Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

AWS: nega acesso à AWS com base na região solicitada

PDF
RSS
Modo de foco
AWS: nega acesso à AWS com base na região solicitada - AWS Identity and Access Management

Este exemplo mostra como é possível criar uma política baseada em identidade que negue acesso a todas as ações fora das regiões especificadas usando a chave de condição aws:RequestedRegion, com exceção das ações nos serviços especificados usando NotAction. Esta política define permissões para acesso programático e do console. Para usar esta política, substitua o texto do espaço reservado em itálico na política de exemplo por suas próprias informações. Em seguida, siga as instruções em criar uma política ou editar uma política.

Essa política usa o elemento NotAction com o efeito Deny, que nega explicitamente o acesso a todas as ações não listadas na declaração. Ações nos serviços CloudFront, IAM, Route 53 e Suporte não devem ser negadas porque são produtos globais populares da AWS com um único endpoint fisicamente localizado na região us-east-1. Como todas as solicitações para esses serviços são feitas para a região us-east-1, as solicitações seriam negadas sem o elemento NotAction. Edite esse elemento para incluir ações para outros serviços globais da AWS que você usa, como budgets, globalaccelerator, importexport, organizations ou waf. Alguns outros serviços globais, como o Amazon Q Developer em aplicações de chat e o AWS Device Farm, são serviços globais com endpoints localizados fisicamente na região us-west-2. Para saber mais sobre todos os serviços que têm um único endpoint global, consulte Regiões e endpoints da AWS na Referência geral da AWS. Para obter mais informações sobre como usar o elemento NotAction com o efeito Deny, consulte Elementos de política JSON do IAM: NotAction.

Importante

Esta política não permite qualquer ação. Use essa política em combinação com outras políticas que permitam ações específicas. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAllOutsideRequestedRegions",
            "Effect": "Deny",
            "NotAction": [
                "cloudfront:*",
                "iam:*",
                "route53:*",
                "support:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1",
                        "eu-west-2",
                        "eu-west-3"
                    ]
                }
            }
        }
    ]
}

Related resources

Referência da API do AWS Identity and Access Management
Comandos da AWS CLI para o AWS Identity and Access Management
SDKs e ferramentas 

Related resources

Referência da API do AWS Identity and Access Management
Comandos da AWS CLI para o AWS Identity and Access Management
SDKs e ferramentas 
PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.