IAM ロールを使用して、特定の IP アドレスから AWS マネジメントコンソールへの API 呼び出しを制限する方法を教えてください。

最終更新日: 2021 年 3 月 16 日

特定の IP アドレスに対する AWS API コールへのアクセスを制限したいと考えています。AWS Identity and Access Management (IAM) ロールを使用して、API コールから AWS マネジメントコンソールへのアクセスを制限する方法を教えてください。

簡単な説明

IAM ポリシーの条件要素で aws:SourceIp グローバル条件キーを使用して、特定の IP アドレスからの API 呼び出しを制限できます。ただし、これにより、aws:ViaAWSService グローバル条件を一緒に使用しない限り、ユーザーに代わって呼び出しを行う AWS CloudFormation などの AWS サービスへのアクセスは拒否されます。詳細については、AWS: ソース IP に基づいて AWS へのアクセスを拒否するを参照してください。

たとえば、AWS CloudFormation が Amazon Elastic Compute Cloud (Amazon EC2) を呼び出してインスタンスを停止することを許可する AWS サービスロール があるとします。ターゲットサービス (Amazon EC2) は、発信ユーザーの IP アドレスではなく呼び出しサービス (AWS CloudFormation) の IP アドレスを参照するため、リクエストは拒否されます。IAM ポリシーでは、評価対象の送信元 IP アドレスを送信元サービスからターゲットサービスに渡すことはできません。

解決方法

IAM ユーザーにアタッチされた IAM ポリシーと同じ一連のアクセス許可がアタッチされた IAM ロール を作成します。IAM ユーザーは、リクエストが指定された IP アドレスから送信された場合にのみ、ロール sts:AssumeRole API を引き受けるアクセス許可を持ちます。これは、ユーザーがロールを引き受けようとしたときに実行される aws:SourceIp 制限チェックが原因です。ユーザーが IAM ロールを引き受けると、そのロールにアタッチされた IAM ポリシーのアクセス許可を取得します。ロールにアタッチされた IAM ポリシーは aws:SourceIp 条件キーを使用しないため、AWS のサービスへのアクセスが許可されます。

以下の IAM ポリシーを 作成し、プログラムによるアクセス許可を持つ IAM ユーザー にアタッチします。この IAM ポリシーにより、IAM ユーザーは Bobというロール名で AssumeRole を実行できます。Bob には追加のアクセス許可は必要ありません。IAM ユーザーが Bob ロールを引き受けると、他のすべての必要なアクセス許可が取得されます。

注意:

IAM ユーザーポリシー例

このポリシー例には、アカウントのリソースに対して API コールを実行するアクセス権限があります。

{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::EXAMPLEIAMACCOUNTID:role/Bob"
}
}

IAM ユーザーにアクセス許可を委任する IAM ロール Bob を作成します。IAM ロールの作成 (コンソール) の手順に従います。AWS CLI または API を使用することもできます。

注意:

  • コンソールを使用してロールを作成する場合は、Bob の信頼ポリシーのこの例のようなロールの信頼ポリシーを変更します。AWS CLI の create-role または API の CreateRole を使用すると、信頼関係ポリシードキュメントを update-assume-role-policy ドキュメントパラメータの値として渡すことができます。
  • リクエストは、指定された IP アドレス範囲 103.15.250.0/24 または 12.148.72.0/23 から送信されている必要があります。そうでないと、IAM ユーザーはロールを引き受け、API コールを実行することができなくなります。

IAM ロールの信頼ポリシー例

この信頼ポリシー例では、リクエスト元の IP アドレス範囲が 103.15.250.0/24 または 12.148.72.0/23 である場合に、ロールを引き受けることをユーザーに許可します。

注意: YOURIAMUSERNAME を IAM ユーザー名に置き換えます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:user/YOURIAMUSERNAME"
      },
      "Action": "sts:AssumeRole"
    },
    {
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:user/YOURIAMUSERNAME"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "NotIpAddress": {
          "aws:SourceIp": [
            "103.15.250.0/24",
            "12.148.72.0/23"
          ]
        }
      }
    }
  ]
}

注意: アクションは IAM ユーザーではなく、ユーザーが引き受けた IAM ロールによって実行されるため、この回避策は AWS CloudTrail ログを中断します。IAM ユーザーによって実行される assumeRole API 呼び出しは、IAM ユーザーの下の CloudTrail ログに記録されます。IAM ロールによって実行される追加の API 呼び出しは、ロール名の下の CloudTrail ログに記録されます。


この記事は役に立ちましたか?


請求に関するサポートまたは技術的なサポートが必要ですか?