すべてのプロダクト
Search
ドキュメントセンター

Resource Access Management:AccessKey のネットワーク ACL ポリシー

最終更新日:Jul 11, 2026

ネットワーク ACL ポリシーは、永続的な AccessKey を使用する API リクエストの送信元 IP アドレスを制限し、AccessKey の使用を信頼できるネットワーク環境に限定します。

ポリシータイプ

RAM は、2 種類の AccessKey ネットワーク ACL ポリシーを提供します:

  • アカウントレベルのネットワーク ACL ポリシー

    このポリシーは、Alibaba Cloud アカウントのすべての AccessKey (Alibaba Cloud アカウントの AccessKeyRAM ユーザーの AccessKey を含む) に適用されます。このポリシーを設定すると、アカウント内のすべての AccessKey に均一なネットワーク制限が適用されます。

  • AccessKey レベルのネットワーク ACL ポリシー

    このポリシーは、Alibaba Cloud アカウントまたは RAM ユーザーに属する単一の AccessKey に適用されます。このポリシーを設定すると、個々の AccessKey に制限を設定したり、アカウントレベルのポリシーを上書きしたりできます。

AccessKey レベルのポリシーは、アカウントレベルのポリシーより優先されます。AccessKey に特定の AccessKey レベルのポリシーがある場合、アカウントレベルのポリシーはその AccessKey には適用されません。

次のフローチャートは、2 種類のポリシーがどのように評価されるかを示しています。

image

注意事項

  • ネットワーク ACL ポリシーは、永続的な AccessKey を使用した API コールのみを制限します。STS トークンなど、一時的な認証情報には適用されません。

  • コンソールへのログインに対するネットワークアクセスを制限するには、ログインマスクを使用します。詳細については、「ネットワークアクセス制御設定」をご参照ください。

  • まず、テスト用または新しく作成した AccessKey でポリシーをテストしてください。結果を確認した後、本番環境の AccessKey にポリシーを適用して、不完全な IP アドレス設定によるサービスの中断を回避してください。

  • Alibaba Cloud にデプロイされたアプリケーションがパブリックネットワーク経由で他のクラウドサービスを呼び出す場合は、パブリックネットワークポリシーを設定してください。アプリケーションがプライベートネットワーク経由で他のクラウドサービスを呼び出す場合は、VPC ポリシーを設定してください。

制限事項

  • AccessKey のネットワーク ACL ポリシーは、ApsaraMQ for RocketMQ、ApsaraMQ for RabbitMQ、ApsaraMQ for MQTT、EventBridge、Message Service (MNS)、CloudMonitor (HTTP 経由でのイベント監視データのレポート用)、および Hologres を除くすべてのクラウドサービスに適用されます。サポートが追加され次第、各サービスから発表されます。

  • Alibaba Cloud アカウントまたは単一の AccessKey には、最大 8 つのネットワーク ACL ポリシーを追加できます。このうち、パブリックネットワークポリシーは 1 つだけです。

  • 各ポリシーには、最大 50 個の IP アドレスまたは CIDR ブロックを含めることができます。

ポリシーの設定

ポリシーを設定する前に、ActionTrail の AccessKey 監査レコードとエンタープライズネットワーク構成を確認して、信頼できるネットワークアドレスの完全なリストを作成してください。

アカウントレベルのポリシー

  1. RAM 管理者として RAM コンソールにログインします。

  2. 設定 ページの ネットワークアクセス制御 セクションで、[AccessKey を使用して API を呼び出す際の許可されたソースネットワークアドレス] の横にある 変更 をクリックします。

  3. [アカウントレベルのネットワークアクセスコントロール] パネルで、パブリックネットワークポリシーと VPC ポリシーを設定し、ポリシーを有効にしてから 送信 をクリックします。

    ネットワークアクセスポリシーは、次のサービスには適用されません:ApsaraMQ for RocketMQ、ApsaraMQ for RabbitMQ、ApsaraMQ for MQTT、EventBridge、Message Service (MNS)、CloudMonitor (HTTP 経由でのイベント監視データのレポート用)、および Hologres。ポリシーを作成する前に、AccessKey の操作ログを確認して、過去の送信元 IP アドレスを確認することを推奨します。

