SORACOM Access Management (SAM) の パーミッション構文と、スイッチユーザー の信頼ポリシー構文では、IP アドレスを指定してアクセスを許可/拒否できます。具体的には、sourceIp 変数と ipAddress 関数を利用します。

今回のアップデートでは、この sourceIp 変数と ipAddress 関数が IPv6 アドレスに対応しました。SAM ユーザーやスイッチユーザーを利用する際、これまでの IPv4 アドレスに加えて、IPv6 アドレスを使用してアクセスを管理できます。

IPv4 アドレスを指定してアクセスを拒否していた場合の注意

以下のように IPv4 アドレスを指定してアクセスを拒否するルールを設定している場合は、そのルールが回避される可能性があります。ユーザーが IPv6 アドレスでアクセスした場合に、IPv4 アドレスではないため deny が適用されません。

{
  "statements": [
    {
      "effect": "allow",
      "api": [
        "Sim:*",
        "Group:*"
      ]
    },
    {
      "effect": "deny",
      "api": [
        "Sim:*",
        "Group:*"
      ],
      "condition": "ipAddress('xxx.xxx.xxx.xxx/24')"
    }
  ]
}

なお、sourceIp 変数や ipAddress 関数で IP アドレスを指定して、アクセスを拒否することは推奨されません。これは、IP アドレスは変更可能であり、攻撃者によって簡単に制限を回避される可能性があるためです。

代わりに以下のように、特定の範囲の IP アドレスからのアクセスを許可するように設定することを推奨します。

{
  "statements": [
    {
      "effect": "allow",
      "api": [
        "Sim:*",
        "Group:*"
      ],
      "condition": "ipAddress('yyy.yyy.yyy.yyy/24')"
    }
  ]
}

ご不明な点などございましたら SORACOM サポート までお問い合わせください。