EC2インスタンスのhttp(s)およびpop / imapポートへのアクセスを単一の国に制限する必要があります。そのセキュリティ監査人からの要件。VPN経由でのアクセスを妨げることはありませんが、少なくとも直接開かれることはありません。

同じトピックについてここに2つの質問があります: 米国からのAWS EC2セキュリティグループSSHアクセスのみ

単一の国からのAWSEC2セキュリティグループのWebアクセス?

両方の答えは、セキュリティグループに国のネットブロックを追加する必要があります。誰かがそれを本番環境に実装したかどうか知りたいですか?

セキュリティグループごとに50のルールとインスタンスごとに5つのセキュリティグループの制限がある場合、セキュリティグループにすべてのネットブロックを追加することは可能ですか?

ブロックは頻繁に変更されますか?毎日チェックして更新するために自動化が必要ですか?

最後に、AWSのネイティブ機能/サービスを使用したより良いソリューションはありますか?AWSネ​​ットワークファイアウォールを使用している可能性がありますか?

answer

たぶん、サーバーに接続するために一部のIPのみを承認するか、アプリケーションで直接作業を行うことをお勧めします(このIPはこの国にローカライズされていないため、アクセスを拒否します)

ただし、他の国のユーザーは、ローカリゼーションを偽造するためにVPNを使用できることに注意してください。したがって、IPのみに制限することは、あなたが持つことができる最良の制限です!