    • [ポリシーステータス]:有効 を選択してポリシーを有効にします。

    • [パブリックネットワーク ACL]: パブリックネットワークステートメントを追加 をクリックし、パブリック IP アドレスまたは CIDR ブロックを入力します。 IPv4 および IPv6 形式がサポートされています。

      パブリックネットワークポリシーを追加しない場合、すべてのパブリック IP アドレスからのアクセスは拒否されます。すべてのパブリック IP アドレスからのアクセスを許可するには、すべてのパブリックネットワークアクセスを許可 をクリックします。このアクションにより、0.0.0.0/0 または ::/0 を含むパブリックネットワークポリシーが追加されます。

    • [VPC ネットワーク ACL]:VPC ステートメントを追加 をクリックし、VPC ID と VPC 内の IP アドレスまたは CIDR ブロックを入力します。IPv4 および IPv6 形式がサポートされています。

      VPC ポリシーを追加しない場合、VPC 内のすべての IP アドレスからのアクセスは拒否されます。すべてのアカウントの、すべての VPC からのアクセスを許可するには、すべての VPC ネットワークアクセスを許可 をクリックします。この操作により、VPC ID が AllowAllVPC に、IP アドレスが 0.0.0.0/0 または ::/0 に設定された VPC ポリシーが追加されます。

    説明

    ポリシーには複数の IP アドレスまたは CIDR ブロックを入力できます。エントリは、スペース、コンマ (,)、またはセミコロン (;) で区切ってください。

  4. 送信の確認 ダイアログボックスで、アカウント ID を入力し、次に OK をクリックします。

    重要

    ポリシーが送信後に有効になるまで数分かかります。アカウントレベルのネットワーク ACL ポリシーは、AccessKey レベルのポリシーを持つ AccessKey には適用されません。

RAM ユーザーの AccessKey レベルのポリシー

  1. RAM 管理者として RAM コンソールにログインします。

  2. ナビゲーションペインで、アイデンティティ > ユーザーを選択します。

  3. ユーザー ページで、対象の RAM ユーザーの名前をクリックします。

  4. [認証] タブの AccessKey セクションで、対象の AccessKey を見つけ、[操作] 列の [ネットワークアクセス] [制御] をクリックします。

    対象の AccessKey がかなり前 (たとえば 5 か月前) に作成された場合、[ローテーションを推奨] ラベルが表示され、AccessKey を適時にローテーションするように促されます。

  5. [AccessKey レベルのネットワークアクセスコントロール] パネルで、パブリックネットワークポリシーと VPC ポリシーを設定し、ポリシーを有効にしてから、送信 をクリックします。

    このポリシーは、次のサービスには適用されません:ApsaraMQ for RocketMQ、ApsaraMQ for RabbitMQ、ApsaraMQ for MQTT、EventBridge、Message Service (MNS)、CloudMonitor (HTTP 経由でのイベント監視データのレポート用)、および Hologres。ポリシーを作成する前に、AccessKey の操作ログを確認することを推奨します。

    • [ポリシーステータス]:有効 を選択してポリシーを有効にします。

    • [パブリックネットワーク ACL]: パブリックネットワークステートメントを追加 をクリックし、パブリック IP アドレスまたは CIDR ブロックを入力します。 IPv4 および IPv6 形式がサポートされています。

      パブリックネットワークポリシーを追加しない場合、すべてのパブリック IP アドレスからのアクセスは拒否されます。すべてのパブリック IP アドレスからのアクセスを許可するには、すべてのパブリックネットワークアクセスを許可 をクリックします。このアクションにより、0.0.0.0/0 または ::/0 を含むパブリックネットワークポリシーが追加されます。

    • [VPC ネットワーク ACL]:VPC ステートメントを追加 をクリックし、VPC ID と VPC 内の IP アドレスまたは CIDR ブロックを入力します。IPv4 および IPv6 形式がサポートされています。

      VPC ポリシーを追加しない場合、VPC 内のすべての IP アドレスからのアクセスは拒否されます。すべてのアカウントの、すべての VPC からのアクセスを許可するには、すべての VPC ネットワークアクセスを許可 をクリックします。この操作により、VPC ID が AllowAllVPC に、IP アドレスが 0.0.0.0/0 または ::/0 に設定された VPC ポリシーが追加されます。

