- ALLOW ポリシーだけを定義した場合 → その他は自動的に拒否(deny)
- DENY を明示するのは、「例外的に強制拒否したい時」のみに使えば OK
# 1. 特定の IP を拒否
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: deny-blacklisted-ip
namespace: default
spec:
selector:
matchLabels:
app: myapp
action: DENY
rules:
- from:
- source:
ipBlocks: ["203.0.113.10/32"]
---
# 2. その他を許可
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: allow-all
namespace: default
spec:
selector:
matchLabels:
app: myapp
action: ALLOW
rules:
- {}
- 203.0.113.1 のみがアクセス可能。
- それ以外のすべての IP は 暗黙的に拒否される(deny)
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: allow-only-one-ip
namespace: default
spec:
selector:
matchLabels:
app: myapp
action: ALLOW
rules:
- from:
- source:
ipBlocks: ["203.0.113.1/32"] # ← このIPだけ許可