Sicherheit ist immer wichtig und das Erste, was man in der Cloud tun sollte. Ich verwende die IP-Einschrankungsrichtlinie seit mehr als 5 Jahren und mochte diesen Trick mit dir teilen. Es gibt zwei verschiedene Moglichkeiten, dies zu tun.

Du solltest eine statische IP von deinem ISP erhalten und/oder du kannst auch deine VPN-IP-Adresse verwenden.

Was ist der Vorteil der IP-Richtlinie?

Die Antwort ist einfach. Niemand kann auf deine Ressourcen in der Cloud zugreifen, wenn er nicht die angegebenen IPs verwendet.

Hier ist das Beispiel, wenn sich der Benutzer ohne eine bestimmte IP-Adresse in der IAM Policy anmeldet. Der Benutzer kann sich anmelden, sieht aber nichts uber Ressourcen und/oder Informationen.

Dies ist das Beispiel, wenn sich der Benutzer mit einer bestimmten IP-Adresse anmeldet. Ja, alles sieht gut aus und der Benutzer kann Informationen uber Ressourcen und andere Dinge sehen.

Zugriff erlauben, wenn deine IPs ubereinstimmen

Hier ist die IAM IP Policy, wenn du Zugriff auf deine Ressourcen geben mochtest.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAccessIfIPsMatch",
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:IpAddress": {
                    "aws:SourceIp": [
                        "1.2.3.4/32",
                        "5.6.7.8/32"
                    ]
                }
            }
        }
    ]
}

Zugriff verweigern, wenn deine IPs nicht ubereinstimmen

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAccessIfIPsDontMatch",
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "1.2.3.4/32",
                        "5.6.7.8/32"
                    ]
                }
            }
        }
    ]
}

Diese IAM-Richtlinie betrifft auch aws-cli-Anfragen und alle AWS-API-Aufrufe. Die Allow- oder Deny-Richtlinie ist dieselbe (umgekehrt!) und du musst nicht beide gleichzeitig verwenden. Ich mochte dich nur daruber informieren, dass es mehr als einen Weg gibt, dein AWS-Konto zu schutzen.

HINWEIS: Diese IAM Policy erklart dir nur die IP-Einschrankungslogik. Uberlege zweimal, bevor du diese IAM Policy in deinem Konto und in der Produktion verwendest, da sie AdministratorAccess auf alle AWS-Ressourcen gewahrt!

Vielleicht mochtest du meinen vorherigen Blogbeitrag uber "So sicherst du dein Amazon Web Services Konto" lesen, bevor du die IAM IP Policy anwendest.

Danke fur das Lesen!