AWS Billing Conductor 基于资源的策略示例 - AWS 计费指挥家
限制 Amazon S3 存储桶对特定 IP 地址的访问权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Billing Conductor 基于资源的策略示例

限制 Amazon S3 存储桶对特定 IP 地址的访问权限

以下示例向任何用户授予对指定存储桶中的对象执行任何 Amazon S3 操作的权限。但是,请求必须来自条件中指定的 IP 地址范围。

此语句中的条件标识了允许的互联网协议版本 4 (IPv4) IP 地址的 54.240.143.* 范围,但有一个例外:54.240.143.188。

Condition模块使用IpAddressNotIpAddress条件和aws:SourceIp条件键,后者是一个 AWS 宽条件键。有关这些条件键的更多信息,请参阅在策略中指定条件。这些aws:sourceIp IPv4 值使用标准 CIDR 表示法。有关更多信息,请参阅 《IAM 用户指南》中的 IP 地址条件运算符

{
  "Version": "2012-10-17",
  "Id": "S3PolicyId1",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
         "NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"} 
      } 
    } 
  ]
}