ネットワーク・ペリメータの管理

IAMのアイデンティティ・ドメイン内のネットワーク・ペリメータは、ユーザーがサインインに使用できるIPアドレスを制限します。

この項の内容は次のとおりです:

概要

ネットワーク・ペリメータの作成後、ユーザーは、ネットワーク・ペリメータのIPアドレスのいずれかを使用すると、IAMにサインインできなくなります。これは、ブロックと呼ばれます。ブロックリストには、疑わしいIPアドレスまたはドメインが含まれます。たとえば、ハッキングが横行している国のIPアドレスを使用して、ユーザーがIAMにサインインしようとする場合があります。

IPアドレスは、インターネットに接続されているすべてのデバイスのネットワークを識別する一連の数値です。これは、封筒にある差出人住所のようなもので、判読可能なドメインに関連付けられています。IPアドレスは他のデバイスにデータの送信元を伝えるため、不正なコンテンツをトラッキングするのに適した方法です。

ブロックリストでは、単一のIPアドレスまたはIPの範囲(セット)をリストできます。IAMは、この情報を使用して、疑わしいIPアドレスからサインインしようとするユーザーをブロックできます。

また、ネットワーク・ペリメータに含まれるIPアドレスのみを使用して、ユーザーがサインインできるようにIAMを構成することもできます。これは許可リストと呼ばれ、これらのIPアドレスを使用してIAMにサインインしようとするユーザーは受け入れられます。許可リストは、ブロックリスト(疑わしいためにIAMへのアクセスが拒否されるIPアドレスを識別する操作)の逆です。

特定のIPアドレスまたは特定の範囲のIPアドレスを使用するユーザーのみがIAMへのサインインを許可されるように、IAMを構成できます。または、疑わしいIPアドレスまたはIPアドレスの範囲をモニターし、これらのIPアドレスを使用するユーザーがIAMにサインインできないようにIAMを構成できます。

ネットワーク・ペリメータでは、標準フォーマット、正確なIPアドレス、IPアドレスの範囲、またはマスクされたIPアドレスのセットを定義できます。Internet Protocol version 4 (IPv4)プロトコルとInternet Protocol version 6 (IPv6)プロトコルの両方がサポートされています。

  • 正確なIPアドレス。単一のIPアドレスまたは複数のIPアドレスを入力できます。正確なIPアドレスを複数入力する場合は、それぞれの間にカンマを挿入します。

  • ハイフンで区切られた2つのIPアドレス(これはIP範囲です)。たとえば、10.10.10.1-10.10.10.10のIP範囲を指定した場合、10.10.10.1から10.10.10.10までのIPアドレスを使用してIAMにサインインしようとするユーザーは、そのIP範囲内のIPアドレスを使用しています。

  • マスクされたIPアドレスの範囲。IPアドレスの各数値は、8ビットです。たとえば、マスクされた範囲が10.11.12.18/24の場合、最初の3つの数値(24ビット)は、IPアドレスがこの範囲内にあるかどうかを確認するために適用する必要があるマスクです。この例では、有効なIPアドレスは、10.11.12で始まるアドレスになります。

ノート

前述の例では、IPv4プロトコルでIPアドレスを使用しています。ただし、IPv6プロトコルを使用するIPアドレスに同じフォーマットを適用できます(B138:C14:52:8000:0:0:4D8など)。

ネットワーク・ペリメータを定義した後、サインオン・ポリシーにそれらを割り当て、ネットワーク・ペリメータで定義されたIPアドレスを使用してIAMにサインインしようとしたときにIAMにサインインできないようにポリシーを構成できます。

サインオン・ポリシーへのネットワーク・ペリメータの割当ての詳細は、サインオン・ポリシーの追加を参照してください。