# AWS: nega acesso à AWS com base na região solicitada
<a name="reference_policies_examples_aws_deny-requested-region"></a>

Este exemplo mostra como é possível criar uma política baseada em identidade que negue acesso a todas as ações fora das regiões especificadas usando a [chave de condição `aws:RequestedRegion`](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion), com exceção das ações nos serviços especificados usando `NotAction`. Esta política define permissões para acesso programático e do console. Para usar esta política, substitua o {{texto do espaço reservado em itálico}} na política de exemplo por suas próprias informações. Em seguida, siga as instruções em [criar uma política](access_policies_create.md) ou [editar uma política](access_policies_manage-edit.md).

Essa política usa o elemento `NotAction` com o efeito `Deny`, que nega explicitamente o acesso a todas as ações *não* listadas na declaração. Ações nos serviços CloudFront, IAM, Route 53 e Suporte não devem ser negadas porque são produtos globais populares da AWS com um único endpoint fisicamente localizado na região `us-east-1`. Como todas as solicitações para esses serviços são feitas para a região `us-east-1`, as solicitações seriam negadas sem o elemento `NotAction`. Edite esse elemento para incluir ações para outros serviços globais da AWS que você usa, como `budgets`, `globalaccelerator`, `importexport`, `organizations` ou `waf`. Alguns outros serviços globais, como o Amazon Q Developer em aplicações de chat e o AWS Device Farm, são serviços globais com endpoints localizados fisicamente na região `us-west-2`. Para saber mais sobre todos os serviços que têm um único endpoint global, consulte [Regiões e endpoints da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) na *Referência geral da AWS*. Para obter mais informações sobre como usar o elemento `NotAction` com o efeito `Deny`, consulte [Elementos de política JSON do IAM: NotAction](reference_policies_elements_notaction.md). 

**Importante**  
Esta política não permite qualquer ação. Use essa política em combinação com outras políticas que permitam ações específicas. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DenyAllOutsideRequestedRegions",
            "Effect": "Deny",
            "NotAction": [
                "{{cloudfront:*",
                "iam:*",
                "organizations:*",
                "route53:*",
                "support:*}}"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "{{eu-central-1",
                        "eu-west-1",
                        "eu-west-2",
                        "eu-west-3}}"
                    ]
                }
            }
        }
    ]
}
```

------