需要从特定 IP 地址进行访问 - AWS 规范性指导

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

需要从特定 IP 地址进行访问

调查

我们很乐意听取你的意见。请通过简短的调查提供 AWS 有关 PRA 的反馈。

只有当呼叫来自192.0.2.0/24或范围内的 IP 地址时,此策略才允许john_stiles用户担任 IAM 角色203.0.113.0/24。该政策可以帮助防止意外泄露个人数据和不必要的跨境数据传输。例如,如果您的组织中有需要访问个人数据的客户支持人员,则您可能希望该支持人员仅从位于特定子集的办公室访问这些数据 AWS 区域。此外,请验证贵组织对 PII 的定义,因为某些政策可能要求ConditionPrincipal部分限制特定用户或 IP 地址的访问权限。

{
  "Version": "2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/john_stiles"
      },
      "Action": "sts:AssumeRole"
    },
    {
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/john_stiles"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "NotIpAddress": {
          "aws:SourceIp": [
            "192.0.2.0/24",
            "203.0.113.0/24"
          ]
        }
      }
    }
  ]
}