Restricción de un rol de IAM a una región de AWS
Puede restringir un rol de IAM para que sea accesible solo en una determinada región de AWS. De manera predeterminada, los roles de IAM para Amazon Redshift no se restringen a ninguna región en particular.
Para restringir la utilización de un rol de IAM por región, siga estos pasos.
Para identificar las regiones permitidas para un rol de IAM
-
Abra la consola de IAM
en https://console.aws.amazon.com/ . -
Seleccione Roles en el panel de navegación.
-
Seleccione el rol que desea modificar con regiones específicas.
-
Seleccione la pestaña Trust Relationships (Relaciones de confianza) y Edit Trust Relationship (Editar relación de confianza). Un rol de IAM nuevo que permita a Amazon Redshift obtener acceso a otros servicios de AWS en su nombre tiene la siguiente relación de confianza:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "redshift.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
Modifique la lista
Service
para elPrincipal
con la lista de las regiones específicas a las que desea permitir la utilización del rol. Cada región de la listaService
debe indicarse con el formato siguiente:redshift.
.region
.amazonaws.com.rproxy.goskope.comPor ejemplo, la siguiente relación de confianza editada permite la utilización del rol de IAM solo en las regiones
us-east-1
yus-west-2
.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "redshift.us-east-1.amazonaws.com", "redshift.us-west-2.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
-
Seleccione Update Trust Policy (Actualizar política de confianza)