Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

Chapitre 2. Ajout de contraintes supplémentaires pour l’hypothèse du rôle AWS basée sur IP

Dans votre compte AWS, vous pouvez implémenter une couche de sécurité supplémentaire pour empêcher l’hypothèse des rôles des adresses IP non autorisées.

2.1. Créer une politique IAM basée sur l’identité
Copier lien

Il est possible de créer une politique de gestion des identités et des accès (IAM) basée sur l’identité qui refuse l’accès à toutes les actions AWS lorsque la demande provient d’une adresse IP autre que les adresses IP fournies par Red Hat.

Conditions préalables

  • Accès à la console de gestion AWS avec les autorisations requises pour créer et modifier les politiques IAM.

Procédure

  1. Connectez-vous à la console de gestion AWS à l’aide des informations d’identification de votre compte AWS.
  2. Accédez au service IAM.
  3. Dans la console IAM, sélectionnez Politiques dans le menu de navigation de gauche.
  4. Cliquez sur Créer une stratégie.
  5. Choisissez l’onglet JSON pour définir la stratégie en utilisant le format JSON.

  6. Afin d’obtenir les adresses IP que vous devez saisir dans le document de stratégie JSON, exécutez la commande suivante: 

    $ ocm get /api/clusters_mgmt/v1/trusted_ip_addresses
    Copy to Clipboard Toggle word wrap
    Note

    Ces adresses IP ne sont pas permanentes et peuvent être modifiées. Il est nécessaire d’examiner en permanence la sortie de l’API et d’effectuer les mises à jour nécessaires dans le document de stratégie JSON.

  7. Copiez et collez le fichier policy_document.json suivant dans l’éditeur: 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": []
                },
                "Bool": {
                    "aws:ViaAWSService": "false"
                }
            }
        }
    ]
}
    Copy to Clipboard Toggle word wrap
  8. Copiez et collez toutes les adresses IP, que vous avez obtenues à l’étape 6, dans le tableau "aws:SourceIp": [] dans votre fichier policy_document.json.
  9. Cliquez sur Réviser et créer.
  10. Fournir un nom et une description de la politique et examiner les détails pour en vérifier l’exactitude.
  11. Cliquez sur Créer une stratégie pour sauvegarder la politique.
Note

La clé de condition aws:ViaAWSService doit être définie à faux pour permettre aux appels ultérieurs de réussir en fonction de l’appel initial. Ainsi, si vous effectuez un appel initial à aws ec2 described-instances, tous les appels ultérieurs effectués au sein du serveur API AWS pour récupérer des informations sur les volumes EBS attachés à l’instance ec2 échoueront si la clé de condition aws:ViaAWSService n’est pas définie sur false. Les appels suivants échoueraient parce qu’ils provenaient d’adresses IP AWS, qui ne sont pas incluses dans l’AlowList.

Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat