AWS: deniega el acceso a AWS en función de la región solicitada. - AWS Identity and Access Management

AWS: deniega el acceso a AWS en función de la región solicitada.

En este ejemplo se muestra cómo crear una política basada en identidad que deniegue el acceso a cualquier acción fuera de las regiones especificadas mediante la clave de condición aws:RequestedRegion, a excepción de las acciones en los servicios especificados al utilizar NotAction. Esta política define los permisos para el acceso programático y a la consola. Para utilizar esta política, sustituya el texto en cursiva de la política de ejemplo por su propia información. A continuación, siga las instrucciones en Crear una política o Editar una política.

Esta política utiliza el elemento NotAction con el efecto Deny, que deniega explícitamente el acceso a todas las acciones que no figuran en la instrucción. Las acciones de los servicios CloudFront, IAM, Route 53 y AWS Support no deben ser denegados porque son servicios globales populares de AWS con un único punto de enlace que se encuentra físicamente en la región us-east-1. Dado que todas las solicitudes a estos servicios se realizan a la región us-east-1, las solicitudes se denegaría sin el elemento NotAction. Edite este elemento para incluir acciones para otros servicios globales de AWS que utilice, como, por ejemplo, budgets, globalaccelerator, importexport, organizations, o waf. Algunos otros servicios globales, como AWS Chatbot y AWS Device Farm, son servicios globales con puntos de enlace ubicados físicamente en la región us-west-2. Para obtener más información acerca de todos los servicios que tienen un único punto de enlace global, consulte Regiones y puntos de enlace de AWS en la Referencia general de AWS. Para obtener más información acerca de cómo utilizar el elemento NotAction con el efecto Deny, consulte Elementos de política JSON de IAM: NotAction.

importante

Esta política no permite ninguna acción. Utilice esta política en combinación con otras políticas que permiten acciones específicas.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideRequestedRegions", "Effect": "Deny", "NotAction": [ "cloudfront:*", "iam:*", "route53:*", "support:*" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": [ "eu-central-1", "eu-west-1", "eu-west-2", "eu-west-3" ] } } } ] }