6.5.6. 接続元のグローバルIP指定の設定例¶
接続元のグローバルIPを指定し、複数の操作を許可する場合の設定例についてご説明します。
読み取り専用ユーザー(ReadOnlyUser)設定例 と ユーザーの操作する仮想マシンを限定する権限設定例 で作成したグループを使用し、特定のグローバルIPからの読み取りとVMの操作を許可します。
特定のIPアドレスを指定するIAMロールは以下のとおりです。
本設定は Global IP Address Restriction という名称のテンプレートとして提供されています。
警告
グローバルIPで制限できる操作はAPI操作のみです。GUI操作は制限されません。
{
"contract_id" : "econXXXXXXXXX",
"iam_role_name" : "allowed_ipaddress",
"description" : "操作を許可するIPアドレス",
"resources" : [
{
"ipAddress" : "1.2.3.4/24"
}
]
}
このIAMロールをread_only_groupとnova_restricted_operation_groupに紐付けます。それぞれのIAMグループのロールとallowed_ipaddress_roleとの間には AND条件 が適用されます。
例では、1.2.3.4/24のグローバルIPからの読み取りの操作と指定されたVMの操作が実行可能となります。
図 6.5.6.1 設定イメージ