AWS: nega l'accesso in AWS base alla regione richiesta - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS: nega l'accesso in AWS base alla regione richiesta

Questo esempio illustra come creare una policy basata sull'identità che neghi l'accesso a qualsiasi operazione esterna alle regioni specificate utilizzando la chiave di condizione aws:RequestedRegion, fatta eccezione per le operazioni nei servizi specificati tramite NotAction. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console. Per utilizzare questa policy, sostituisci il testo segnaposto in corsivo nella policy di esempio con le tue informazioni. Quindi, segui le indicazioni fornite in Creazione di una policy o Modifica di una policy.

Questa policy utilizza l'elemento NotAction con l'effetto Deny, che rifiuta esplicitamente l'accesso a tutte le operazioni che non sono elencate nella dichiarazione. Le azioni su IAM CloudFront, Route 53 e AWS Support sui servizi non devono essere negate, perché si tratta di servizi AWS globali molto diffusi con un unico endpoint che si trova fisicamente nella us-east-1 regione. Poiché tutte le richieste a questi servizi vengono effettuate alla regione us-east-1, le richieste vengono rifiutate senza l'elemento NotAction. Modifica questo elemento per includere operazioni per altri servizi globali AWS che utilizzi, ad esempio budgets, globalaccelerator, importexport, organizations o waf. Alcuni altri servizi globali, come AWS Chatbot and AWS Device Farm, sono servizi globali con endpoint che si trovano fisicamente nella us-west-2 regione. Per ulteriori informazioni su tutti i servizi che dispongono di un singolo endpoint globale, consulta Regioni ed endpoint AWS nella Riferimenti generali di AWS. Per ulteriori informazioni sull'utilizzo dell'elemento NotAction con l'effetto Deny, consulta Elementi delle policy JSON IAM: NotAction.

Importante

Questa policy non consente alcuna operazione. Utilizza questa policy in combinazione con altre policy che consentono operazioni specifiche. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAllOutsideRequestedRegions",
            "Effect": "Deny",
            "NotAction": [
                "cloudfront:*",
                "iam:*",
                "route53:*",
                "support:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1",
                        "eu-west-2",
                        "eu-west-3"
                    ]
                }
            }
        }
    ]
}