ネタとしては既知すぎるかも知れませんが、個人的なメモとして記録しておきます。
Console自体へのアクセス制御はできませんが、ログインした後の各サービスに対する操作に対しては、
IAMのUser-PolicyでIP制限がかけられます。
Policy.json
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
},
{
"Sid": "SourceIPRestriction",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"xxx.xxx.xxx.xxx/32",
"xxx.xxx.xxx.xxx/32",
"xxx.xxx.xxx.xxx/32"
]
}
}
}
]
}
当たり前ですが、SourceIpはCIDRレンジで設定できます。
また、ユーザ毎にこの設定を行うのは面倒なので、GroupのPolicyとして設定するのもお忘れなく!!
これもまた当たり前ですが…