、オリジナルリクエスタ―の IP アドレスが保持されるため、転送アクセスセッション を使用した AWS サービスからのリクエストは拒否されません。

"Effect": "Deny" と同じポリシーステートメントで負の条件を使用する際は注意してください。負の条件を使用すると、ポリシーステートメントで指定されたアクションは、指定されたものを除くすべての条件で明示的に拒否されます。

重要

このポリシーでは、アクションを許可しません。特定のアクションを許可する他のポリシーと組み合わせてこのポリシーを使用します。

他のポリシーでアクションが許可されている場合、プリンシパルは IP アドレス範囲内からリクエストを実行することができます。AWS サービスは、プリンシパルの認証情報を使用してリクエストを実行することもできます。プリンシパルが IP 範囲外からリクエストを実行すると、リクエストは拒否されます。

ポリシーで aws:SourceIp キーが機能しない場合の情報など、aws:SourceIp 条件キーの使用の詳細については、「AWS グローバル条件コンテキストキー」を参照してください。

{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "192.0.2.0/24", "203.0.113.0/24" ] } } } }