AWS: Verweigert den Zugriff auf AWS basierend auf der angeforderten Region - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS: Verweigert den Zugriff auf AWS basierend auf der angeforderten Region

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die den Zugriff auf alle Aktionen außerhalb der mit dem aws:RequestedRegion-Bedingungsschlüssel angegebenen Regionen verweigert, mit Ausnahme der Aktionen in den mit NotAction angegebenen Services. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. Um diese Richtlinie zu verwenden, ersetzen Sie den kursiv gedruckten Platzhaltertext in der Beispielrichtlinie durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter Erstellen einer Richtlinie oder Bearbeiten einer Richtlinie.

Diese Richtlinie verwendet das NotAction-Element mit dem Deny-Effekt, der explizit den Zugriff auf alle Aktionen verweigert, die nicht in der Anweisung aufgeführt sind. Aktionen in den Diensten CloudFront, IAM, Route 53 und AWS Support Diensten sollten nicht verweigert werden, da es sich dabei um beliebte AWS globale Dienste mit einem einzigen Endpunkt handelt, der sich physisch in der us-east-1 Region befindet. Da alle Anforderungen an diese Services an die Region us-east-1 gerichtet werden, würden die Anforderungen ohne das NotAction-Element verweigert werden. Bearbeiten Sie dieses Element, um Aktionen für andere globale AWS -Services einzuschließen, die Sie verwenden, beispielsweise budgets, globalaccelerator, importexport, organizations oder waf. Einige andere globale Dienste, wie z. B. AWS Chatbot und AWS Device Farm, sind globale Dienste mit Endpunkten, die sich physisch in der us-west-2 Region befinden. Weitere Informationen zu allen Services mit einem einzigen globalen Endpunkt finden Sie unter AWS -Regionen und Endpunkte in der Allgemeine AWS-Referenz. Weitere Informationen zur Verwendung des NotAction-Elements mit dem Deny-Effekt finden Sie unter IAM-JSON-Richtlinienelemente: NotAction.

Wichtig

Diese Richtlinie lässt keine Aktionen zu. Verwenden Sie diese Richtlinie in Kombination mit anderen Richtlinien, die bestimmte Aktionen zulassen. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAllOutsideRequestedRegions",
            "Effect": "Deny",
            "NotAction": [
                "cloudfront:*",
                "iam:*",
                "route53:*",
                "support:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1",
                        "eu-west-2",
                        "eu-west-3"
                    ]
                }
            }
        }
    ]
}