Προστάτευσε τον AWS Λογαριασμό σου με Συγκεκριμένες IPs
Θα μάθεις πώς να προστατεύσεις τον AWS λογαριασμό σου και τους πόρους στο cloud με IAM Policy. Η ασφάλεια είναι το πρώτο πράγμα...
Η ασφάλεια είναι πάντα σημαντική και το πρώτο πράγμα πριν κάνεις οτιδήποτε στο cloud. Χρησιμοποιώ το IP restriction policy για περισσότερα από 5 χρόνια και θέλω να μοιραστώ αυτό το κόλπο μαζί σου. Υπάρχουν δύο διαφορετικοί τρόποι για να το κάνεις.
Θα πρέπει να αποκτήσεις μια Static IP από τον ISP σου ή/και μπορείς επίσης να χρησιμοποιήσεις τη διεύθυνση IP του VPN σου.
Ποιο είναι το όφελος του IP Policy;
Η απάντηση είναι απλή. Κανείς δεν μπορεί να αποκτήσει πρόσβαση στους πόρους σου στο cloud αν δεν χρησιμοποιεί τις καθορισμένες IPs.
Ορίστε το παράδειγμα αν ο χρήστης συνδεθεί χωρίς συγκεκριμένη διεύθυνση IP στο IAM Policy. Ο χρήστης μπορεί να συνδεθεί αλλά δεν μπορεί να δει τίποτα σχετικά με πόρους ή/και πληροφορίες.
Αυτό είναι το παράδειγμα αν ο χρήστης συνδέθηκε με συγκεκριμένη διεύθυνση IP. Ναι, όλα φαίνονται εντάξει και ο χρήστης μπορεί να δει πληροφορίες για πόρους και άλλα πράγματα.
Επίτρεψε την Πρόσβαση αν οι IPs σου Ταιριάζουν
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessIfIPsMatch",
"Effect": "Allow",
"Action": "*",
"Resource": "*",
"Condition": {
"ForAnyValue:IpAddress": {
"aws:SourceIp": [
"1.2.3.4/32",
"5.6.7.8/32"
]
}
}
}
]
}Απόρριψε την Πρόσβαση αν οι IPs σου Δεν Ταιριάζουν
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAccessIfIPsDontMatch",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"1.2.3.4/32",
"5.6.7.8/32"
]
}
}
}
]
}ΣΗΜΕΙΩΣΗ: Αυτό το IAM Policy σου δείχνει απλά τη λογική του περιορισμού IP. Σκέψου δύο φορές πριν χρησιμοποιήσεις αυτό το IAM policy στον λογαριασμό σου και στο production, επειδή επιτρέπει AdministratorAccess σε όλους τους AWS Πόρους!
Ίσως θέλεις να δεις το προηγούμενο blog post μου για το "How to secure your Amazon Web Services account" πριν εφαρμόσεις το IAM IP Policy.
Ευχαριστώ που το διάβασες!
Περισσότερα από τον Ercan
Δύο ακόμη ιστότοποι, ίδιος συγγραφέας, διαφορετικό έδαφος.
AI, LLMs, agents, εφαρμοσμένη ML.
Σημειώσεις πεδίου για AI workloads. Ανάλυση κόστους Bedrock, agent patterns, trade-offs αποθήκευσης διανυσμάτων, failure modes σε παραγωγή.
Επισκεφθείτε ercan.ai →Ο κόμβος. Σχετικά, συμβουλευτική, επικοινωνία.
Προσωπικός κόμβος και για τις δύο διαδρομές γραφής. Ποιος είμαι, πώς λειτουργεί η συμβουλευτική, πώς να επικοινωνήσετε.
Επισκεφθείτε ercanermis.com →