AWS Identity and Access Management
ユーザーガイド

Amazon EC2: 終了する EC2 インスタンスを IP アドレス範囲に制限する

この例では、次のようなポリシーを作成する方法を示します。 は、アクションを許可することによって EC2 インスタンスを制限しますが、リクエストが指定された IP 範囲外から来た場合は、アクセスを明示的に拒否します。ポリシーは、会社の IP アドレスが指定された範囲内にある場合に有用です。このポリシーでは、AWS API または AWS CLI のみを使用してこのアクションを完了するためのアクセス権限を付与します。このポリシーを使用するには、ポリシー例の赤いテキストを自分の情報に置き換えます。

このポリシーを ec2:TerminateInstances アクション (AmazonEC2FullAccess AWS 管理ポリシーなど) を許可する他のポリシーと組み合わせて使用すると、アクセスは拒否されます。これは、明示的な拒否のステートメントは許可のステートメントより優先されるからです。詳細については、「リクエストの許可または拒否の決定」を参照してください。

重要

aws:SourceIp 条件キーは、ユーザーに代わって呼び出しを実行する AWS CloudFormation などの AWS サービスへのアクセスを拒否します。aws:SourceIp 条件キーの使用に関する詳細については、AWS グローバル条件コンテキストキー を参照してください。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ec2:TerminateInstances"], "Resource": ["*"] }, { "Effect": "Deny", "Action": ["ec2:TerminateInstances"], "Condition": { "NotIpAddress": { "aws:SourceIp": [ "192.0.2.0/24", "203.0.113.0/24" ] } }, "Resource": ["*"] } ] }