AWS: Verweigert den Zugriff auf AWS basierend auf der Quell-IP

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die den Zugriff auf alle AWS Aktionen im Konto verweigert, wenn die Anforderung von Prinzipalen außerhalb des angegebenen IP-Bereichs stammt. Die Richtlinie ist nützlich, wenn die IP-Adressen für Ihre Firma innerhalb der angegebenen Bereiche liegen. In diesem Beispiel wird die Anfrage abgelehnt, sofern sie nicht aus dem CIDR-Bereich 192.0.2.0/24 oder 203.0.113.0/24 stammt. Die Richtlinie lehnt keine Anforderungen ab, die von AWS Services mit gestellt werden, Forward Access Sessions (FAS) da die IP-Adresse des ursprünglichen Anforderers beibehalten wird.

Seien Sie vorsichtig mit negativen Bedingungen in der gleichen Richtlinienaussage wie "Effect": "Deny". Wenn Sie dies tun, werden die in der Richtlinienanweisung angegebenen Aktionen unter allen Bedingungen explizit verweigert, mit Ausnahme der angegebenen.

Wichtig

Diese Richtlinie lässt keine Aktionen zu. Verwenden Sie diese Richtlinie in Kombination mit anderen Richtlinien, die bestimmte Aktionen zulassen.

Wenn andere Richtlinien Aktionen zulassen, können Auftraggeber Anforderungen innerhalb des IP-Adressbereichs ausgeben. Ein - AWS Service kann auch Anfragen unter Verwendung der Anmeldeinformationen des Auftraggebers stellen. Wenn ein Auftraggeber eine Anforderung außerhalb des IP-Bereichs ausgibt, wird die Anforderung abgelehnt.

Weitere Informationen über die Verwendung des Bedingungsschlüssels aws:SourceIp, einschließlich Informationen darüber, wann aws:SourceIp in Ihrer Richtlinie vielleicht nicht funktioniert, finden Sie unter AWS Kontextschlüssel für globale Bedingungen.

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "aws:SourceIp": [
                    "192.0.2.0/24",
                    "203.0.113.0/24"
                ]
            }
        }
    }
}