AWS: 送信元 IP に基づいて AWS へのアクセスを拒否する - AWS Identity and Access Management

AWS: 送信元 IP に基づいて AWS へのアクセスを拒否する

この例では、次のような IAM ポリシーを作成する方法を示します。 は、リクエストが指定された IP 範囲外のプリンシパルから来た場合、アカウント内のすべての AWS アクションへのアクセスを拒否します。ポリシーは、会社の IP アドレスが指定された範囲内にある場合に有用です。ポリシーでは、プリンシパルの認証情報を使用した AWS サービスからのリクエストは拒否されません。このポリシーは、プログラムによるアクセスおよびコンソールアクセスのアクセス許可を定義します。 このポリシーを使用するには、ポリシー例の斜体プレースホルダーテキストを自分の情報に置き換えます。次に、「ポリシーの作成」または「ポリシーの編集」の手順に従います。

"Effect": "Deny" と同じポリシーステートメントで負の条件を使用する際は注意してください。負の条件を使用すると、ポリシーステートメントで指定されたアクションは、指定されたものを除くすべての条件で明示的に拒否されます。

さらに、このポリシーには、論理 AND になる複数の条件キーが含まれます。このポリシーでは、送信元 IP アドレスが指定範囲で not であり、かつ AWS サービスが呼び出しを行わない場合、すべての AWS アクションが拒否されます。

重要

このポリシーでは、アクションを許可しません。特定のアクションを許可する他のポリシーと組み合わせてこのポリシーを使用します。

他のポリシーでアクションが許可されている場合、プリンシパルは IP アドレス範囲内からリクエストを実行することができます。AWS サービスは、プリンシパルの認証情報を使用してリクエストを実行することもできます。プリンシパルが IP 範囲外からリクエストを実行すると、リクエストは拒否されます。また、プリンシパルが、サービスロールまたはサービスにリンクされたロールを使用してプリンシパルに代わって呼び出しを行うようにサービスをトリガーするアクションを実行した場合も拒否されます。

ポリシーで aws:SourceIp キーが機能しない場合など、aws:SourceIp および aws:ViaAWSService 条件キーの使用の詳細については、AWS グローバル条件コンテキストキー を参照してください。

{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "192.0.2.0/24", "203.0.113.0/24" ] }, "Bool": {"aws:ViaAWSService": "false"} } } }