本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # AWS: AWS 根據請求的區域拒絕對 的存取 此範例會示範如何建立身分型政策,拒絕以 [`aws:RequestedRegion` 條件索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion)所指定區域以外位置任何操作的存取權,但使用 `NotAction` 所指定服務的操作除外。此政策定義了程式設計和主控台存取的許可。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。然後,遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。 此政策使用含 `Deny` 效果的 `NotAction` 元素,此效果會明確拒絕存取「未」**列在陳述式中的所有動作。 支援 不應拒絕 CloudFront、IAM、Route 53 和服務中的動作,因為這些是熱門的 AWS 全域服務,具有實際位於 `us-east-1`區域的單一端點。這些服務的所有請求是對 `us-east-1` 區域提出,因此在沒有使用 `NotAction` 元素的情況下請求會遭拒。編輯此元素來為您使用的其他 AWS 全域服務 (例如,`budgets`、`globalaccelerator`、`importexport`、`organizations` 或 `waf`) 包含動作。一些其他全域服務,例如聊天應用程式中的 Amazon Q Developer AWS Device Farm,以及具有實際位於 `us-west-2`區域的端點的全域服務。要了解具有單一全域端點的所有服務,請參閱 *AWS 一般參考* 中的 [AWS 區域和端點](https://docs.aws.amazon.com/general/latest/gr/rande.html)。如需有關使用含 `NotAction` 效果之 `Deny` 元素的詳細資訊,請參閱 [IAM JSON 政策元素:NotAction](reference_policies_elements_notaction.md)。 **重要** 此政策不允許任何動作。將此政策與允許特定動作的其他政策結合使用。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideRequestedRegions", "Effect": "Deny", "NotAction": [ "cloudfront:*", "iam:*", "organizations:*", "route53:*", "support:*" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": [ "eu-central-1", "eu-west-1", "eu-west-2", "eu-west-3" ] } } } ] } ``` ------