AWS: deniega el acceso a AWS en función de la región solicitada. - AWS Identity and Access Management

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS: deniega el acceso a AWS en función de la región solicitada.

En este ejemplo se muestra cómo es posible crear una política de IAM con la que deniega el acceso a cualquier acción fuera de las regiones especificadas mediante aws:RequestedRegion, a excepción de las acciones en los servicios especificados mediante NotAction. Esta política define permisos para el acceso mediante programación y a la consola. Para utilizar esta política, sustituya el texto rojo en cursiva del ejemplo de política por su propia información. A continuación, siga las instrucciones en crear una política o editar una política.

Esta política utiliza el elemento NotAction con el efecto Deny, que deniega explícitamente el acceso a todas las acciones que no figuran en la instrucción. Las acciones de los servicios CloudFront, IAM, Route 53 y Compatibilidad con AWS no deben ser denegados porque son servicios globales populares de AWS con un único punto de enlace que se encuentra físicamente en la región us-east-1. Dado que todas las solicitudes a estos servicios se realizan a la región us-east-1, las solicitudes se denegaría sin el elemento NotAction. Edite este elemento para incluir acciones para otros servicios globales de AWS que utilice, como, por ejemplo, budgets, globalaccelerator, importexport, organizations, o waf. Algunos otros servicios globales, como AWS Chatbot y AWS Device Farm, son servicios globales con puntos de enlace ubicados físicamente en la región us-west-2. Para obtener más información acerca de todos los servicios que tienen un único punto de enlace global, consulte Regiones y puntos de enlace de AWS en la AWS General Reference. Para obtener más información acerca de cómo utilizar el elemento NotAction con el efecto Deny, consulte Elemento de la política de JSON de IAM: NotAction.

importante

Esta política no permite ninguna acción. Utilice esta política en combinación con otras políticas que permiten acciones específicas.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideRequestedRegions", "Effect": "Deny", "NotAction": [ "cloudfront:*", "iam:*", "route53:*", "support:*" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": [ "eu-central-1", "eu-west-1", "eu-west-2", "eu-west-3" ] } } } ] }