AWS: Deniega acceso a AWS en función de la dirección IP de origen
Este ejemplo muestra cómo puede crear una política basada en identidad que deniegue el acceso a todas las acciones de AWS en la cuenta cuando la solicitud proviene de entidades principales que están fuera del intervalo de direcciones IP especificadas. La política es útil cuando las direcciones IP de su empresa están dentro de los rangos especificados. En este ejemplo, la solicitud se deniega a menos que se origine en el rango de CIDR 192.0.2.0/24 o 203.0.113.0/24. La política no deniega las solicitudes realizadas por los servicios de AWS que utilizan Sesiones de acceso directo mientras la dirección IP del solicitante original se conserva.
Tenga cuidado con el uso de condiciones negativas en la misma instrucción de política que "Effect":
"Deny"
. Cuando lo haga, las acciones especificadas en la instrucción de política se deniegan explícitamente en todas las condiciones excepto en las especificadas.
importante
Esta política no permite ninguna acción. Utilice esta política en combinación con otras políticas que permiten acciones específicas.
Cuando otras políticas permiten acciones, las entidades principales pueden realizar solicitudes desde dentro del intervalo de direcciones IP. Un servicio de AWS también puede realizar solicitudes utilizando las credenciales de la entidad principal. Cuando una entidad principal realiza una solicitud desde fuera del intervalo de direcciones IP, la solicitud se deniega.
Para obtener más información acerca del uso de las claves de condición aws:SourceIp
, incluida información acerca de cuándo aws:SourceIp
puede no funcionar en su política, consulte Claves de contexto de condición globales de AWS.
{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "
192.0.2.0/24
", "203.0.113.0/24
" ] } } } }