AWS リージョン、ソース IP アドレス、または Amazon VPC に基づいて AWS リソースへのアクセスを制限するにはどうすればよいですか?
AWS リージョン、ソース IP アドレス、または Amazon Virtual Private Cloud (Amazon VPC) に基づいて AWS リソースへのアクセスを制限したいと考えています。
簡単な説明
AWS Identity and Access Management (IAM) アイデンティティベースのポリシーと Amazon Simple Storage Service (Amazon S3) バケットポリシーを使用して、AWS リソースに対するアクセスを拒否または制御できます。リソースへのアクセス元である AWS リージョン、ソース IP、VPC などの条件に基づいて、AWS リソースに対するアクセスを拒否または制御できます。
解決方法
リクエストされた AWS リージョンに基づいて AWS リソースへのアクセスを拒否する
指定されたリージョン外のすべてのアクションへのアクセスを拒否する IAM aws:RequestedRegion 条件キーを使用してアイデンティティベースのポリシーを作成します。
IAM ポリシーの例と詳細については、「リクエストされたリージョンに基づいて、AWS へのアクセスを拒否する」を参照してください。
ソース IP アドレスに基づいて AWS リソースへのアクセスを拒否する
指定された IP アドレス範囲外のすべてのアクションへのアクセスを拒否する IAM aws:SourceIp および aws:ViaAWSService 条件キーを使用してアイデンティティベースのポリシーを作成します。パブリック IP アドレスまたはパブリック IP 範囲のみがサポートされます。
注: aws:SourceIp 条件キーは、Amazon VPC エンドポイントを使用するリクエストを除き、常にリクエストに含まれます。
IAM ポリシーの例と詳細については、「Deny access based on the source IP address range」(送信元 IP 範囲に基づいてアクセスを拒否する) を参照してください。
Amazon S3 バケットポリシーを使用して Amazon VPC からのアクセスを制御する
IAM aws:SourceVpce 条件キーを使用して Amazon S3 バケットポリシーを作成し、特定の Amazon VPC エンドポイントからのバケットへのアクセスを制限します。IAM aws:SourceVpc 条件キーを使用して Amazon S3 バケットポリシーを作成して、特定の Amazon VPC からのバケットへのアクセスを制限することもできます。
IAM ポリシーの例と詳細については、「バケットポリシーを使用した VPC エンドポイントからのアクセスコントロール」を参照してください。
注: aws:SourceVpc または aws:SourceVpce 条件キーは、リクエスタが VPC エンドポイントを使用してリクエストを行う場合にのみ含まれます。
関連情報
