将 IAM 角色限制为某个 AWS 区域
您可将 IAM 角色限制为仅在某个特定 AWS 区域中可访问。预设情况下,Amazon Redshift 的 IAM 角色不会限制到任何单一区域。
要按区域限制对 IAM 角色的使用,请执行以下步骤。
为 IAM 角色标识允许的区域
-
通过以下网址打开 IAM 控制台
:https://console.aws.amazon.com/ 。 -
在导航窗格中,选择 Roles(角色)。
-
选择要用特定区域修改的角色。
-
选择 Trust Relationships (信任关系) 选项卡,然后选择 Edit Trust Relationship (编辑信任关系)。允许 Amazon Redshift 代表您访问其他 AWS 服务的新 IAM 角色具有以下信任关系:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "redshift.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
使用您要允许对其使用角色的特定区域的列表修改
Service
的Principal
列表。Service
列表中的每个区域都必须采用以下格式:redshift.
。region
.amazonaws.com例如,以下编辑过的信任关系仅允许在
us-east-1
和us-west-2
区域中使用 IAM 角色。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "redshift.us-east-1.amazonaws.com", "redshift.us-west-2.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
-
选择 Update Trust Policy