La sicurezza è sempre importante e la prima cosa da fare prima di qualsiasi operazione nel cloud. Uso la policy di restrizione IP da più di 5 anni e voglio condividere questo trucco con te. Ci sono due modi diversi per farlo.

Dovresti ottenere un IP Statico dal tuo ISP e/o puoi anche voler usare l'indirizzo IP della tua VPN.

Qual è il vantaggio della Policy IP?

La risposta è semplice. Nessuno può accedere alle tue risorse nel cloud se non sta usando gli IP specificati.

Consenti l'Accesso se i Tuoi IP Corrispondono

Ecco la Policy IP IAM se vuoi concedere il permesso di accesso alle tue risorse.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAccessIfIPsMatch",
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:IpAddress": {
                    "aws:SourceIp": [
                        "1.2.3.4/32",
                        "5.6.7.8/32"
                    ]
                }
            }
        }
    ]
}

Nega l'Accesso se i Tuoi IP Non Corrispondono

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAccessIfIPsDontMatch",
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "1.2.3.4/32",
                        "5.6.7.8/32"
                    ]
                }
            }
        }
    ]
}

Questa policy IAM influisce anche sulle richieste aws-cli e su tutte le chiamate API AWS. La policy Allow o Deny è la stessa (viceversa!) e non devi usarle entrambe contemporaneamente. Voglio solo informarti che c'è più di un modo per proteggere il tuo account AWS.

NOTA: Questa Policy IAM serve solo a spiegare la logica della restrizione IP. Pensaci due volte prima di usare questa policy IAM sul tuo account e in produzione perché consente di dare un AdministratorAccess a tutte le risorse AWS!

Forse vuoi dare un'occhiata al mio precedente blog post su "Come mettere in sicurezza il tuo account Amazon Web Services" prima di applicare la Policy IP IAM.

Grazie per aver letto!