RAM ユーザーが ECS インスタンスにパブリック IP アドレスを割り当てることを禁止する - Elastic Compute Service

固定パブリック IP アドレス (自動割り当てパブリック IP アドレスとも呼ばれる) または Elastic IP アドレス (EIP) の利用により、Elastic Compute Service (ECS) インスタンスは、インターネットと通信できます。ただし、大量のクラウドリソースを持つ企業の場合、ECS インスタンスにパブリック IP アドレスをいい加減に割り当てしまうと、インスタンスがインターネット経由で攻撃されるリスクが高まります。また、ネットワークアーキテクチャの管理も複雑になります。そのため、ネットワーク管理者を配置し、彼らにネットワーク関連の操作権限を付与することで、一元的な運用を行うことをお勧めします。本記事では、Resource Access Management (RAM) ポリシーを使用して、RAM ユーザーが ECS インスタンスにパブリック IP アドレスを割り当てることを禁止する方法について説明します。

手順

本記事では、Alice という名前の RAM ユーザーが ECS インスタンスに固定パブリック IP アドレスを割り当てたり、EIP を作成したりすることを禁止する設定例を解説します。

RAM コンソールで、Alice という名前の RAM ユーザーを作成します。
詳細については、「RAM ユーザーを作成する」をご参照ください。

RAM コンソールで、ecs-network-control という名前のポリシーを作成します。 [Create Policy]ページで、[JSON] タブをクリックし、コードエディタ内に下記のコードを貼り付け、 [はい] をクリックします。

説明

下記のコードで作成されるポリシーは以下のことを禁止します。

ECS インスタンスの作成中に固定パブリック IP アドレスを割り当てる
リソース構成の変更中にパブリック帯域幅のピーク値を 0 Mbit/s より大きい値に設定することで、ECS インスタンスの固定パブリック IP アドレスを生成する
EIP を作成する

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ecs:RunInstances",
                "ecs:CreateInstance",
                "ecs:ModifyInstanceSpec",
                "ecs:ModifyInstanceNetworkSpec"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ecs:AssociatePublicIpAddress": [
                        "true"
                    ]
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": [
                "vpc:AllocateEipAddress",
                "vpc:AllocateEipAddressPro",
                "vpc:AssociateEipAddress",
                "vpc:AllocateEipSegmentAddress",
                "eipanycast:AllocateAnycastEipAddress"
            ],
            "Resource": "*"
        }
    ]
}

続いて、ecs-admin という名前のポリシーを作成します。 [Create Polic] ページで、[JSON] タブをクリックし、コードエディタ内に下記のコードを貼り付け、 [はい] をクリックします。
説明
下記のコードで作成されるポリシーは、ECS インスタンスを購入、管理、表示する権限を付与します。この例では、ECS 管理者として必要に応じてポリシーを変更することもできます。
```
{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecs:*",
        "ecs-workbench:*",
        "vpc:CheckCanAllocateVpcPrivateIpAddress",
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches",
        "bss:ModifyAgreementRecord",
        "bss:DescribeOrderList",
        "bss:DescribeOrderDetail",
        "bss:PayOrder",
        "bss:CancelOrder"
      ],
      "Resource": "*"
    }
  ]
}
```
RAM コンソールで、Alice に権限を付与します。
[リソース範囲 (Resourece Scope)] に [アカウント (account)] を、[ユーザー (Principal)] に Alice 、 [ポリシー (Policy)] に、前の手順で作成した ecs-network-control および ecs-admin ポリシーを選択して、 [権限付与 (Grant permissions)] をクリックします。詳細については、「RAM ユーザーに権限を付与する」をご参照ください。

結果の確認

Alice として Alibaba Cloud 管理コンソールにログインします。

詳細については、「RAM ユーザーとして Alibaba Cloud 管理コンソールにログインする」をご参照ください。

検証 1: ECS インスタンスの作成時に固定パブリック IP アドレスを割り当てる

インスタンス購入ページに移動します。
[カスタム購入] タブをクリックします。
課金方法や、リージョン、インスタンスタイプ、イメージなどの設定を行います。[帯域幅とセキュリティグループ] のセクションで [パブリック IPv4 アドレスを割り当てる] を選択します。詳細については、「[カスタム起動] タブでインスタンスを作成する」をご参照ください。
注文確定後、作成失敗のメッセージが表示されます。

検証 2: 既存の ECS インスタンスのため、最大パブリック帯域幅値を増やすことで固定パブリック IP アドレスを割り当てる

ECS コンソール - インスタンスに移動します。
上部のナビゲーションバーで、管理するリソースのリージョンとリソースグループを選択します。
固定パブリック IP アドレスのないインスタンスをクリックします。インスタンスの詳細ページで、右上の [すべての操作] をクリックします。表示される画面で、このインスタンスの課金方法に応じて [サブスクリプションインスタンスの帯域幅の変更] または [従量課金インスタンスの帯域幅の変更] を見つけてクリックします。次に、このインスタンスの最大パブリック帯域幅を 0 Mbit/s より大きい値に設定します。

下方の[確認]をクリックすると、必要な権限がないことを示すエラーメッセージが表示されます。

検証 3: EIP を作成する

Elastic IP アドレスページに移動し、[Elastic IP Adress の作成] をクリックします。
[EIP] ページで、必要な権限がないことを示すエラーメッセージが表示されます。