AWS: 요청된 리전에 따라 AWS에 대한 액세스를 거부 - AWS Identity and Access Management

AWS: 요청된 리전에 따라 AWS에 대한 액세스를 거부

이 예에서는 NotAction을 사용하도록 지정된 서비스의 작업을 제외하고 aws:RequestedRegion 조건 키를 사용하여 지정된 리전 외부의 작업에 대한 액세스를 거부하는 아이덴티티 기반 정책을 생성하는 방법을 보여줍니다. 이 정책은 프로그래밍 방식 및 콘솔 액세스에 대한 권한을 정의합니다. 이 정책을 사용하려면 정책 예제의 기울임꼴 자리 표시자 텍스트를 본인의 정보로 대체하세요. 그런 다음 정책 생성 또는 정책 편집의 지침을 따릅니다.

이 정책은 NotAction 요소를 Deny 효과와 함께 사용하여 문에 나열되지 않은 모든 작업에 대한 액세스를 거부합니다. CloudFront, IAM, Route 53 및 AWS Support 서비스의 작업은 거부되어서는 안 되는데, 이는 이러한 서비스가 물리적으로 us-east-1 리전에 위치한 단일 엔드포인트가 포함된 유명한 AWS 전역 서비스이기 때문입니다. 이러한 서비스에 대한 모든 요청이 us-east-1 리전으로 전달되기 때문에 NotAction 요소 없이 요청은 거부됩니다. 이 요소를 편집하여 budgets, globalaccelerator, importexport, organizations 또는 waf 등과 같이 기타 AWS 전역 서비스에 대한 작업을 포함합니다. AWS Chatbot 및 AWS Device Farm과(와) 같은 일부 다른 전역 서비스는 물리적으로 us-west-2 리전에 위치한 엔드포인트를 포함한 전역 서비스입니다. 전역 엔드포인트를 보유한 모든 서비스에 대해 알아보려면 AWS 일반 참조의 AWS 리전 및 엔드포인트를 참조하세요. NotAction 효과와 Deny 요소의 사용에 대해 자세하 알아보려면 IAM JSON 정책 요소: NotAction 섹션을 참조하세요.

중요

이 정책은 어떤 작업도 허용하지 않습니다. 이 정책을 특정 작업을 허용하는 다른 정책과 함께 사용합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideRequestedRegions", "Effect": "Deny", "NotAction": [ "cloudfront:*", "iam:*", "route53:*", "support:*" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": [ "eu-central-1", "eu-west-1", "eu-west-2", "eu-west-3" ] } } } ] }