すべてのプロダクト
Search
ドキュメントセンター

Resource Access Management:IP アドレスによるアクセス制限

最終更新日:Jun 22, 2026

Resource Access Management (RAM) を使用して、特定の IP アドレスからの Alibaba Cloud リソースへのアクセスを制限し、アクセスセキュリティを強化します。

利用シーン

ある企業が、Elastic Compute Service (ECS) インスタンス、ApsaraDB RDS インスタンス、Server Load Balancer (SLB) インスタンス、OSS バケットなど、さまざまな Alibaba Cloud リソースを使用してビジネスを運営しているとします。サービスとデータを保護するため、この企業は特定の IP アドレスからのみ Alibaba Cloud リソースへのアクセスを許可したいと考えています。

これを実現するには、カスタムポリシーと RAM ユーザーを作成し、そのポリシーをユーザーにアタッチします。これにより、RAM ユーザーは指定された IP アドレスからのみ、ご利用の Alibaba Cloud リソースにアクセスできるようになります。

操作手順

この例では、RAM ユーザーが IP アドレス 192.0.2.0/24 および 203.0.113.2 からのみ ECS インスタンスにアクセスできるようにする方法を説明します。

  1. カスタムポリシーを作成します。

    RAM コンソールにログインします。左側のナビゲーションウィンドウで、権限管理 > ポリシーを選択します。ポリシー ページで、ポリシーの作成 をクリックします。ビジュアルエディタまたは [JSON] タブでカスタムポリシーを作成できます。詳細については、「カスタムポリシーの作成」をご参照ください。

    以下に権限ポリシーの例を示します。

    {
      "Statement": [
        {
          "Action": "ecs:*",
          "Effect": "Allow",
          "Resource": "*",
          "Condition": {
            "IpAddress": {
              "acs:SourceIp":[
              "192.0.2.0/24",
              "203.0.113.2"
             ]
            }
          }
        }
      ],
      "Version": "1"
    }
    説明

    このポリシーを使用する際は、acs:SourceIp の値を実際の IP アドレスに置き換えてください。

  2. RAM ユーザーを作成します。

    左側のナビゲーションウィンドウで、アイデンティティ > ユーザーを選択し、ユーザーの作成 をクリックします。セキュリティのため、RAM ユーザーには 1 つのアクセスモードのみを選択し、人間のユーザーとアプリケーションユーザーを分離することを推奨します。詳細については、「RAM ユーザーの作成」をご参照ください。

    [ログイン名][表示名] フィールドに Bob を入力します。[アクセスモード] で、[コンソールアクセス] を選択します。

  3. RAM ユーザーに権限を付与します。

    ユーザー ページで、RAM ユーザーを検索し、カスタムポリシーをアタッチします。詳細については、「RAM ユーザーに権限を付与する」をご参照ください。

    [権限の追加] ページで、[リソース範囲][アカウントレベル] を選択します。作成したカスタムポリシー (例:ECS-test1) を見つけて選択し、[OK] をクリックします。

  4. RAM ユーザーとしてログインし、ECS インスタンスにアクセスしてポリシーを検証します。

    RAM ユーザーが、192.0.2.0/24 の範囲内や 203.0.113.2 などの許可された IP アドレスから ECS インスタンスにアクセスした場合、アクセスは成功します。RAM ユーザーが他の IP アドレスからインスタンスにアクセスしようとすると、アクセスは拒否されます。

よくある質問

ポリシーが有効にならない

権限ポリシーを RAM ユーザーに付与しても有効にならない場合、ポリシー内の IP アドレスが正しくない可能性があります。ActionTrail と統合されている Alibaba Cloud サービスの場合、関連するイベントを ActionTrail コンソールで表示できます。イベント詳細で、リクエストのソース IP アドレスを確認できます。その後、ポリシー内の IP アドレスを修正し、再度ポリシーを検証します。

左側のナビゲーションウィンドウで、[イベントクエリ] を選択します。[クラウドサービス名] でイベントをフィルタリングします。イベントリストで関連するイベントを見つけ、[操作] 列の [詳細の表示] をクリックします。

関連ドキュメント

  • このトピックでは、Allow 文と IpAddress 条件キーの使用に焦点を当てています。Deny 文と NotIpAddress 条件キーを使用して、許可する IP アドレスを指定することもできます。ポリシーの例については、「IP アドレスに基づくアクセス制御」をご参照ください。

  • EffectActionResourceCondition などのポリシー要素の詳細については、「権限ポリシーの基本要素」をご参照ください。

  • ActionTrail でイベントを表示する方法の詳細については、「イベントのクエリ」をご参照ください。

  • Terraform Explorer を使用すると、このチュートリアルのテンプレートを実行して環境を直接デプロイできます。 Terraform Explorer