AWS: 소스 IP를 바탕으로 AWS에 대한 액세스 거부

이 예제는 지정된 IP 범위 외부의 보안 주체로부터 요청이 온 경우 계정의 모든 AWS 작업에 대한 액세스를 거부하는 아이덴티티 기반 정책을 생성하는 방법을 보여줍니다. 이 정책은 회사의 IP 주소가 지정된 범위 내에 있는 경우에 유용합니다. 이 예제에서는 CIDR 범위 192.0.2.0/24 또는 203.0.113.0/24에서 시작되지 않는 한 요청이 거부됩니다. 정책은 원래 요청자의 IP 주소가 보존되므로 전달 액세스 세션를 사용하는 AWS 서비스에 의한 요청을 거부하지 않습니다.

"Effect": "Deny"와 동일한 정책 문에서 부정적인 조건을 사용해야 합니다. 이렇게 하면 정책 문에 지정된 작업이 지정된 조건을 제외한 모든 조건에서 명시적으로 거부됩니다.

중요

이 정책은 어떤 작업도 허용하지 않습니다. 이 정책을 특정 작업을 허용하는 다른 정책과 함께 사용합니다.

다른 정책에서 작업을 허용하는 경우 보안 주체는 IP 주소 범위 내에서 요청을 할 수 있습니다. 또한 AWS 서비스는 보안 주체의 자격 증명을 사용하여 요청할 수도 있습니다. 보안 주체가 IP 범위 밖에서 요청을 하면 요청이 거부됩니다.

정책에서 aws:SourceIp가 작동하지 않는 경우를 포함해 aws:SourceIp 조건 키에 대한 자세한 내용은 AWS 글로벌 조건 컨텍스트 키 섹션을 참조하세요.


{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "aws:SourceIp": [
                    "192.0.2.0/24",
                    "203.0.113.0/24"
                ]
            }
        }
    }
}

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

AWS: 요청된 리전에 따라 액세스를 거부

AWS: AWS Data Exchange를 제외한 계정 외부의 Amazon S3 리소스에 대한 액세스 거부