Access Control via IAM

本ガイドでは、特定のアカウントに対して、承認されたIPアドレスのみからStorage Bucketのコンテンツにアクセスできるようにアクセス制限を設定する方法について説明します。承認されていないIPアドレスからのアクセス試行は拒否され、コンテンツの不正利用から保護されます。

前提条件

• 複数アカウントからのアクセス制御にはIAM（Identity and Access Management）の利用が必要です。このため、利用可能なAccessKeyとAccessKey Secretのペアが必要です。
• IAMをご利用いただく前に、制限をかけたいアカウントに対して、少なくとも1組のAccessKeyおよびAccessKey Secretの認証情報が設定されていることをご確認ください。
• IAM権限はStorage Bucketへの直接アクセスのみに影響し、CDNのオリジンバックリクエストには影響しません。

IAM操作の詳細については、IAMドキュメントをご参照ください。

例示シナリオ

サブアカウントのIPアドレスによるアクセス制限

サブアカウント「alvin」がIPアドレス「27.148.104.22」からのみWangsu Object Storageへアクセスできるように制限する場合、次の手順に従ってください。

1. CDNetworksコンソールにサインインします。「IAM」>「権限」>「ポリシー」ページを開き、「ポリシー追加」をクリックして新しい権限ポリシーを作成します。

2. 「可視化」を選択し、「非CDN製品サービス」内の「Object Storage (wos)」を選択して、「次へ」をクリックします。

3. 許可、全てのアクション、全てのリソースを選択してください。

4. 制限条件を設定してください：

   • キーワードとしてSourceIpを選択してください。
   • 条件としてStringNotEqualsを選択してください。
   • 指定欄に許可するIPアドレス「27.148.104.22」を入力してください。
   • フォームに必要事項を入力し、次へをクリックしてください。

5. ポリシーに名前を付け、次へをクリックして続行します。

6. ポリシーを「alvin」アカウントに割り当て、完了をクリックして設定を完了します。

IAM設定の確認

コンソールアクセスによる検証

サブアカウント「alvin」でログインします。許可されていないIPアドレス（「27.148.104.22」以外）から接続した場合、バケットは表示されず、「対応するアクセス権限がありません」と通知が表示されるはずです。設定が正しければ、この動作が確認できます。

ファイルURLによるアクセス検証

ストレージバケットからアクセス可能なファイルのURLをコピーしてください。以下のコマンドラインを使用して、許可されていないIPアドレスからアクセスを試みます。

curl -voa "http://test20240103.s3-cn-east-7.wcsapi.com/IMG_3413.jpeg?Signature=%AHYRGqm0WL%2FZc%3D&AWSAccessKeyId=Cis17pTPsW2rwYdxaUZ7RZpxype&Expires=14611"

403 Forbiddenのレスポンスは、IAM構成が有効かつ正常に動作していることを確認します。