定义区域性服务访问的边界

作为客户，您对自己的内容拥有所有权，而且您可以选择使用哪项 AWS 服务处理、存储和托管您的内容。未经您的同意，AWS 不会出于任何目的而访问或使用您的内容。基于责任共担模型，您可以选择存储您的内容的 AWS 区域，这样您就可以根据自己对地理位置的具体要求，在自己选择的地点部署 AWS 服务。例如，如果您想要确保您的内容仅位于欧洲，可以选择仅在其中一个欧洲 AWS 区域部署 AWS 服务。

IAM 策略提供一种简单的机制来限制对位于特定区域的服务的访问。您可以将全局条件（aws:RequestedRegion）添加到您的 IAM 主体所附的 IAM 策略中，来对所有 AWS 服务强制执行此条件。例如，以下策略使用具有 Deny 效果的 NotAction 元素，如果请求的区域不是欧洲的区域，它会明确拒绝访问语句中未列出的所有操作。CloudFront、IAM、Amazon Route 53 和 AWS Support 服务中的操作应不会被拒绝，因为这些服务属于热门的 AWS 全球服务。

      {
         “Version”: “2012-10-17”,
         “Statement”: [
             {
                “Sid”: “DenyAllOutsideRequestedRegions”,
                “Effect”: “Deny”,
                “NotAction”: [
                     “cloudfront:*”,
                     “iam:*”,
                     ”route53:*”,
                     “support:*”
                 ],
                 “Resource”: “*”,
                 “Condition”: {
                    “StringNotLike”: {
                        “aws:RequestedRegion”: [
                              “eu-*”
                        ]
                     } 
                  }
            }    
          ]           
}
    

此示例 IAM 策略还可以在 AWS Organizations 中作为服务控制策略（SCP）实施，它定义应用于组织内特定 AWS 账户或组织部门（OU）的权限边界。这让您可以在复杂的多账户环境中控制用户对区域性服务的访问权限。

新启动的区域具有地理限制功能。2019 年 3 月 20 日之后推出的区域默认处于禁用状态。您必须先启用这些地区，然后才能使用它们。如果默认禁用 AWS 地区，则您可以使用 AWS 管理控制台启用和禁用该地区。启用和禁用 AWS 地区可让您控制 AWS 账户中的用户是否可以访问该地区的资源。有关更多信息，请参阅管理 AWS 区域。