AWS: refuse l'accès AWS en fonction de la région demandée - AWS Gestion de l’identité et des accès

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS: refuse l'accès AWS en fonction de la région demandée

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui refuse l'accès à toutes les actions en dehors des régions spécifiées avec la clé de condition aws:RequestedRegion, à l'exception des actions dans les services spécifiés avec NotAction. Cette politique définit des autorisations pour l'accès à la console et par programmation. Pour utiliser cette politique, remplacez le texte de l'espace réservé en italique dans l'exemple de politique par vos propres informations de ressource. Ensuite, suivez les instructions fournies dans create a policy (créer une politique) ou edit a policy (modifier une politique).

Cette politique utilise l'élément NotAction avec l'effet Deny, qui refuse explicitement l'accès à toutes les actions non répertoriées dans l'instruction. Les actions relatives à l' CloudFrontIAM, à Route 53 et AWS Support aux services ne doivent pas être refusées, car il s'agit de services AWS mondiaux populaires dotés d'un point de terminaison unique situé physiquement dans la us-east-1 région. Étant donné que toutes les demandes adressées à ces services sont effectuées vers la région us-east-1, les demandes sont refusées sans l'élément NotAction. Modifiez cet élément pour inclure les actions pour d'autres services AWS globaux que vous utilisez, tels que budgets, globalaccelerator, importexport, organizations ou waf. Certains autres services mondiaux, tels que AWS Chatbot et AWS Device Farm, sont des services mondiaux dont les points de terminaison sont physiquement situés dans la us-west-2 région. Pour en savoir plus sur tous les services qui ont un seul point de terminaison global, consultez AWS Régions et points de terminaison dans le document Références générales AWS. Pour de plus amples informations sur l'utilisation de l'élément NotAction avec l'effet Deny, veuillez consulter IAMJSONéléments de politique : NotAction.

Important

Cette politique ne permet aucune action. Utilisez cette stratégie conjointement à d'autres stratégies qui autorisent des actions spécifiques. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAllOutsideRequestedRegions",
            "Effect": "Deny",
            "NotAction": [
                "cloudfront:*",
                "iam:*",
                "route53:*",
                "support:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1",
                        "eu-west-2",
                        "eu-west-3"
                    ]
                }
            }
        }
    ]
}