AWS: リクエストされたリージョンに基づいて、AWS へのアクセスを拒否する

この例は、aws:RequestedRegion を使用して指定されたサービス内のアクションを除き、NotAction を使用して指定されたリージョン外のアクションへのアクセスを拒否する IAM ポリシーを作成する方法を示しています。このポリシーは、プログラムおよびコンソールアクセスのアクセス許可を定義します。このポリシーを使用するには、サンプルポリシーのイタリック体のプレースホルダーテキストを独自の情報に置き換えます。次に、ポリシーの作成またはポリシーの編集の手順に従います。

このポリシーは、ステートメントにリストされていないすべてのアクションへのアクセスを拒否する NotAction 効果がある Deny 要素を使用します。CloudFront、IAM、Route 53、および AWS Support サービスでのアクションは、物理的に AWS リージョンにある単一のエンドポイントを持つ一般的な us-east-1 グローバルサービスであるため、拒否しないでください。これらのサービスに対するすべてのリクエストは us-east-1 リージョンに対して行われるため、リクエストは NotAction 要素なしでは拒否されます。この要素を編集して、使用する他の AWS グローバルサービス (budgets、globalaccelerator、importexport、organizations、または waf など) のアクションを含めます。AWS Chatbot や AWS Device Farmなど、その他のグローバルサービスは、エンドポイントが us-west-2 リージョンに物理的に配置されているグローバルサービスです。単一のグローバルエンドポイントを持つすべてのサービスについては AWS一般的なリファレンス、の「AWS リージョンとエンドポイント」を参照してください。NotAction 効果を持つ Deny 要素の使用の詳細については、「IAM JSON ポリシー要素: NotAction」を参照してください。

重要

このポリシーでは、アクションを許可しません。特定のアクションを許可する他のポリシーと組み合わせてこのポリシーを使用します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAllOutsideRequestedRegions",
            "Effect": "Deny",
            "NotAction": [
                "cloudfront:*",
                "iam:*",
                "route53:*",
                "support:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1",
                        "eu-west-2",
                        "eu-west-3"
                    ]
                }
            }
        }
    ]
}