AWS リージョン、ソース IP アドレス、または Amazon VPC に基づいて AWS リソースへのアクセスを制限する方法を教えてください。
AWS リージョン、ソース IP アドレス、または Amazon Virtual Private Cloud (Amazon VPC) に基づいて AWS リソースへのアクセスを制限したいです。
簡単な説明
Amazon Simple Storage Service (Amazon S3) の ID ベースのポリシーと Amazon Simple Storage Service (Amazon S3) のバケットポリシーを使用して、AWS リソースへのアクセスを拒否または制御します。リソースへのアクセス元の AWS リージョン、ソース IP、VPC のいずれかに基づいて、AWS リソースへのアクセスを制御できます。
解決策
リクエストされた AWS リージョンに基づいて AWS リソースへのアクセスを拒否する
IAM の aws:RequestedRegion 条件キーを使用して、指定されたリージョン外のすべてのアクションへのアクセスを拒否する ID ベースのポリシーを作成します。
詳細については、「AWS: リクエストされたリージョンに基づいて、AWS へのアクセスを拒否する」を参照してください。
ソース IP アドレスに基づいて AWS リソースへのアクセスを拒否する
条件キー aws:SourceIp および aws:ViaAWSService を使用して、指定した IP アドレス範囲外のすべてのアクションへのアクセスを拒否する ID ベースのポリシーを作成します。パブリック IP アドレスまたはパブリック IP 範囲のみがサポートされています。
注: aws:SourceIp 条件キーは、Amazon VPC エンドポイントを使用するリクエストを除き、常にリクエストに含まれます。
IAM ポリシーの例と詳細については、「AWS: ソース IP に基づいて AWS へのアクセスを拒否する」を参照してください。
Amazon S3 バケットポリシーを使用して Amazon VPC からのアクセスを制御する
aws:SourceVpce 条件キーを使用して Amazon S3 バケットポリシーを作成すると、特定の Amazon VPC エンドポイントからのバケットへのアクセスを制限できます。IAM の aws:SourceVpc 条件キーを使用して Amazon S3 バケットポリシーを作成することで、特定の Amazon VPC からのバケットへのアクセスを制限することもできます。
詳細については、「バケットポリシーで VPC エンドポイントからのアクセスを制御する」を参照してください。
注: 条件キー aws:SourceVpc または aws:SourceVpce は、リクエスト元が VPC エンドポイントを使用してリクエストする場合にのみ含まれます。
関連情報
関連するコンテンツ
- 質問済み 10ヶ月前
- AWS公式更新しました 2年前
