AWS管理コンソールはデフォルトでは全世界からアクセス、ログインができる状態となっています。
セキュリティポリシー上、サーバーへのログインのほかにAWS管理コンソールへのログインもIPアドレスで制限をかけたい場合があると思います。
IAMユーザーへのIP制限のかけ方
ポリシーを作成してユーザーアカウント、もしくはグループに紐付けます。
運用面を考えるとユーザー単位で設定するよりはグループに対して設定を行いグループにユーザーを紐づける方が管理が楽です。
AWS: 送信元 IP に基づいて AWS へのアクセスを拒否する
ポリシーとしては一旦全てのアクセスを禁止し「NotIpAddress」で許可するIPアドレスを追加します。
IP制限をかける場合の注意点
大体はIPを指定するだけで良いのですが、一部の画面にアクセスできない場合があります。
その為に「aws:ViaAWSService」の指定が必要になります。
大体は管理コンソールから直接操作するので送信元IPはアクセスする端末のIPアドレスで問題ありません。
例えば、Secrets Managerのシークレットを参照する場合は裏側で「Secrets Manager」→「KMS」にアクセスして複合化しています。
その為、KMSへの送信元IPが「Secrets Manager」になるので送信元IPが変わりエラーとなります。
「{“aws:ViaAWSService”: “false”}」を設定することによりAWSサービス間の通信を行わないようにします。
AWS グローバル条件コンテキストキー
aws:ViaAWSService
このキーを使用して、AWS サービスがユーザーに代わって別のサービスにリクエストを実行するかどうか確認します。
コメント