【AWS】リソースポリシーによるAPI GatewayのIPアドレス制限で許可した端末からもアクセスできない

やりたいこと

リソースポリシーによるAPI GatewayのIPアドレス制限を行う。
ホワイトリスト型で許可したIPアドレスのみAPIにアクセス可能にしたい。

困っていること

許可しているつもりのグローバルIPアドレスの端末からアクセスしても、以下のような許可対象外のレスポンスが返る

{"Message":"User: anonymous is not authorized to perform: ～（略）"}

やってみたこと

以下をAPI Gatewayのリソースポリシーに設定して保存し、デプロイ。その後対象のAPIにアクセス。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:ap-southeast-1:account-id:api-id/*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": "XX.XXX.XX.XXX"    ← 実際は許可したいグローバルIPアドレスを記述しています
                }
            }
        }
    ]
}

※参考にしたページ
https://qiita.com/hayao_k/items/4af8874b6ef2b63a63d1

原因、解決策をご存知でしたら教えてください。
よろしくお願い致します。

補足
・デプロイ後1時間以上たってからもアクセスしても同様のエラーとなっています
・リソースポリシー設定前は正常にアクセスできていました
・プライベートIPアドレスが割り当てられた端末からアクセスしています

行動規範の内容に同意します

回答1件

自己解決

Resourceのaccount-id、api-idを正しい値に置き換えてなかっただけでした。
以下に修正したら正常に制限できました。

"Resource": "arn:aws:execute-api:*:*:*",

以下を参照しました。
https://docs.aws.amazon.com/ja_jp/apigateway/latest/developerguide/api-gateway-control-access-using-iam-policies-to-invoke-api.html#api-gateway-iam-policy-resource-format-for-executing-api

投稿2018/07/24 08:32

daqros

総合スコア9

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう！