AWS: AWS 根據請求的區域拒絕訪問 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS: AWS 根據請求的區域拒絕訪問

此範例會示範如何建立身分型政策,拒絕以 aws:RequestedRegion 條件索引鍵所指定區域以外位置任何操作的存取權,但使用 NotAction 所指定服務的操作除外。此政策定義了程式設計和主控台存取的許可。若要使用此政策,請將範例政策中的斜體預留位置文字取代為您自己的資訊。然後,遵循建立政策編輯政策中的指示進行操作。

此政策使用含 Deny 效果的 NotAction 元素,此效果會明確拒絕存取「未」列在陳述式中的所有動作。不應拒絕 IAM CloudFront、Route 53 和 AWS Support 服務中的動作,因為這些是具有實際位於us-east-1區域中的單一端點的熱門 AWS 全球服務。這些服務的所有請求是對 us-east-1 區域提出,因此在沒有使用 NotAction 元素的情況下請求會遭拒。編輯此元素來為您使用的其他 AWS 全域服務 (例如,budgetsglobalacceleratorimportexportorganizationswaf) 包含動作。其他一些全球服務,例如 AWS Chatbot 和 AWS Device Farm,是具有實際位於該us-west-2地區的端點的全球服務。要了解具有單一全域端點的所有服務,請參閱 AWS 一般參考 中的 AWS 區域和端點。如需有關使用含 NotAction 效果之 Deny 元素的詳細資訊,請參閱 IAM JSON 政策元素:NotAction

重要

此政策不允許任何動作。將此政策與允許特定動作的其他政策結合使用。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAllOutsideRequestedRegions",
            "Effect": "Deny",
            "NotAction": [
                "cloudfront:*",
                "iam:*",
                "route53:*",
                "support:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1",
                        "eu-west-2",
                        "eu-west-3"
                    ]
                }
            }
        }
    ]
}