AWS: リクエストされたリージョンに基づいて、AWS へのアクセスを拒否する
この例では、次のような IAM ポリシーを作成する方法を示します。 は、aws:RequestedRegion を使用して指定されたリージョン以外のすべてのアクションへのアクセスを拒否します。ただし、NotAction を使用して指定されたサービス内のアクションは例外です。このポリシーは、プログラムによるアクセスおよびコンソールアクセスのアクセス許可を定義します。 このポリシーを使用するには、ポリシー例の斜体プレースホルダーテキストを自分の情報に置き換えます。次に、「ポリシーの作成」または「ポリシーの編集」の手順に従います。
このポリシーは、ステートメントにリストされていないすべてのアクションへのアクセスを拒否する Deny 効果がある NotAction エレメントを使用します。CloudFront、IAM、Route 53、および AWS Support サービスでのアクションは、物理的に us-east-1 リージョンにある単一のエンドポイントを持つ一般的な AWS グローバルサービスであるため、拒否しないでください。これらのサービスに対するすべてのリクエストは us-east-1 リージョンに対して行われるため、リクエストは NotAction エレメントなしでは拒否されます。このエレメントを編集して、使用する他の AWS グローバルサービス (budgets、globalaccelerator、importexport、organizations、または waf など) のアクションを含めます。 AWS Chatbot や AWS Device Farm など、その他のグローバルサービスは、エンドポイントが us-west-2 リージョンに物理的に配置されているグローバルサービスです。単一のグローバルエンドポイントを持つすべてのサービスについては、AWS General Referenceの「AWS リージョンとエンドポイント」を参照してください。Deny 効果を持つ NotAction エレメントの使用の詳細については、「IAM JSON ポリシーの要素: NotAction」を参照してください。
このポリシーでは、アクションを許可しません。特定のアクションを許可する他のポリシーと組み合わせてこのポリシーを使用します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideRequestedRegions", "Effect": "Deny", "NotAction": ["cloudfront:*", "iam:*", "route53:*", "support:*"], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": ["eu-central-1", "eu-west-1", "eu-west-2", "eu-west-3"] } } } ] }