    説明

    ポリシーには複数の IP アドレスまたは CIDR ブロックを入力できます。エントリは、スペース、コンマ (,)、またはセミコロン (;) で区切ってください。

  6. 送信の確認 ダイアログボックスで、AccessKey ID を入力し、OK をクリックします。

    重要

    ポリシーが送信後に有効になるまで数分かかります。アカウントレベルのネットワーク ACL ポリシーは、AccessKey レベルのポリシーを持つ AccessKey には適用されません。

Alibaba Cloud アカウントの AccessKey レベルのポリシー

  1. Alibaba Cloud アカウントで Alibaba Cloud 管理コンソールにログインします。

  2. 右上のプロファイルアイコンにカーソルを合わせ、[AccessKey] をクリックします。

    image

  3. [メインアカウントの AccessKey は推奨されません] ダイアログボックスで、[メインアカウントの AccessKey を使用する際のセキュリティリスクを理解しました] を選択し、[メインアカウントの AccessKey を使用] をクリックします。

  4. 目的の AccessKey を見つけ、[操作] 列の[ネットワークアクセス制御]をクリックします。

  5. [AccessKey レベルのネットワークアクセスコントロール] パネルで、パブリックネットワークポリシーと VPC ポリシーを設定し、ポリシーを有効にしてから、送信 をクリックします。

    • [ポリシーステータス]:有効 を選択してポリシーを有効にします。

    • [パブリックネットワーク ACL]: パブリックネットワークステートメントを追加 をクリックし、パブリック IP アドレスまたは CIDR ブロックを入力します。 IPv4 および IPv6 形式がサポートされています。

      パブリックネットワークポリシーを追加しない場合、すべてのパブリック IP アドレスからのアクセスは拒否されます。すべてのパブリック IP アドレスからのアクセスを許可するには、すべてのパブリックネットワークアクセスを許可 をクリックします。このアクションにより、0.0.0.0/0 または ::/0 を含むパブリックネットワークポリシーが追加されます。

    • [VPC ネットワーク ACL]:VPC ステートメントを追加 をクリックし、VPC ID と VPC 内の IP アドレスまたは CIDR ブロックを入力します。IPv4 および IPv6 形式がサポートされています。

      VPC ポリシーを追加しない場合、VPC 内のすべての IP アドレスからのアクセスは拒否されます。すべてのアカウントの、すべての VPC からのアクセスを許可するには、すべての VPC ネットワークアクセスを許可 をクリックします。この操作により、VPC ID が AllowAllVPC に、IP アドレスが 0.0.0.0/0 または ::/0 に設定された VPC ポリシーが追加されます。

    説明

    ポリシーには複数の IP アドレスまたは CIDR ブロックを入力できます。エントリは、スペース、コンマ (,)、またはセミコロン (;) で区切ってください。

  6. 送信の確認 ダイアログボックスで、AccessKey ID を入力し、OK をクリックします。

    重要

    ポリシーが送信後に有効になるまで数分かかります。アカウントレベルのネットワーク ACL ポリシーは、AccessKey レベルのポリシーを持つ AccessKey には適用されません。

設定例

シナリオ

ポリシー設定

どの AccessKey のネットワークアクセスも制限しない場合

ポリシーの内容にかかわらず、アカウントレベルおよび AccessKey レベルのネットワーク ACL ポリシー両方のステータスを無効に設定します。

すべてのパブリック IP アドレスからの呼び出しを許可する場合

アカウントレベルまたは AccessKey レベルのネットワーク ACL ポリシーで、IP アドレスが 0.0.0.0/0 または ::/0 のパブリックネットワークポリシーを追加します。

アカウントに関わらず、すべての VPC 内の IP アドレスからの呼び出しを許可する場合

アカウントレベルまたは AccessKey レベルのネットワーク ACL ポリシーで、VPC ID が AllowAllVPC、IP アドレスが 0.0.0.0/0 または ::/0 の VPC ポリシーを追加します。

