AWS : refuse l'accès à AWS en fonction de la région demandée

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui refuse l'accès à toutes les actions en dehors des régions spécifiées avec la clé de condition aws:RequestedRegion, à l'exception des actions dans les services spécifiés avec NotAction. Cette politique définit des autorisations pour l'accès à la console et par programmation. Pour utiliser cette politique, remplacez le texte de l'espace réservé en italique dans l'exemple de politique par vos propres informations de ressource. Ensuite, suivez les instructions fournies dans create a policy (créer une politique) ou edit a policy (modifier une politique).

Cette politique utilise l'élément NotAction avec l'effet Deny, qui refuse explicitement l'accès à toutes les actions non répertoriées dans l'instruction. Les actions dans les services CloudFront, IAM, Route 53 et Support ne doivent pas être refusées, car ce sont des services AWS globaux populaires avec un seul point de terminaison situé physiquement dans la région us-east-1. Étant donné que toutes les demandes adressées à ces services sont effectuées vers la région us-east-1, les demandes sont refusées sans l'élément NotAction. Modifiez cet élément pour inclure les actions pour d'autres services AWS globaux que vous utilisez, tels que budgets, globalaccelerator, importexport, organizations ou waf. Certains autres services globaux, tels qu’Amazon Q Developer dans les applications de chat et AWS Device Farm, sont des services globaux dont les points de terminaison sont physiquement situés dans la région us-west-2. Pour en savoir plus sur tous les services qui ont un seul point de terminaison global, consultez AWS Régions et points de terminaison dans le document Références générales AWS. Pour de plus amples informations sur l'utilisation de l'élément NotAction avec l'effet Deny, veuillez consulter Éléments de politique JSON IAM : NotAction.