Access Restriction via IAM

このガイドでは、特定のアカウントに対してアクセス制御を設定し、承認されたIPアドレスからのみストレージバケットのコンテンツにアクセスできるようにする方法を説明します。承認されていないIPアドレスからのアクセス試行は拒否され、コンテンツを不正使用から保護します。

前提条件

• 異なるアカウントからのアクセスを制御するにはIAM（Identity and Access Management）を使用する必要があり、そのためにはAccessKeyとAccessKey Secretのペアが必要です。
• IAMを使用する前に、制御対象のアカウントが少なくとも1セットのこれらの認証情報を持っていることを確認してください。
• IAMによる権限付与はストレージバケットへの直接アクセスのみに影響し、CDNのオリジン戻りアクセスには影響しません。

IAM操作の詳細については IAM documentation を参照してください。

利用シナリオ例

サブアカウントをIPアドレスで制御する

サブアカウント “alvin” のアクセスを制限し、IPアドレス “27.148.104.22” からのみObject Storageへアクセスできるようにする場合、以下の手順に従います。

1. CDNetworksコンソールにサインインします。IAM > Permissions > Policies に移動し、Add Policy をクリックして新しいポリシーを作成します。

2. Visualized を選択し、Non-CDN Product Services の下で Object Storage (wos) を選択し、Next をクリックします。

   

3. Allow、All Actions、All Resources を選択します。

   

4. 制限条件を設定します:

   • キーワードとして SourceIp を選択
   • 条件として StringNotEquals を選択
   • 許可されたIPアドレス “27.148.104.22” を入力
   • フォームの設定が完了したら、Next をクリックして次へ進みます
   

5. ポリシーに名前を付け、Next をクリックして続行します。

6. このポリシーを “alvin” アカウントに割り当て、Finish をクリックして設定を完了します。

   

IAM設定の検証

コンソールアクセスによる確認

サブアカウント “alvin” でログインします。未承認のIPアドレス（“27.148.106.28” 以外）から接続した場合は、バケットが表示されず、設定が正しければ「There is no corresponding access rights」という通知が表示されます。

ファイルURLアクセスによる確認

ストレージバケットからアクセス可能なファイルのURLをコピーします。未承認のIPアドレスから次のコマンドラインを使用してアクセスを試みます。

curl -voa "http://test20240103.s3-cn-east-7.wcsapi.com/IMG_3413.jpeg?Signature=%AHYRGqm0WL%2FZc%3D&AWSAccessKeyId=Cis17pTPsW2rwYdxaUZ7RZpxype&Expires=14611"

403 Forbidden レスポンスが返れば、IAM設定が有効で正しく動作していることを確認できます。