# AWS: 요청된 리전에 따라 AWS에 대한 액세스를 거부 이 예에서는 `NotAction`을 사용하도록 지정된 서비스의 작업을 제외하고 [`aws:RequestedRegion` 조건 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion)를 사용하여 지정된 리전 외부의 작업에 대한 액세스를 거부하는 아이덴티티 기반 정책을 생성하는 방법을 보여줍니다. 이 정책은 프로그래밍 방식 및 콘솔 액세스에 대한 권한을 정의합니다. 이 정책을 사용하려면 정책 예제의 *기울임꼴 자리 표시자 텍스트*를 본인의 정보로 대체하세요. 그런 다음 [정책 생성](access_policies_create.md) 또는 [정책 편집](access_policies_manage-edit.md)의 지침을 따릅니다. 이 정책은 `NotAction` 요소를 `Deny` 효과와 함께 사용하여 문에 나열되지 *않은* 모든 작업에 대한 액세스를 거부합니다. CloudFront, IAM, Route 53 및 지원 서비스의 작업은 거부되어서는 안 되는데, 이는 이러한 서비스가 물리적으로 `us-east-1` 리전에 위치한 단일 엔드포인트가 포함된 유명한 AWS 전역 서비스이기 때문입니다. 이러한 서비스에 대한 모든 요청이 `us-east-1` 리전으로 전달되기 때문에 `NotAction` 요소 없이 요청은 거부됩니다. 이 요소를 편집하여 `budgets`, `globalaccelerator`, `importexport`, `organizations` 또는 `waf` 등과 같이 기타 AWS 전역 서비스에 대한 작업을 포함합니다. 채팅 애플리케이션의 Amazon Q Developer 및 AWS Device Farm과 같은 일부 다른 전역 서비스는 물리적으로 `us-west-2` 리전에 위치한 엔드포인트를 포함한 전역 서비스입니다. 전역 엔드포인트를 보유한 모든 서비스에 대해 알아보려면 **AWS 일반 참조의 [AWS 리전 및 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/rande.html)를 참조하세요. `NotAction` 효과와 `Deny` 요소의 사용에 대해 자세하 알아보려면 [IAM JSON 정책 요소: NotAction](reference_policies_elements_notaction.md) 섹션을 참조하세요. **중요** 이 정책은 어떤 작업도 허용하지 않습니다. 이 정책을 특정 작업을 허용하는 다른 정책과 함께 사용합니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideRequestedRegions", "Effect": "Deny", "NotAction": [ "cloudfront:*", "iam:*", "organizations:*", "route53:*", "support:*" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": [ "eu-central-1", "eu-west-1", "eu-west-2", "eu-west-3" ] } } } ] } ``` ------