AWS: nega acesso à AWS com base no IP da fonte - AWS Identity and Access Management

AWS: nega acesso à AWS com base no IP da fonte

Este exemplo mostra como você pode criar uma política do IAM que negue acesso a todas as ações da AWS na conta quando a solicitação vem de entidades principais fora do intervalo de IP especificado. A política é útil quando os endereços IP para sua empresa estão dentro dos intervalos especificados. A política não nega solicitações feitas por produtos da AWS usando as credenciais da entidade de segurança. Esta política define permissões para acesso programático e do console. Para usar esta política, substitua o texto do espaço reservado em itálico na política de exemplo por suas próprias informações. Em seguida, siga as instruções em criar uma política ou editar uma política.

Tenha cuidado ao usar condições negativas na mesma declaração de política que "Effect": "Deny". Ao fazer isso, as ações especificadas na declaração de política são explicitamente negadas em todas as condições, exceto as especificadas.

Além disso, essa política inclui várias chaves de condição que resultam em uma lógica AND. Nessa política, todas as ações da AWS são negadas quando o endereço IP da fonte not está no intervalo especificado AND quando um serviço da AWS not faz a chamada.

Importante

Esta política não permite qualquer ação. Use essa política em combinação com outras políticas que permitam ações específicas.

Quando outras políticas permitem ações, os principais podem fazer solicitações dentro do intervalo de endereços IP. Um serviço da AWS também pode fazer solicitações usando as credenciais do principal. Quando um principal faz uma solicitação fora do intervalo de IP, a solicitação é negada.

Para obter mais informações sobre como usar o aws:SourceIp e chaves de condição aws:ViaAWSService, incluindo informações sobre quando a chave aws:SourceIp pode não funcionar em sua política, consulte Chaves de contexto de condição globais da AWS.

{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "192.0.2.0/24", "203.0.113.0/24" ] }, "Bool": {"aws:ViaAWSService": "false"} } } }