AWS: リクエストされたリージョンに基づいて、AWS へのアクセスを拒否する - AWS Identity and Access Management

AWS: リクエストされたリージョンに基づいて、AWS へのアクセスを拒否する

次のようなポリシーを作成する方法を示します。 aws:RequestedRegion を使用して指定されたリージョン以外のすべてのアクションへのアクセスを拒否します。ただし、NotAction を使用して指定されたサービス内のアクションは例外です。このポリシーでは、このアクションをコンソールで実行するために必要なアクセス許可も付与されます。 このポリシーを使用するには、ポリシー例の斜体プレースホルダーテキストを自分の情報に置き換えます。次に、「ポリシーの作成」または「ポリシーの編集」の手順に従います。

このポリシーは、ステートメントにリストされていないすべてのアクションへのアクセスを拒否する Deny 効果がある NotAction エレメントを使用します。CloudFront、IAM、Route 53、および AWS サポート サービスでのアクションは、物理的に us-east-1 リージョンにある単一のエンドポイントを持つ一般的な AWS グローバルサービスであるため、拒否しないでください。これらのサービスに対するすべてのリクエストは us-east-1 リージョンに対して行われるため、リクエストは NotAction エレメントなしでは拒否されます。このエレメントを編集して、使用する他の AWS グローバルサービス (budgetsglobalacceleratorimportexportorganizations、または waf など) のアクションを含めます。単一のグローバルエンドポイントを持つすべてのサービスについては、AWS General Referenceの「AWS リージョンとエンドポイント」を参照してください。Deny 効果を持つ NotAction エレメントの使用の詳細については、「IAM JSON ポリシーの要素:NotAction」を参照してください。

重要

このポリシーでは、アクションを許可しません。特定のアクションを許可する他のポリシーと組み合わせてこのポリシーを使用します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAllOutsideRequestedRegions",
            "Effect": "Deny",
            "NotAction": [
                "cloudfront:*",
                "iam:*",
                "route53:*",
                "support:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1",
                        "eu-west-2",
                        "eu-west-3"
                    ]
                }
            }
        }
    ]
}