AWS: nega acesso à AWS com base no IP da fonte - AWS Identity and Access Management

AWS: nega acesso à AWS com base no IP da fonte

Este exemplo mostra como você pode criar uma política do IAM que negue acesso a todas as ações da AWS na conta quando a solicitação vem de entidades principais fora do intervalo de IP especificado. A política é útil quando os endereços IP para sua empresa estão dentro dos intervalos especificados. Neste exemplo, a solicitação será negada, a menos que seja originária da faixa de CIDR 192.0.2.0/24 ou 203.0.113.0/24. A política não nega solicitações feitas pelos serviços da AWS usando Sessões de acesso direto pois o endereço IP do solicitante original é mantido.

Tenha cuidado ao usar condições negativas na mesma declaração de política que "Effect": "Deny". Ao fazer isso, as ações especificadas na declaração de política são explicitamente negadas em todas as condições, exceto as especificadas.

Importante

Esta política não permite qualquer ação. Use essa política em combinação com outras políticas que permitam ações específicas.

Quando outras políticas permitem ações, os principais podem fazer solicitações dentro do intervalo de endereços IP. Um serviço da AWS também pode fazer solicitações usando as credenciais do principal. Quando um principal faz uma solicitação fora do intervalo de IP, a solicitação é negada.

Para obter mais informações sobre o uso da chave de condição aws:SourceIp, incluindo informações sobre quando aws:SourceIp pode não funcionar na política, consulte Chaves de contexto de condição globais da AWS.

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "aws:SourceIp": [
                    "192.0.2.0/24",
                    "203.0.113.0/24"
                ]
            }
        }
    }
}