AWSのIAMユーザーにIP制限をかける場合の注意事項

AWS
この記事は約2分で読めます。
スポンサーリンク

AWS管理コンソールはデフォルトでは全世界からアクセス、ログインができる状態となっています。
セキュリティポリシー上、サーバーへのログインのほかにAWS管理コンソールへのログインもIPアドレスで制限をかけたい場合があると思います。

IAMユーザーへのIP制限のかけ方

ポリシーを作成してユーザーアカウント、もしくはグループに紐付けます。
運用面を考えるとユーザー単位で設定するよりはグループに対して設定を行いグループにユーザーを紐づける方が管理が楽です。
AWS: 送信元 IP に基づいて AWS へのアクセスを拒否する

ポリシーとしては一旦全てのアクセスを禁止し「NotIpAddress」で許可するIPアドレスを追加します。

IP制限をかける場合の注意点

大体はIPを指定するだけで良いのですが、一部の画面にアクセスできない場合があります。
その為に「aws:ViaAWSService」の指定が必要になります。

大体は管理コンソールから直接操作するので送信元IPはアクセスする端末のIPアドレスで問題ありません。
例えば、Secrets Managerのシークレットを参照する場合は裏側で「Secrets Manager」→「KMS」にアクセスして複合化しています。
その為、KMSへの送信元IPが「Secrets Manager」になるので送信元IPが変わりエラーとなります。
「{“aws:ViaAWSService”: “false”}」を設定することによりAWSサービス間の通信を行わないようにします。

AWS グローバル条件コンテキストキー
aws:ViaAWSService
このキーを使用して、AWS サービスがユーザーに代わって別のサービスにリクエストを実行するかどうか確認します。

コメント

タイトルとURLをコピーしました