AWS:根據請求的區域拒絕存取 AWS - AWS Identity and Access Management

AWS:根據請求的區域拒絕存取 AWS

此範例會示範如何建立身分型政策,拒絕以 aws:RequestedRegion 條件索引鍵所指定區域以外位置任何操作的存取權,但使用 NotAction 所指定服務的操作除外。此政策定義了程式設計和主控台存取的許可。若要使用此政策,請將範例政策中的斜體預留位置文字取代為您自己的資訊。然後,遵循建立政策編輯政策中的指示進行操作。

此政策使用含 Deny 效果的 NotAction 元素,此效果會明確拒絕存取「未」列在陳述式中的所有動作。CloudFront、IAM、Route 53 和 支援 服務中的動作不應被拒絕,因為這些是含實際位於 us-east-1 區域之單一端點的熱門 AWS 全域服務。這些服務的所有請求是對 us-east-1 區域提出,因此在沒有使用 NotAction 元素的情況下請求會遭拒。編輯此元素來為您使用的其他 AWS 全域服務 (例如,budgetsglobalacceleratorimportexportorganizationswaf) 包含動作。其他一些全域服務,例如聊天應用程式中的 Amazon Q Developer 和 AWS Device Farm,是端點實際位於 us-west-2 區域的全域服務。要了解具有單一全域端點的所有服務,請參閱 AWS 一般參考 中的 AWS 區域和端點。如需有關使用含 NotAction 效果之 Deny 元素的詳細資訊,請參閱 IAM JSON 政策元素:NotAction

重要

此政策不允許任何動作。將此政策與允許特定動作的其他政策結合使用。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DenyAllOutsideRequestedRegions",
            "Effect": "Deny",
            "NotAction": [
                "cloudfront:*",
                "iam:*",
                "organizations:*",
                "route53:*",
                "support:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1",
                        "eu-west-2",
                        "eu-west-3"
                    ]
                }
            }
        }
    ]
}