このトピックでは、RAM (Resource Access Management) を使用して、Alibaba Cloudリソースへのアクセスが許可されるIPアドレスを制限する方法について説明します。 これにより、より高いレベルのデータセキュリティが保証されます。
シナリオ
企業が複数のタイプのAlibaba Cloudリソースを購入しました。 リソースには、Elastic Compute Service (ECS) インスタンス、ApsaraDB RDSインスタンス、Server Load Balancer (SLB) インスタンス、およびObject Storage Service (OSS) バケットが含まれます。 サービスとデータのセキュリティを確保するために、指定されたIPアドレスのみがAlibaba Cloudリソースにアクセスできるようにしたいと考えています。
この場合、ビジネス要件に基づいてカスタムポリシーを作成できます。 次に、RAMユーザーを作成し、カスタムポリシーをRAMユーザーにアタッチします。 これにより、RAMユーザーは、カスタムポリシーで指定されたIPアドレスからのみAlibaba Cloudリソースにアクセスできます。
手順
この例では、RAMユーザーはIPアドレス192.0.2.0/24
と203.0.113.2
からのみECSインスタンスにアクセスできます。
管理者権限を持つRAMユーザーとしてカスタムポリシーを作成します。
RAMコンソールにログインし、左側のナビゲーションウィンドウで を選択し、[ポリシーの作成] をクリックします。 [ポリシーの作成] ページで、[ビジュアルエディター] または [JSON] タブをクリックして、カスタムポリシーを作成します。 詳細については、「カスタマイズポリシーの作成」をご参照ください。
次のサンプルコードは、ポリシードキュメントを示しています。
{ "Statement": [ { "Action": "ecs:*", "Effect": "Allow", "Resource": "*", "Condition": { "IpAddress": { "acs:SourceIp":[ "192.0.2.0/24", "203.0.113.2" ] } } } ], "Version": "1" }
説明上記のコードのIPアドレスは参照用です。
acs:SourceIp
要素の値を実際のIPアドレスに変更できます。管理者権限を持つRAMユーザーとしてRAMユーザーを作成します。
左側のナビゲーションウィンドウで、RAMユーザーの作成」をご参照ください。
を選択し、[ユーザーの作成] をクリックしてRAMユーザーを作成します。 アカウントのセキュリティを確保するために、RAMユーザーのコンソールアクセスモードとOpenAPIアクセスモードから1つのアクセスモードのみを選択することを推奨します。 これにより、個人のRAMユーザーはプログラムのRAMユーザーから分離されます。 詳細については、「管理者権限を持つRAMユーザーとして、カスタムポリシーをRAMユーザーにアタッチします。
[ユーザー] ページで、作成したRAMユーザーを見つけ、カスタムポリシーをRAMユーザーにアタッチします。 詳細については、「RAMユーザーへの権限付与」をご参照ください。
RAMユーザーを使用してECSインスタンスにアクセスし、カスタムポリシーが有効かどうかを確認します。
RAMユーザーがカスタムポリシーで指定されたIPアドレス
192.0.2.0/24
および203.0.113.2
からECSインスタンスにアクセスでき、他のIPアドレスからECSインスタンスにアクセスできない場合、カスタムポリシーが有効になります。
よくある質問
ポリシーが有効にならない場合はどうすればよいですか?
ポリシーをRAMユーザーにアタッチした後にポリシーが有効にならない場合、ポリシーで指定されたIPアドレスが正しくない可能性があります。 ポリシーで指定されているリソースがActionTrailで動作するAlibaba Cloudサービスの場合、ActionTrailコンソールで関連イベントを表示します。 イベントの詳細パネルで、RAMユーザーがリクエストを開始したソースIPアドレスを取得します。 次に、ポリシードキュメントのIPアドレスを変更し、ポリシーが再度有効になるかどうかを確認します。
関連ドキュメント
このトピックでは、
allow
ポリシーのIpAddress
要素の値を指定して、指定されたIPアドレスがAlibaba Cloudリソースにアクセスできるようにする方法について説明します。Deny
ポリシーでNotIpAddress
要素の値を指定することもできます。 ポリシーの例の詳細については、「特定のIPアドレスまたはCIDRブロックを使用したAlibaba Cloudリソースへのアクセス」をご参照ください。[効果]
、[アクション]
、[リソース]
、[条件]
などのポリシー要素の詳細については、「ポリシー要素」をご参照ください。ActionTrailコンソールでイベントを表示する方法の詳細については、「イベントクエリ機能を使用してイベントをクエリする」をご参照ください。