Amazon EC2: limita o término de instâncias do EC2 para um intervalo de endereços IP

Este exemplo mostra como você pode criar uma política baseada em identidade que limite as instâncias do EC2 permitindo a ação, mas negando explicitamente o acesso quando a solicitação vier de fora do intervalo de IP especificado. A política é útil quando os endereços IP para sua empresa estão dentro dos intervalos especificados. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. Para usar esta política, substitua o texto do espaço reservado em itálico na política de exemplo por suas próprias informações. Em seguida, siga as instruções em criar uma política ou editar uma política.

Se essa política for usada em combinação com outras políticas que permitem a ação ec2:TerminateInstances (tal como a política gerenciada pela AWS AmazonEC2FullAccess), o acesso será negado. Isso ocorre porque uma instrução de negação explícita tem precedência sobre instruções para permitir. Para ter mais informações, consulte Como a lógica do código de imposição da AWS avalia as solicitações para permitir ou negar acesso.

Importante

A chave de condição aws:SourceIp nega acesso a um AWS service (Serviço da AWS), tal como o AWS CloudFormation, que realiza chamadas em seu nome. Para mais informações sobre o uso da chave de condição aws:SourceIp, consulte Chaves de contexto de condição globais da AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["ec2:TerminateInstances"],
            "Resource": ["*"]
        },
        {
            "Effect": "Deny",
            "Action": ["ec2:TerminateInstances"],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            },
            "Resource": ["*"]
        }
    ]
}