「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」
AWS: リクエストされたリージョンに基づいて、AWS へのアクセスを拒否する
この例では、次のような IAM ポリシーを作成する方法を示します。 は、aws:RequestedRegion
を使用して指定されたリージョン以外のすべてのアクションへのアクセスを拒否します。ただし、NotAction
を使用して指定されたサービス内のアクションは例外です。このポリシーでは、このアクションをコンソールで実行するために必要なアクセス許可も付与されます。 このポリシーを使用するには、ポリシー例の斜体プレースホルダーテキスト
を自分の情報に置き換えます。次に、「ポリシーの作成」または「ポリシーの編集」の手順に従います。
このポリシーは、ステートメントにリストされていないすべてのアクションへのアクセスを拒否する Deny
効果がある NotAction
エレメントを使用します。CloudFront、IAM、Route 53、および AWS サポート サービスでのアクションは、物理的に us-east-1
リージョンにある単一のエンドポイントを持つ一般的な AWS グローバルサービスであるため、拒否しないでください。これらのサービスに対するすべてのリクエストは us-east-1
リージョンに対して行われるため、リクエストは NotAction
エレメントなしでは拒否されます。このエレメントを編集して、使用する他の AWS グローバルサービス (budgets
、globalaccelerator
、importexport
、organizations
、または waf
など) のアクションを含めます。 AWS Chatbot や AWS Device Farm など、その他のグローバルサービスは、エンドポイントが us-west-2
リージョンに物理的に配置されているグローバルサービスです。単一のグローバルエンドポイントを持つすべてのサービスについては、AWS General Referenceの「AWS リージョンとエンドポイント」を参照してください。Deny
効果を持つ NotAction
エレメントの使用の詳細については、「IAM JSON ポリシーの要素: NotAction」を参照してください。
このポリシーでは、アクションを許可しません。特定のアクションを許可する他のポリシーと組み合わせてこのポリシーを使用します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideRequestedRegions", "Effect": "Deny", "NotAction": [
"cloudfront:*", "iam:*", "route53:*", "support:*"
], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": ["eu-central-1", "eu-west-1", "eu-west-2", "eu-west-3"
] } } } ] }