DEV Community

Cover image for Kaynak IP’ye göre AWS Erişiminin Engellenmesi
Yusuf TEZCAN
Yusuf TEZCAN

Posted on • Updated on

Kaynak IP’ye göre AWS Erişiminin Engellenmesi

AWS konsol erişimlerinde, istediğimiz IP aralığı dışında gelen AWS erişimlerini kısıtlamak isteyebilirsiniz.

Örneğin; yalnızca VPN IP’si ile yada Ofis statik IP’si ile yapılan AWS erişimlerinde kullanıcıların kaynaklara erişmesini sağlayabilirsiniz. Bu IP’lerin dışında yapılan isteklerde servislere erişim aktif olmayacaktır.

Bir IAM policy oluşturacağız yada mevcut bir policy’i güncelleyeceğiz. Bakınız: create a policy or edit a policy.

Önemli bir ayrıntı; bu policy hiçbir servise izin vermez bu yüzden bu policy’nin yanında kullanıcıların ilgili servislere erişmesi için bir policy daha eklemeniz gerekecek.

Eğer AWS CloudShell kullanıyorsanız, bu servis belirlediğiniz IP aralıklarında çalışmaz dolayısıyla AWS CloudShell istekleri engellenecektir. Bu durumu yaşamamak için policy’e aşağıdaki koşulu eklemeniz yeterlidir.

"StringNotLike": {
  "aws:userAgent": "*exec-env/CloudShell*"
}
Enter fullscreen mode Exit fullscreen mode

Asıl policy’imizin yapısı aşağıdaki gibi olmalıdır.

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "aws:SourceIp": [
                    "192.0.2.0/24",
                    "203.0.113.0/24"
                ]
            },
            "Bool": {"aws:ViaAWSService": "false"}
        }
    }
}
Enter fullscreen mode Exit fullscreen mode

Bu kısımdaki IP’leri istediğiniz aralıkta yada tek bir IP ile değiştirebilirsiniz.

  "aws:SourceIp": [
                    "192.0.2.0/24",
                    "203.0.113.0/24",
                    "203.0.113.11/32"
                ]
Enter fullscreen mode Exit fullscreen mode

Eğer belirtilen IP’lerden giriş yapmazsanız, örnek olarak EC2 menüsünde şöyle bir ekran ile karşılaşacaksınız.

EC2 Dashboard

Sonuç olarak, bu policy ile ekstra bir güvenlik katmanı daha eklemiş olduk. Özellikle CLI erişimlerinde böyle bir policy kullanmak sizi biraz da olsa güvende hissettirebilir. 😊

to be continued …

Top comments (0)