Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui refuse l'accès à toutes les actions en dehors des régions spécifiées avec la clé de condition aws:RequestedRegion, à l'exception des actions dans les services spécifiés avec NotAction. Cette politique définit des autorisations pour l'accès à la console et par programmation. Pour utiliser cette politique, remplacez celle de italicized placeholder text l'exemple de politique par vos propres informations. Ensuite, suivez les instructions fournies dans create a policy (créer une politique) ou edit a policy (modifier une politique).
Cette politique utilise l'élément NotAction avec l'effet Deny, qui refuse explicitement l'accès à toutes les actions non répertoriées dans l'instruction. Les actions relatives à l' CloudFrontIAM, à Route 53 et Support aux services ne doivent pas être refusées, car il s'agit de services AWS mondiaux populaires dotés d'un point de terminaison unique situé physiquement dans la us-east-1 région. Étant donné que toutes les demandes adressées à ces services sont effectuées vers la région us-east-1, les demandes sont refusées sans l'élément NotAction. Modifiez cet élément pour inclure les actions pour d'autres services AWS
globaux que vous utilisez, tels que budgets, globalaccelerator, importexport, organizations ou waf. Certains autres services internationaux, tels que Amazon Q Developer dans les applications de chat AWS Device Farm, sont des services mondiaux dont les points de terminaison sont physiquement situés dans la us-west-2 région. Pour en savoir plus sur tous les services qui ont un seul point de terminaison global, consultez AWS Régions et points de terminaison dans le document Références générales AWS. Pour de plus amples informations sur l'utilisation de l'élément NotAction avec l'effet Deny, veuillez consulter Éléments de politique JSON IAM : NotAction.
Important
Cette politique ne permet aucune action. Utilisez cette stratégie conjointement à d'autres stratégies qui autorisent des actions spécifiques.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAllOutsideRequestedRegions",
"Effect": "Deny",
"NotAction": [
"cloudfront:*",
"iam:*",
"route53:*",
"support:*"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": [
"eu-central-1",
"eu-west-1",
"eu-west-2",
"eu-west-3"
]
}
}
}
]
}