AWS: リクエストされたリージョンに基づいて、AWS へのアクセスを拒否する

この例では、次のような IAM ポリシーを作成する方法を示します。は、aws:RequestedRegion を使用して指定されたリージョン以外のすべてのアクションへのアクセスを拒否します。ただし、NotAction を使用して指定されたサービス内のアクションは例外です。このポリシーでは、このアクションをコンソールで実行するために必要なアクセス許可も付与されます。このポリシーを使用するには、ポリシー例の斜体プレースホルダーテキストを自分の情報に置き換えます。次に、「ポリシーの作成」または「ポリシーの編集」の手順に従います。

このポリシーは、ステートメントにリストされていないすべてのアクションへのアクセスを拒否する Deny 効果がある NotAction エレメントを使用します。CloudFront、IAM、Route 53、および AWS サポートサービスでのアクションは、物理的に us-east-1 リージョンにある単一のエンドポイントを持つ一般的な AWS グローバルサービスであるため、拒否しないでください。これらのサービスに対するすべてのリクエストは us-east-1 リージョンに対して行われるため、リクエストは NotAction エレメントなしでは拒否されます。このエレメントを編集して、使用する他の AWS グローバルサービス (budgets、globalaccelerator、importexport、organizations、または waf など) のアクションを含めます。 AWS Chatbot や AWS Device Farm など、その他のグローバルサービスは、エンドポイントが us-west-2 リージョンに物理的に配置されているグローバルサービスです。単一のグローバルエンドポイントを持つすべてのサービスについては、AWS General Referenceの「AWS リージョンとエンドポイント」を参照してください。Deny 効果を持つ NotAction エレメントの使用の詳細については、「IAM JSON ポリシーの要素: NotAction」を参照してください。

重要

このポリシーでは、アクションを許可しません。特定のアクションを許可する他のポリシーと組み合わせてこのポリシーを使用します。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAllOutsideRequestedRegions",
            "Effect": "Deny",
            "NotAction": [
                "cloudfront:*",
                "iam:*",
                "route53:*",
                "support:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1",
                        "eu-west-2",
                        "eu-west-3"
                    ]
                }
            }
        }
    ]
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS: セルフマネージドパスワード、アクセスキー、および SSH パブリックキー (マイセキュリティ資格情報)

AWS: 送信元 IP に基づいてアクセスを拒否する