将 IAM 角色限制为某个 AWS 区域 - Amazon Redshift

将 IAM 角色限制为某个 AWS 区域

您可将 IAM 角色限制为仅在某个特定 AWS 区域中可访问。预设情况下,Amazon Redshift 的 IAM 角色不会限制到任何单一区域。

要按区域限制对 IAM 角色的使用,请执行以下步骤。

为 IAM 角色标识允许的区域
  1. 通过以下网址打开 IAM 控制台https://console.aws.amazon.com/

  2. 在导航窗格中,选择 Roles(角色)。

  3. 选择要用特定区域修改的角色。

  4. 选择 Trust Relationships (信任关系) 选项卡,然后选择 Edit Trust Relationship (编辑信任关系)。允许 Amazon Redshift 代表您访问其他 AWS 服务的新 IAM 角色具有以下信任关系:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "redshift.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  5. 使用您要允许对其使用角色的特定区域的列表修改 ServicePrincipal 列表。Service 列表中的每个区域都必须采用以下格式:redshift.region.amazonaws.com

    例如,以下编辑过的信任关系仅允许在 us-east-1us-west-2 区域中使用 IAM 角色。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "redshift.us-east-1.amazonaws.com", "redshift.us-west-2.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
  6. 选择 Update Trust Policy