AWS: refuse l'accès à la AWS base de l'adresse IP source

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui refuse l'accès à toutes les AWS actions du compte lorsque la demande provient de principaux situés en dehors de la plage d'adresses IP spécifiée. Cette politique est utile lorsque les adresses IP de votre entreprise se situent dans les plages d'adresses IP spécifiées. Dans cet exemple, la demande sera rejetée sauf si elle provient de la plage CIDR 192.0.2.0/24 ou 203.0.113.0/24. La politique ne refuse pas les demandes effectuées par les AWS services utilisateurs, Transmission des sessions d'accès car l'adresse IP du demandeur d'origine est préservée.

Soyez prudent lorsque vous utilisez des conditions négatives dans la même instruction de politique comme "Effect": "Deny". Dans ce cas, les actions spécifiées dans l'instruction de politique sont explicitement refusées dans toutes les conditions sauf celles spécifiées.

Important

Cette politique ne permet aucune action. Utilisez cette stratégie conjointement à d'autres stratégies qui autorisent des actions spécifiques.

Lorsque d'autres politiques autorisent des actions, les principaux peuvent effectuer des demandes à partir de la plage d'adresses IP. Un AWS service peut également effectuer des demandes en utilisant les informations d'identification du principal. Lorsqu'un principal effectue une demande en dehors de la plage d'adresses IP, la demande est refusée.

Pour de plus amples informations sur l'utilisation de la clé de condition aws:SourceIp, en particulier sur le moment où aws:SourceIp risque de ne pas fonctionne dans votre politique, veuillez consulter AWS clés contextuelles de condition globale.


{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "aws:SourceIp": [
                    "192.0.2.0/24",
                    "203.0.113.0/24"
                ]
            }
        }
    }
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS : refuser l'accès en fonction de la région demandée

AWS: refuser l'accès aux ressources Amazon S3 en dehors de votre compte, sauf AWS Data Exchange