Restringir uma função do IAM a uma região da AWS - Amazon Redshift

Restringir uma função do IAM a uma região da AWS

Você pode restringir uma função do IAM para ser acessível somente em uma determinada região da AWS. Por padrão, as funções do IAM do Amazon Redshift não estão restritas a uma única região.

Para restringir o uso de uma função do IAM por região, siga estas etapas.

Para identificar regiões permitidas para uma função do IAM
  1. Abra o Console do IAM em https://console.aws.amazon.com/.

  2. No painel de navegação, escolha Perfis.

  3. Escolha a função que você deseja modificar com regiões específicas.

  4. Escolha a guia Trust Relationships e Edit Trust Relationship. Uma nova função do IAM que permite ao Amazon Redshift acessar outros serviços da AWS em seu nome tem uma relação de confiança da seguinte maneira:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "redshift.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  5. Modifique a lista Service do Principal com a lista das regiões específicas para as quais você deseja permitir o uso da função. Cada região na lista Service deve estar no seguinte formato: redshift.region.amazonaws.com.

    Por exemplo, a relação de confiança editada permite o uso da função do IAM somente nas regiões us-east-1 e us-west-2.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "redshift.us-east-1.amazonaws.com", "redshift.us-west-2.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
  6. Escolher Update Trust Policy