ネットワーク・ペリメータの管理

概要

ネットワーク・ペリメータの作成後、ユーザーは、ネットワーク・ペリメータのIPアドレスのいずれかを使用すると、IAMにサインインできなくなります。これは、ブロックと呼ばれます。ブロックリストには、疑わしいIPアドレスまたはドメインが含まれます。たとえば、ハッキングが横行している国のIPアドレスを使用して、ユーザーがIAMにサインインしようとする場合があります。

IPアドレスは、インターネットに接続されているすべてのデバイスのネットワークを識別する一連の数値です。これは、封筒にある差出人住所のようなもので、判読可能なドメインに関連付けられています。IPアドレスは他のデバイスにデータの送信元を伝えるため、不正なコンテンツをトラッキングするのに適した方法です。

ブロックリストでは、単一のIPアドレスまたはIPの範囲(セット)をリストできます。IAMは、この情報を使用して、疑わしいIPアドレスからサインインしようとするユーザーをブロックできます。

ネットワーク・境界に含まれるIPアドレスのみを使用して、ユーザーがサインインできるようにIAMを構成することもできます。これは許可リストと呼ばれ、これらのIPアドレスを使用してIAMにサインインしようとするユーザーは受け入れられます。許可リストは、ブロックリスト(疑わしいためにIAMへのアクセスが拒否されるIPアドレスを識別する操作)の逆です。

特定のIPアドレスまたは特定の範囲のIPアドレスを使用するユーザーのみがIAMへのサインインを許可されるように、IAMを構成できます。または、疑わしいIPアドレスまたはIPアドレスの範囲をモニターし、これらのIPアドレスを使用するユーザーがIAMにサインインできないようにIAMを構成できます。

ネットワーク・ペリメータでは、標準フォーマット、正確なIPアドレス、IPアドレスの範囲、またはマスクされたIPアドレスのセットを定義できます。Internet Protocol version 4 (IPv4)プロトコルとInternet Protocol version 6 (IPv6)プロトコルの両方がサポートされています。

• 正確なIPアドレス。単一のIPアドレスまたは複数のIPアドレスを入力できます。正確なIPアドレスを複数入力する場合は、それぞれの間にカンマを挿入します。

• ハイフンで区切られた2つのIPアドレス(これはIP範囲です)。たとえば、10.10.10.1-10.10.10.10のIP範囲を指定した場合、10.10.10.1から10.10.10.10までのIPアドレスを使用してIAMにサインインしようとするユーザーは、そのIP範囲内のIPアドレスを使用しています。

• マスクされたIPアドレスの範囲。IPアドレスの各数値は、8ビットです。たとえば、マスクされた範囲が10.11.12.18/24の場合、最初の3つの数値(24ビット)は、IPアドレスがこの範囲内にあるかどうかを確認するために適用する必要があるマスクです。この例では、有効なIPアドレスは、10.11.12で始まるアドレスになります。

ネットワーク・ペリメートルを定義した後、サインオン・ポリシーにそれらを割り当て、ネットワーク・ペリメータで定義されたIPアドレスを使用してIAMにサインインしようとしたときにIAMにサインインできるように、またはIAMにアクセスできないようにポリシーを構成できます。

サインオン・ポリシーへのネットワーク・ペリメータの割当ての詳細は、サインオン・ポリシーの追加を参照してください。