パブリック IP アドレスからのすべての呼び出しを拒否する場合

アカウントレベルまたは AccessKey レベルのネットワーク ACL ポリシーでは、ポリシーステータスを 有効 に設定しますが、パブリックネットワークポリシーは追加しません。

VPC 内の IP アドレスからのすべての呼び出しを拒否する場合

アカウントレベルまたは AccessKey レベルのネットワーク ACL ポリシーで、ポリシーのステータスを有効に設定し、VPC ポリシーは追加しません。

アカウントレベルのネットワークアクセス制限が設定されており、特定の AccessKey が任意のパブリック IP アドレスおよび VPC の IP アドレスからの呼び出しを受け入れる必要がある場合

特定の AccessKey に対して、次の内容で AccessKey レベルのネットワーク ACL ポリシーを有効にします:

  • パブリックネットワークポリシー:IP アドレスが 0.0.0.0/0 または ::/0 のパブリックネットワークポリシーを追加します。

  • VPC ポリシー:VPC ID が AllowAllVPC、IP アドレスが 0.0.0.0/0 または ::/0 の VPC ポリシーを追加します。

Alibaba Cloud アカウント内のすべての AccessKey が、パブリック IP アドレス (例:203.0.113.1) および VPC (例:vpc-m5ekxe1zi8zwgqrtc****) とその CIDR ブロック 192.168.0.0/16 内から Alibaba Cloud API を呼び出すことを許可する場合

次の内容でアカウントレベルのネットワーク ACL ポリシーを有効にします:

  • パブリックネットワークポリシー:IP アドレスが 203.0.113.1 のパブリックネットワークポリシーを追加します。

  • VPC ポリシー:VPC ID が vpc-m5ekxe1zi8zwgqrtc****、IP アドレスが 192.168.0.0/16 の VPC ポリシーを追加します。

詳細については、「アカウントレベルのポリシーの設定」をご参照ください。

特定の AccessKey が、パブリック IP アドレス (例:203.0.113.1) および VPC (例:vpc-m5ekxe1zi8zwgqrtc****) とその CIDR ブロック 192.168.0.0/16 内から Alibaba Cloud API を呼び出すことを許可する場合

特定の AccessKey に対して、次の内容で AccessKey レベルのネットワーク ACL ポリシーを有効にします:

  • パブリックネットワークポリシー:IP アドレスが 203.0.113.1 のパブリックネットワークポリシーを追加します。

  • VPC ポリシー:VPC ID が vpc-m5ekxe1zi8zwgqrtc****、IP アドレスが 192.168.0.0/16 の VPC ポリシーを追加します。

AccessKey レベルのネットワーク ACL ポリシーが有効になると、アカウントレベルのポリシーはこの AccessKey に適用されなくなります。

詳細については、「RAM ユーザーの AccessKey レベルのポリシーの設定」および「Alibaba Cloud アカウントの AccessKey レベルのポリシーの設定」をご参照ください。

172.16.0.0/12 CIDR ブロック内のピア VPC (例:vpc-bp1xxx****) からの VPC ピアリング接続経由の API コールを許可する場合

アカウントレベルまたは AccessKey レベルのネットワーク ACL ポリシーで、VPC ポリシーを追加します。VPC ID には、ピア VPC ID (例:vpc-bp1xxx****) を入力します。IP アドレスには、ピア VPC の CIDR ブロック (例:172.16.0.0/12) を入力します。

VPC ポリシーのみを追加し、パブリックネットワークポリシーを追加しない場合、すべてのパブリック API コールは拒否されます。このポリシーを適用する前に、ワークロードへの影響を評価してください。

詳細については、「アカウントレベルのポリシーの設定」をご参照ください。

よくある質問

信頼できる IP アドレスを特定する方法

ActionTrail での過去の API コールデータの確認

ActionTrail の監査ログを使用して、過去の成功した API コールの送信元 IP アドレスをクエリしてください。次のいずれかの方法を選択してください:

  • ログサービス (SLS) への証跡配信を設定している場合は、ActionTrail コンソール[証跡] ページで証跡の詳細を開き、SLS Logstore 名をクリックしてログサービスコンソールに移動します。その後、検索クエリを実行して、指定した AccessKey (フィールド event.userIdentity.accessKeyId) の履歴ソース IP アドレス (event.sourceIpAddress) と VPC ID (event.vpcId) を集計できます。詳細については、「ログサービスまたは OSS コンソールでイベントをクエリする」をご参照ください。

