RAM を使用して、Alibaba Cloud リソースへのアクセスに使用する IP アドレスを制限する - Resource Access Management

本ページでは、RAM を使用して、Alibaba Cloud リソースへのアクセスに使用する IP アドレスを制限する方法について説明します。この機能を利用することにより、より高いレベルのセキュリティが可能になります。

始める前に

Alibaba Cloud アカウントが作成されていること。作成されていない場合は、作成してから作業を進めます。 Alibaba Cloud アカウントを作成するには、https://account.alibabacloud.com/register/intl_register.htmをクリックします。
RAM サービスが有効化され、RAM コンソールにログインできること。 RAM サービスが有効化されていない場合、有効化してから作業を進めます。詳細は、「有効化する方法」をご参照ください。
カスタムポリシーを作成するために必要なポリシーの要素、構造、および構文の基本的な知識を習得済であること。詳細については、「ポリシー要素」および「ポリシー構造と構文」をご参照ください。

このタスクについて

A 社は、ECS インスタンス、RDS インスタンス、SLB インスタンス、OSS バケットなど、複数のタイプの Alibaba Cloud リソースを購入済みです。ビジネスとデータのセキュリティを確保するため、A 社は RAM ユーザーが企業イントラネットの IP アドレスからのみ Alibaba Cloud リソースにアクセスできるようにしたいと考えています。

ソリューション

RAM ユーザーが指定された IP アドレスからのみ Alibaba Cloud リソースにアクセスできるようにするには、RAM ユーザー用のカスタムポリシーを作成してアタッチします。

カスタムポリシーの作成

左側のナビゲーションペインで [権限管理]から [ポリシー] をクリックします。
[ポリシー] ページで [ポリシーの作成] をクリックします。
表示されるページで [ポリシー名] および [説明] パラメーターを指定します。
[設定モード] で [スクリプト] を選択します。次のサンプルスクリプトをコピーしてポリシードキュメントエリアに貼り付け、ビジネスニーズに基づいてスクリプトを編集します。
次のポリシーが RAM ユーザーにアタッチされている場合、RAM ユーザーは、CIDR ブロック範囲 192.168.0.0/16 の IP アドレスからのみ ECS インスタンスにアクセスできます。この場合、条件 の acs:SourceIp パラメーターを 192.168.0.0/16 に設定します。
```
{
  "Statement": [
    {
      "Action": "ecs:*",
      "Effect": "Allow",
      "Resource": "*",
      "Condition": {
        "IpAddress": {
          "acs:SourceIp": "192.168.0.0/16"
        }
      }
    }
  ],
  "Version": "1"
}
```
注 条件 の設定は、現在のポリシーに指定されているアクションにのみ適用されます。 CIDR ブロック 192.168.0.0/16 は、自社のイントラネットで利用している IP アドレスに変更できます。
[OK] をクリックします。