AWS管理コンソールにIP制限をかける

2101 ワード

AWS AWS テキストリンク

AWS管理のセキュリティの向上

AWSの管理コンソールに対して社内IPからの制限をかけることにした。これによりAccessKey/SecretKeyが万が一漏れても社内IPからしか接続できないためセキュリティの向上を行うことができる。
ただし、デメリットもあり会社が入っている建物が定期点検のためにルータを落としたりする場合は一切接続ができなくなってしまうのでいくつかのアカウントはIP制限をしないようにする必要がある。

グループに適用する

一つ一つのユーザに対してポリシーをアタッチするのはナンセンスなためグループを作成してそのグループに所属したメンバーはIP制限が適用されるようにする。

ポリシーの作成

以下のポリシーを作成する。 aws:SourceIpで許可するIPを記載する。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AdministratorAccess",
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        },
        {
            "Sid": "SourceIPRestriction",
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "111.222.333.444/32",
                        "1.111.222.333",
                        "2.111.222.333"
                    ]
                }
            }
        }
    ]
}

ロールの作成

適用なロールを作って上記で作成したポリシーを適用する。

グループの作成

グループを作成してロールを適用する。

メンバーを参加

メンバーをグループに参加させる。

確認してみる

AWSの管理コンソールに対してかけたIP以外からログインしてみるとログイン後、以下のようなAPIエラーが出る。

次にAWS CLIでS3コマンドを叩いてみる

# aws s3 ls
An error occurred (AccessDenied) when calling the ListBuckets operation: Access Denied

次に社内からアクセスすると上記のようなエラーが出ないことを確認できた。

Author And Source

この問題について(AWS管理コンソールにIP制限をかける), 我々は、より多くの情報をここで見つけました https://qiita.com/Macaron_Suke/items/4dd131803fdb1a76cb60

著者帰属：元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。

Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .

ファイルアップロード&脆弱性の解析