ネットワーク・ペリメータの管理
IAMのアイデンティティ・ドメイン内のネットワーク・ペリメータは、ユーザーがサインインに使用できるIPアドレスを制限します。
ネットワーク・ペリメータに関連する次のタスクを実行できます。
概要
ネットワーク・ペリメータの作成後、ユーザーは、ネットワーク・ペリメータのIPアドレスのいずれかを使用すると、IAMにサインインできなくなります。これは、ブロックと呼ばれます。ブロックリストには、疑わしいIPアドレスまたはドメインが含まれます。たとえば、ハッキングが横行している国のIPアドレスを使用して、ユーザーがIAMにサインインしようとする場合があります。
IPアドレスは、インターネットに接続されているすべてのデバイスのネットワークを識別する一連の数値です。エンベロープの差出人住所のようなものであり、人間が読めるドメインに関連付けられています。IPアドレスは、他のデバイスでデータの送信元を示すため、不正なコンテンツをトラッキングするのに適した方法です。
ブロックリストでは、単一のIPアドレスまたはIPの範囲(セット)をリストできます。IAMは、この情報を使用して、疑わしいIPアドレスからサインインしようとするユーザーをブロックできます。
ネットワーク・ペリメータに含まれるIPアドレスのみを使用して、ユーザーがサインインできるようにIAMを構成することも可能です。これは許可リストと呼ばれ、これらのIPアドレスを使用してIAMにサインインしようとしているユーザーは受け入れられます。許可リスティングは、ブロックリスト(疑わしいためにIAMへのアクセスが拒否されたIPアドレスを識別する操作の逆です)の逆です。
特定のIPアドレスまたは特定の範囲のIPアドレスを使用するユーザーのみがIAMへのサインインを許可されるように、IAMを構成できます。または、疑わしいIPアドレスまたはIPアドレスの範囲をモニターし、これらのIPアドレスを使用するユーザーがIAMにサインインできないようにIAMを構成できます。
ネットワーク・ペリメータでは、標準フォーマット、正確なIPアドレス、IPアドレスの範囲、またはマスクされたIPアドレスのセットを定義できます。Internet Protocol version 4 (IPv4)プロトコルとInternet Protocol version 6 (IPv6)プロトコルの両方がサポートされています。
-
正確なIPアドレス。単一のIPアドレスまたは複数のIPアドレスを入力できます。正確なIPアドレスを複数入力する場合は、それぞれの間にカンマを挿入します。
-
ハイフンで区切られた2つのIPアドレス(これはIP範囲です)。たとえば、
10.10.10.1-10.10.10.10
のIP範囲を指定した場合、10.10.10.1
から10.10.10.10
までのIPアドレスを使用してIAMにサインインしようとしているユーザーは、そのIP範囲内のIPアドレスを使用している。 -
マスクされたIPアドレスの範囲。IPアドレスの各数値は、8ビットです。たとえば、マスクされた範囲が
10.11.12.18/24
の場合、最初の3つの数値(24ビット)は、IPアドレスがこの範囲内にあるかどうかを確認するために適用する必要があるマスクです。この例では、有効なIPアドレスは、10.11.12
で始まるアドレスです。注意
0.0.0.0/0
のIPアドレス範囲は、すべてのIPv4アドレスをグローバルに網羅しているため、使用しないでください。
リストされている例では、IPv4プロトコルでIPアドレスを使用しています。ただし、IPv6プロトコルを使用するIPアドレスに同じフォーマットを適用できます(
B138:C14:52:8000:0:0:4D8
など)。ネットワーク・ペリメータを定義した後、サインオン・ポリシーにそれらを割り当て、ネットワーク・ペリメータで定義されたIPアドレスを使用してIAMにサインインしようとしたときにIAMにサインインできるように、またはIAMにアクセスできないようにポリシーを構成できます。
サインオン・ポリシーへのネットワーク・ペリメータの割当ての詳細は、サインオン・ポリシーの追加を参照してください。