+86 135 410 16684Mon. - Fri. 10:00-22:00

AWS限制AccessKey使用范围的source ip

限制AccessKey使用范围的source ip

AWS限制AccessKey使用范围的source ip

有时候我们需要限制一下某些权限较高的用户使用权限的方式,来增强安全性。
我给个方案,可使AWS管理员的权限使用起来更安全:
(1)创建用户awsgood,不要AccessKey,管理员权限,设置密码(设置了密码才能web console登录),只用作浏览器操作,然后使用MFA绑定手机,这样可以在任何地点用web console来操作,绑定了手机验证登录,而且还没有AccessKey,比较安全。
(2)创建awsgood-api用户,不设置密码,无web console登录权限,创建AccessKey, 只用作API操作, 然后授权,然后加入如下这个策略来限制AccessKey使用的来源IP

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "NotIpAddress": {
        "aws:SourceIp": ["114.255.34.0/24", "114.247.160.128/25"]
      }
    }
  }]
}

在白名单IP范围内正常操作
在有权限但不在IP白名单内地方执行API操作时会报错
A client error (UnauthorizedOperation) occurred when calling the DescribeVpcs operation: You are not authorized to perform this operation.