AWS: Menolak akses AWS berdasarkan Wilayah yang diminta - AWS Identity and Access Management

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS: Menolak akses AWS berdasarkan Wilayah yang diminta

Contoh ini menunjukkan cara Anda membuat kebijakan berbasis identitas yang menolak akses ke tindakan apa pun di luar Wilayah yang ditentukan menggunakan kunci aws:RequestedRegion kondisi, kecuali untuk tindakan dalam layanan yang ditentukan menggunakan. NotAction Kebijakan ini menetapkan izin untuk akses terprogram dan konsol. Untuk menggunakan kebijakan ini, ganti teks placeholder yang dicetak miring dalam kebijakan contoh dengan informasi Anda sendiri. Lalu, ikuti petunjuk di buat kebijakan atau ubah kebijakan.

Kebijakan ini menggunakan elemen NotAction dengan efek Deny, yang secara tegas menghalangi akses ke semua tindakan yang tidak tercantum dalam pernyataan. Tindakan dalam CloudFront, IAM, Rute 53, dan AWS Support layanan tidak boleh ditolak karena ini adalah layanan AWS global populer dengan titik akhir tunggal yang secara fisik terletak di us-east-1 Wilayah. Karena semua permintaan untuk layanan ini diajukan ke Wilayah us-east-1, permintaan tidak akan ditolak tanpa elemen NotAction. Edit elemen ini untuk menyertakan tindakan untuk layanan AWS global lainnya yang Anda gunakan, sepertibudgets,globalaccelerator,importexport,organizations, atauwaf. Beberapa layanan global lainnya, seperti AWS Chatbot dan AWS Device Farm, adalah layanan global dengan titik akhir yang secara fisik berlokasi di us-west-2 wilayah tersebut. Untuk mempelajari tentang semua layanan yang memiliki titik akhir global tunggal, lihatWilayah dan Titik Akhir AWS di Referensi Umum AWS. Untuk informasi selengkapnya tentang penggunaan elemen NotAction dengan efek Deny, lihat Elemen kebijakan IAM JSON: NotAction.

penting

Kebijakan ini tidak mengizinkan tindakan apa pun. Gunakan kebijakan ini bersama dengan kebijakan lain yang mengizinkan tindakan tertentu. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAllOutsideRequestedRegions",
            "Effect": "Deny",
            "NotAction": [
                "cloudfront:*",
                "iam:*",
                "route53:*",
                "support:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1",
                        "eu-west-2",
                        "eu-west-3"
                    ]
                }
            }
        }
    ]
}