AWS: deniega acceso a AWS en función de la dirección IP de origen. - AWS Identity and Access Management

AWS: deniega acceso a AWS en función de la dirección IP de origen.

En este ejemplo se muestra cómo es posible crear una política de IAM con la que deniega el acceso a todas las acciones de AWS en la cuenta cuando la solicitud proviene de entidades principales que están fuera del intervalo de direcciones IP especificado. La política es útil cuando las direcciones IP de su empresa están dentro de los rangos especificados. La política no deniega las solicitudes realizadas por los servicios de AWS que utilizan las credenciales de la entidad principal.Esta política define permisos para el acceso mediante programación y a la consola. Para utilizar esta política, sustituya el texto rojo en cursiva del ejemplo de política por su propia información. A continuación, siga las instrucciones en crear una política o editar una política.

Tenga cuidado con el uso de condiciones negativas en la misma instrucción de política que "Effect": "Deny". Cuando lo haga, las acciones especificadas en la instrucción de política se deniegan explícitamente en todas las condiciones excepto en las especificadas.

Además, esta política incluye varias claves de condición que producen una lógica AND. En esta política, todas las acciones de AWS se deniegan cuando la dirección IP de origen no (not) se encuentra en el intervalo especificado y (AND) cuando un servicio de AWS no (not) realiza la llamada.

importante

Esta política no permite ninguna acción. Utilice esta política en combinación con otras políticas que permiten acciones específicas.

Cuando otras políticas permiten acciones, las entidades principales pueden realizar solicitudes desde dentro del intervalo de direcciones IP. Un servicio de AWS también puede realizar solicitudes utilizando las credenciales de la entidad principal. Cuando una entidad principal realiza una solicitud desde fuera del intervalo de direcciones IP, la solicitud se deniega. También se deniega si la entidad principal lleva a cabo una acción que desencadena el servicio para utilizar un rol de servicio o rol vinculado a servicios para hacer una llamada en nombre del director.

Para obtener más información sobre el uso de las claves de condición aws:ViaAWSService y aws:SourceIp, incluida información sobre cuándo es posible que esta clave aws:SourceIp no funcione en su política, consulte Claves de contexto de condición globales de AWS.

{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "192.0.2.0/24", "203.0.113.0/24" ] }, "Bool": {"aws:ViaAWSService": "false"} } } }