Restringir uma função do IAM a uma região da AWS
Você pode restringir uma função do IAM para ser acessível somente em uma determinada região da AWS. Por padrão, as funções do IAM do Amazon Redshift não estão restritas a uma única região.
Para restringir o uso de uma função do IAM por região, siga estas etapas.
Para identificar regiões permitidas para uma função do IAM
-
Abra o Console do IAM
em https://console.aws.amazon.com/ . -
No painel de navegação, escolha Perfis.
-
Escolha a função que você deseja modificar com regiões específicas.
-
Escolha a guia Trust Relationships e Edit Trust Relationship. Uma nova função do IAM que permite ao Amazon Redshift acessar outros serviços da AWS em seu nome tem uma relação de confiança da seguinte maneira:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "redshift.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
Modifique a lista
Service
doPrincipal
com a lista das regiões específicas para as quais você deseja permitir o uso da função. Cada região na listaService
deve estar no seguinte formato:redshift.
.region
.amazonaws.com.rproxy.goskope.comPor exemplo, a relação de confiança editada permite o uso da função do IAM somente nas regiões
us-east-1
eus-west-2
.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "redshift.us-east-1.amazonaws.com", "redshift.us-west-2.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
-
Escolher Update Trust Policy