本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # AWS: AWS 根據來源 IP 拒絕對 的存取 此範例說明如何建立身分型政策,當請求來自指定 IP 範圍之外的*主體*時,拒絕存取帳戶中的所有 AWS 動作。當您公司的 IP 地址在指定範圍內時,該政策很有用。在此範例中,請求需要源自 CIDR 範圍 192.0.2.0/24 或 203.0.113.0/24 ,否則會遭到拒絕。政策不會拒絕 AWS 服務使用 提出的請求,[轉送存取工作階段](access_forward_access_sessions.md)因為會保留原始請求者的 IP 地址。 請小心使用相同政策陳述式中的負面條件做為 `"Effect": "Deny"`。當您這麼做時,*除了*指定的委託人之外,政策陳述式中指定的動作在所有條件下都會明確拒絕授予。 **重要** 此政策不允許任何動作。將此政策與允許特定動作的其他政策結合使用。 當其他政策允許動作時,主體可以從 IP 地址範圍內提出請求。 AWS 服務也可以使用委託人的登入資料提出請求。當主體從 IP 範圍外提出請求時,即會拒絕該請求。 如需有關使用 `aws:SourceIp` 條件鍵 (包括何時 `aws:SourceIp` 可能無法在政策中運作) 的詳細資訊,請參閱 [AWS 全域條件內容索引鍵](reference_policies_condition-keys.md)。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "{{192.0.2.0/24}}", "{{203.0.113.0/24}}" ] } } } } ``` ------