Seguranca e sempre importante e a primeira coisa antes de fazer qualquer coisa na nuvem. Uso a politica de restricao de IP ha mais de 5 anos e quero compartilhar esse truque com voce. Existem duas maneiras diferentes de fazer isso.

Voce deve obter um IP Estatico do seu ISP e/ou tambem pode usar o endereco IP da sua VPN.

Qual o beneficio da Politica de IP?

A resposta e simples. Ninguem pode acessar seus recursos na nuvem se nao estiver usando os IPs especificados.

Aqui esta o exemplo se o usuario fez login sem um endereco IP especifico na Politica IAM. O usuario consegue fazer login, mas nao consegue ver nada sobre recursos e/ou informacoes.

Este e o exemplo se o usuario fez login com um endereco IP especifico. Sim, tudo parece ok e o usuario pode ver informacoes sobre recursos e outras coisas.

Permitir Acesso se seus IPs Corresponderem

Aqui esta a Politica IAM de IP se voce quiser dar permissao para acessar seus recursos.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAccessIfIPsMatch",
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:IpAddress": {
                    "aws:SourceIp": [
                        "1.2.3.4/32",
                        "5.6.7.8/32"
                    ]
                }
            }
        }
    ]
}

Negar Acesso se seus IPs Nao Corresponderem

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAccessIfIPsDontMatch",
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "1.2.3.4/32",
                        "5.6.7.8/32"
                    ]
                }
            }
        }
    ]
}

Esta politica IAM tambem afeta requisicoes aws-cli e todas as chamadas de API da AWS. A politica Allow ou Deny e a mesma (vice-versa!) e voce nao precisa usar ambas ao mesmo tempo. So quero informar que ha mais de uma maneira de proteger sua conta AWS.

NOTA: Esta Politica IAM esta apenas informando sobre a logica de restricao de IP. Por favor, pense duas vezes antes de usar esta politica IAM na sua conta e em producao, pois ela permite acesso de AdministratorAccess a todos os Recursos AWS!

Talvez voce queira conferir meu post anterior sobre "Como proteger sua conta Amazon Web Services" antes de aplicar a Politica IAM de IP.

Obrigado pela leitura!