AWS: deniega el acceso a AWS en función de la región solicitada.
En este ejemplo se muestra cómo crear una política basada en identidad que deniegue el acceso a cualquier acción fuera de las regiones especificadas mediante la clave de condición aws:RequestedRegion
, a excepción de las acciones en los servicios especificados al utilizar NotAction
. Esta política define los permisos para el acceso programático y a la consola. Para utilizar esta política, sustituya el texto en cursiva
de la política de ejemplo por su propia información. A continuación, siga las instrucciones en Crear una política o Editar una política.
Esta política utiliza el elemento NotAction
con el efecto Deny
, que deniega explícitamente el acceso a todas las acciones que no figuran en la instrucción. Las acciones de los servicios CloudFront, IAM, Route 53 y AWS Support no deben ser denegados porque son servicios globales populares de AWS con un único punto de enlace que se encuentra físicamente en la región us-east-1
. Dado que todas las solicitudes a estos servicios se realizan a la región us-east-1
, las solicitudes se denegaría sin el elemento NotAction
. Edite este elemento para incluir acciones para otros servicios globales de AWS que utilice, como, por ejemplo, budgets
, globalaccelerator
, importexport
, organizations
, o waf
. Algunos otros servicios globales, como AWS Chatbot y AWS Device Farm, son servicios globales con puntos de enlace ubicados físicamente en la región us-west-2
. Para obtener más información acerca de todos los servicios que tienen un único punto de enlace global, consulte Regiones y puntos de enlace de AWS en la Referencia general de AWS. Para obtener más información acerca de cómo utilizar el elemento NotAction
con el efecto Deny
, consulte Elementos de política JSON de IAM: NotAction.
importante
Esta política no permite ninguna acción. Utilice esta política en combinación con otras políticas que permiten acciones específicas.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideRequestedRegions", "Effect": "Deny", "NotAction": [
"cloudfront:*", "iam:*", "route53:*", "support:*"
], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": ["eu-central-1", "eu-west-1", "eu-west-2", "eu-west-3"
] } } } ] }