目的
Cloudflare ダッシュボードへのアクセスに対してかけられる「送信元IPの制限」について確認します。
API トークン
API トークン には、 Client IP address range filtering 設定によって、送信元IPの制限を実現できます。
Dashboard SSO App ポリシー
Cloudflare Dashboard では、Enterprise 契約プランにおいて、SSO を構成できます。
SSO 構成後にポリシーに Require - IP List / IP ranges の条件を追加して、送信元IPの制限を実現できます。
参考 : Allow / Block ログ
Dashboard SSO App の、送信元IPの制限ポリシーのログは以下のように確認できます。
以下のログでは Allowed フィールドの true / false で Allow / Block を確認できます。
allow_log.json
{
"Action": "login",
"Allowed": true,
"AppDomain": "xxx.cloudflareaccess.com/cdn-cgi/access/sso/saml/xxx",
"AppUUID": "b46bb9e4-16bc-4b2a-814b-a0bc2accaa36",
"Connection": "okta",
"Country": "jp",
"CreatedAt": "2024-12-18T04:15:30Z",
"Email": "xxx@xxx.company",
"IPAddress": "x.x.x.x",
"PurposeJustificationPrompt": "",
"PurposeJustificationResponse": "",
"RayID": "8f3c54fa2815f6e5",
"TemporaryAccessApprovers": [],
"TemporaryAccessDuration": 0,
"UserUID": "b833f41e-c58a-4a53-b89b-74ee79409589"
}
block_log.json
{
"Action": "login",
"Allowed": false,
"AppDomain": "xxx.cloudflareaccess.com/cdn-cgi/access/sso/saml/xxx",
"AppUUID": "b46bb9e4-16bc-4b2a-814b-a0bc2accaa36",
"Connection": "okta",
"Country": "jp",
"CreatedAt": "2024-12-18T04:13:00Z",
"Email": "xxx@xxx.company",
"IPAddress": "y.y.y.y",
"PurposeJustificationPrompt": "",
"PurposeJustificationResponse": "",
"RayID": "8f3c514d4821d50c",
"TemporaryAccessApprovers": [],
"TemporaryAccessDuration": 0,
"UserUID": "b833f41e-c58a-4a53-b89b-74ee79409589"
}
まとめ
Cloudflare 管理者ログインについて、以下を対象に「送信元IPの制限」ができることを確認しました。
- API トークン
- SSO ユーザ