はじめに
Alibaba Cloudの運用小ネタシリーズ 4つ目の投稿になります。
今までは、下記の運用小ネタをご紹介させていただきました。
① [運用小ネタ] RAMとECSのTag機能でECSインスタンスを保護する
② [運用子ネタ]「もう勘弁してよ、このECSインスタンを作ったのはだれ ?」と悩んでいる方へ
③ [運用小ネタ]RAMのパスワード再入力回数を設定して、アカウントロックを試してみる
今回はRAMユーザーのIP制限の話になります。
Alibaba Cloud上のシステムを運用する際に、Alibaba CloudへのアクセスをIPベースで制限したい場合があります。今まではRAMポリシーのConditionで制限する方法しかなかったですが、つい先日RAMユーザーのセキュリティを設定するだけで、Alibaba Cloud管理コンソールへのアクセスをIPアドレスのホワイトリストで制限できるようになりましたので、それぞれのやり方及び注意点をご紹介したいと思います。
RAMポリシーの適応条件(Conditon)で制限する方法
ConditonでIPを制限する場合、公式ページの【ポリシーの例】のようなConditonをRAMポリシーに追加して、そのポリシーをRAMユーザーに付与すればいいです。
※ Conditonの条件キーワード acs:SourceIpを利用
{
"Version": "1",
. . .
. . .
"Condition": {
"IpAddress": {
"acs:SourceIp": ["42.120.88.10", "42.120.66.0/24"]
}
}
注意点
1: 該当ポリシーが適応されたRAMユーザーでの管理コンソール画面へのログオンは止められません。
※ ログオン後、詳細なデータ(ECSインスタンスの数とか)が表示されないようになっている
※ そのRAMユーザーのAccessKeyを利用する場合は、API実行自体ができてしまいますが、データは取得できないようになっています。
2: acs:SourceIpの値が特定のIPアドレス(サブネットマスク /32)の場合, IPの最後に /32 を書いたら識別できなくなります。
RAMユーザーのセキュリティの設定で制限する方法
つい最近リリースされた便利な機能で、RAMユーザーのセキュリティを設定するだけで、管理コンソール画面へのログオンできるIPを制限できます。
設定方法は非常に簡単で、下記のように、RAMの「サブユーザーのセキュリティの設定」の「接続許可 IPアドレス」欄に(ホワイトリスト形式)許可するIPを設定するだけです。
※ サブネットマスク /32 の場合は省略しても構いません。
許可されていないIPから管理コンソールへログオンすると、下記にようなエラーメッセージ 「ログオンが禁止されています。あなたのIPアドレスはホワイトリストにありません。」が表示され、ログオンできません。
注意点
1: すべてのRAMユーザーに適応されます。
2: RootアカウントとAccessKeyはこの設定による制限が適応されません。
最後
今回はRAMユーザーのIP制限について簡単にご紹介させていただきました。RAMユーザーのAccessKeyまでIP制限したい場合はRAMポリシーのConditionの利用をおすすめしますが、管理コンソールへのログオンだけ制限したい場合は、RAMユーザーのセキュリティを設定するだけでいいと思います。
皆さんがAlibaba Cloudを利用される際に、この記事が少しでも役に立てたら嬉しいです。