IP アクセス制御は、 API Gateway の提供する API セキュリティ コンポーネントの 1 つであり、API を呼び出すことのできる送信元 IP アドレス(または IP アドレス セグメント)を制御します。IP アドレスを API のホワイトリストまたはブラックリストに追加して、追加した IP アドレスからの API リクエストを許可または拒否することができます。
- ホワイトリストには、IP アドレスまたは IP アドレスおよびアプリケーション IDとの組み合わせを含めることができます。ホワイトリストに登録されていない IP アドレスからのリクエストは拒否されます。
- IP アドレスの場合、指定された送信元の IP アドレスのみがアクセスできます。
- IP アドレスおよびアプリケーション ID の組み合わせの場合、アプリケーション ID は結び付けられている IP アドレスでのみアクセスできます。その他の IP アドレスからのアクセスは拒否されます。
- ブラックリストに登録されている IP アドレスからのリクエストは、API Gateway によって拒否されます。
本関数の使い方
IP アクセス制御ポリシーの追加
IP アクセス制御ポリシーを作成し、アクセスを制御する必要のある API にバインドします。
IP アクセス制御ポリシーの作成
API Gateway コンソールを開き、[API の編集] > [IP アクセス制御] を選択します。
[IP 制御ポリシーの作成]をクリックして、アクセス制御作成ウィンドウを表示します。
必要な情報を入力し、[OK]をクリックします。
- ホワイトリストが設定する場合は、アクセス制御タイプを[許可]にします。
- ブラックリストを設定する場合は、アクセス制御タイプを[拒否]にします。
ポリシーの追加
ホワイトリストまたはブラックリストの作成後、リスト タイプに該当する制御ポリシーを入力する必要があります。ホワイトリストの場合は、アプリケーション ID、IP アドレス、またはアプリケーション ID および IP アドレスの組み合わせを入力できます。ブラックリストの場合は、IP アドレスを入力します。
[OK]をクリックして設定を完了します。
API のバインド
IP 制御ポリシーを API にバインドして、ポリシーを有効化します。
IP 制御ポリシー リストには、
該当ポリシーに API をバインドします。
ポリシーをバインドする該当 API を選択します。
注:ブラックリストのポリシー、ホワイトリストのポリシーにかかわらず、各 API にはアクセス制御ポリシーを 1 つしかバインドできません。
IP アクセス制御ポリシーの削除
IP 制御ポリシー リストからポリシーを選択して削除します。
注:IP 制御ポリシーが API にバインドされている場合は、削除する前に API へのバインドを解除します。
バインドされた API の確認
IP アクセス制御の詳細ページで、ポリシーにバインドされている API を確認できます。
よくあるご質問
IP 制御ポリシーのバインドまたは削除は、いつ有効化されますか。
API Gateway では、ポリシーをバインドするとただちに有効化されます。
API は違うステージ(環境)に違うIP 制御ポリシー をバインドできますか。
はい。API ステージ(環境)ごとに異なる IP 制御ポリシーをバインドできます。検証環境のセキュリティを確保するために、指定 IP アドレスをテストステージ(環境)およびステージングステージ(環境)にバインドすることをお勧めします。
アプリのブラックリストはなぜサポートされていないのですか。
API 呼び出しにはアプリに権限付与が必要となります。権限を取り消しするだけで、アプリの API 呼び出しを禁止できます。したがって、アプリのブラックリストは必要ありません。