Amazon EC2: limita el término de instancias EC2 en un rango de direcciones IP

Este ejemplo muestra cómo puede crear una política basada en identidad que limita instancias de EC2 al permitir la acción, pero denegar explícitamente el acceso cuando la solicitud procede de una dirección IP fuera del rango especificado. La política es útil cuando las direcciones IP de su empresa están dentro de los rangos especificados. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. Para utilizar esta política, sustituya el texto en cursiva de la política de ejemplo por su propia información. A continuación, siga las instrucciones en Crear una política o Editar una política.

Si esta política se utiliza en combinación con otras políticas que permiten la acción ec2:TerminateInstances (como la política administrada por AWS AmazonEC2FullAccess), se deniega el acceso. Esto se debe a que una instrucción de denegación explícita prevalece sobre las instrucciones de permiso. Para obtener más información, consulte Cómo determinar si se una solicitud se permite o se deniega dentro de una cuenta.

importante

La clave de condición aws:SourceIp deniega el acceso a un servicio de AWS, como AWS CloudFormation, que realiza llamadas en su nombre. Para obtener más información sobre el uso de la clave de condición aws:SourceIp, consulte Claves de contexto de condición globales de AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["ec2:TerminateInstances"],
            "Resource": ["*"]
        },
        {
            "Effect": "Deny",
            "Action": ["ec2:TerminateInstances"],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            },
            "Resource": ["*"]
        }
    ]
}