AWS: nega acesso à AWS com base na região solicitada - AWS Identity and Access Management

AWS: nega acesso à AWS com base na região solicitada

Este exemplo mostra como é possível criar uma política baseada em identidade que negue acesso a todas as ações fora das regiões especificadas usando a chave de condição aws:RequestedRegion, com exceção das ações nos serviços especificados usando NotAction. Esta política define permissões para acesso programático e do console. Para usar esta política, substitua o texto do espaço reservado em itálico na política de exemplo por suas próprias informações. Em seguida, siga as instruções em criar uma política ou editar uma política.

Essa política usa o elemento NotAction com o efeito Deny, que nega explicitamente o acesso a todas as ações não listadas na declaração. Ações nos serviços CloudFront, IAM, Route 53 e AWS Support não devem ser negadas porque são produtos globais populares da AWS com um único endpoint fisicamente localizado na região us-east-1. Como todas as solicitações para esses serviços são feitas para a região us-east-1, as solicitações seriam negadas sem o elemento NotAction. Edite esse elemento para incluir ações para outros serviços globais da AWS que você usa, como budgets, globalaccelerator, importexport, organizations ou waf. Alguns outros serviços globais, como o AWS Chatbot e o AWS Device Farm, são serviços globais com endpoints localizados fisicamente na região us-west-2. Para saber mais sobre todos os serviços que têm um único endpoint global, consulte Regiões e endpoints da AWS na Referência geral da AWS. Para obter mais informações sobre como usar o elemento NotAction com o efeito Deny, consulte Elementos de política JSON do IAM: NotAction.

Importante

Esta política não permite qualquer ação. Use essa política em combinação com outras políticas que permitam ações específicas. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAllOutsideRequestedRegions",
            "Effect": "Deny",
            "NotAction": [
                "cloudfront:*",
                "iam:*",
                "route53:*",
                "support:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1",
                        "eu-west-2",
                        "eu-west-3"
                    ]
                }
            }
        }
    ]
}