AWS: リクエストされたリージョンに基づいて、AWS へのアクセスを拒否する
この例は、NotAction
を使用して指定したサービスのアクションを除く、aws:RequestedRegion
条件キーを使用して指定したリージョン外のアクションへのアクセスを拒否する ID ベースポリシーを作成する方法を示しています。このポリシーは、プログラムおよびコンソールアクセスのアクセス許可を定義します。このポリシーを使用するには、サンプルポリシーのイタリック体のプレースホルダーテキスト
を独自の情報に置き換えます。次に、ポリシーの作成またはポリシーの編集の手順に従います。
このポリシーは、ステートメントにリストされていないすべてのアクションへのアクセスを拒否する NotAction
効果がある Deny
要素を使用します。CloudFront、IAM、Route 53、および AWS Support サービスでのアクションは、物理的に AWS リージョンにある単一のエンドポイントを持つ一般的な us-east-1
グローバルサービスであるため、拒否しないでください。これらのサービスに対するすべてのリクエストは us-east-1
リージョンに対して行われるため、リクエストは NotAction
要素なしでは拒否されます。この要素を編集して、使用する他の AWS グローバルサービス (budgets
、globalaccelerator
、importexport
、organizations
、または waf
など) のアクションを含めます。AWS Chatbot や AWS Device Farmなど、その他のグローバルサービスは、エンドポイントが us-west-2
リージョンに物理的に配置されているグローバルサービスです。単一のグローバルエンドポイントを持つすべてのサービスについては、「AWS 全般のリファレンス」の「AWS リージョンとエンドポイント」を参照してください。NotAction
効果を持つ Deny
要素の使用の詳細については、「IAM JSON ポリシー要素NotAction」を参照してください。
重要
このポリシーでは、アクションを許可しません。特定のアクションを許可する他のポリシーと組み合わせてこのポリシーを使用します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideRequestedRegions", "Effect": "Deny", "NotAction": [
"cloudfront:*", "iam:*", "route53:*", "support:*"
], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": ["eu-central-1", "eu-west-1", "eu-west-2", "eu-west-3"
] } } } ] }