    クエリの例:

    * | SELECT "event.userIdentity.accessKeyId" AS access_key_id, "event.sourceIpAddress" AS source_ip_address, "event.vpcId" AS vpc_id FROM log WHERE "event.userIdentity.accessKeyId" = 'LTAI****************'

  • 証跡の配信が設定されていない場合: ActionTrail コンソール[AccessKey 監査] ページで、AccessKey ID を入力し、呼び出しレコードで各クラウドサービスのソース IP アドレスを確認します。 詳細については、「AccessKey ログをクエリする」をご参照ください。

ActionTrail は、サポートされているクラウドサービスの監査イベントのみを対象としています。サポートされていないデータイベントについては、対応するクラウドサービスのネイティブの監査機能を使用します。

ネットワーク設定のクエリ

Alibaba Cloud にデプロイされたアプリケーション

ECS やコンテナサービスなどの Alibaba Cloud サービスにデプロイされたアプリケーションについては、Alibaba Cloud コンソールでリソースのパブリック IP アドレス、VPC ID、およびプライベート CIDR ブロックを検索してください。

アプリケーションがパブリックエンドポイントを使用してクラウドサービスを呼び出す場合、送信元 IP アドレスはリソースまたはその NAT ゲートウェイのパブリックなエグレス IP アドレスです。アプリケーションが VPC エンドポイントを使用してクラウドサービスを呼び出す場合、送信元 IP アドレスは VPC のプライベート IP アドレスです。

クラウドサービス間の呼び出し

Alibaba Cloud サービス間の呼び出しは、内部 IP アドレスから発信される場合があります。ActionTrail のレコードでは、イベントソースがサービスアドレスまたは "internal" として表示されることがあります。AccessKey を必要としない RAM ロールまたは別の認証情報方式を使用することを推奨します。

以下は、特定のサービス間呼び出しの参照設定です:

動的 IP アドレス
  • クラウドのリソース IP アドレスは、弾性スケーリングや自動再設定中に変更される可能性があります。新しい IP アドレスを速やかにネットワーク ACL ポリシーに追加してください。

  • Function Compute:デフォルトでは、Function Compute は動的なパブリック IP アドレスを使用します。静的なパブリック IP アドレスを設定することができます。

Alibaba Cloud 外部にデプロイされたアプリケーション

アプリケーションのデプロイ環境のエグレス IP アドレスを手動で確認してください。

オフィスネットワークの IP アドレス

ローカルでの開発やデバッグに AccessKey を使用する場合は、企業のネットワーク管理者に連絡して、オフィスネットワークのエグレス IP アドレスを取得してください。

予期しない拒否のトラブルシューティング

症状

ネットワーク ACL ポリシーが有効になると、許可された範囲外の送信元 IP アドレスからの呼び出しは拒否されます。一般的なエラーメッセージは次のとおりです:

Message: The specified parameter "AccessKeyId.AccessPolicyDenied" is not valid.
Message: code: 400, Specified access key denied due to access policy. 

ソリューション

API コールがネットワーク ACL ポリシーによって予期せず拒否された場合は、次のトラブルシューティング手順に従ってください:

  1. 影響を受ける AccessKey に AccessKey レベルのネットワーク ACL ポリシーがあるかどうかを確認してください。

    • ある場合は、AccessKey レベルのネットワーク ACL ポリシーを変更して、送信元 IP アドレスを含めてください。

    • ない場合は、次の手順に進んでください。

  2. RAM 管理者として、アカウントレベルのネットワーク ACL ポリシーを確認および変更して、送信元 IP アドレスを含めてください。

  3. 問題が解決しない場合は、ポリシー内の送信元 IP アドレスが不正確である可能性があります。正しい IP アドレスを確認して取得してください。

    ActionTrail を使用して、AccessKey コールの過去の送信元 IP アドレスを見つけることができます。詳細については、「ActionTrail での過去の API コールデータの確認」をご参照ください。