AWS: refuse l'accès à la AWS base de l'adresse IP source - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS: refuse l'accès à la AWS base de l'adresse IP source

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui refuse l'accès à toutes les AWS actions du compte lorsque la demande provient de principaux situés en dehors de la plage d'adresses IP spécifiée. Cette politique est utile lorsque les adresses IP de votre entreprise se situent dans les plages d'adresses IP spécifiées. Dans cet exemple, la demande sera rejetée sauf si elle provient de la plage CIDR 192.0.2.0/24 ou 203.0.113.0/24. La politique ne refuse pas les demandes effectuées par les AWS services utilisateurs, Transmission des sessions d'accès car l'adresse IP du demandeur d'origine est préservée.

Soyez prudent lorsque vous utilisez des conditions négatives dans la même instruction de politique comme "Effect": "Deny". Dans ce cas, les actions spécifiées dans l'instruction de politique sont explicitement refusées dans toutes les conditions sauf celles spécifiées.

Important

Cette politique ne permet aucune action. Utilisez cette stratégie conjointement à d'autres stratégies qui autorisent des actions spécifiques.

Lorsque d'autres politiques autorisent des actions, les principaux peuvent effectuer des demandes à partir de la plage d'adresses IP. Un AWS service peut également effectuer des demandes en utilisant les informations d'identification du principal. Lorsqu'un principal effectue une demande en dehors de la plage d'adresses IP, la demande est refusée.

Pour de plus amples informations sur l'utilisation de la clé de condition aws:SourceIp, en particulier sur le moment où aws:SourceIp risque de ne pas fonctionne dans votre politique, veuillez consulter AWS clés contextuelles de condition globale.

{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "192.0.2.0/24", "203.0.113.0/24" ] } } } }