本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS: AWS 根據請求的區域拒絕訪問
此範例會示範如何建立身分型政策,拒絕以 aws:RequestedRegion
條件索引鍵所指定區域以外位置任何操作的存取權,但使用 NotAction
所指定服務的操作除外。此政策定義了程式設計和主控台存取的許可。若要使用此政策,請將範例政策中的斜體預留位置文字
取代為您自己的資訊。然後,遵循建立政策或編輯政策中的指示進行操作。
此政策使用含 Deny
效果的 NotAction
元素,此效果會明確拒絕存取「未」列在陳述式中的所有動作。不應拒絕 IAM CloudFront、Route 53 和 AWS Support 服務中的動作,因為這些是具有實際位於us-east-1
區域中的單一端點的熱門 AWS 全球服務。這些服務的所有請求是對 us-east-1
區域提出,因此在沒有使用 NotAction
元素的情況下請求會遭拒。編輯此元素來為您使用的其他 AWS
全域服務 (例如,budgets
、globalaccelerator
、importexport
、organizations
或 waf
) 包含動作。其他一些全球服務,例如 AWS Chatbot 和 AWS Device Farm,是具有實際位於該us-west-2
地區的端點的全球服務。要了解具有單一全域端點的所有服務,請參閱 AWS 一般參考 中的 AWS 區域和端點。如需有關使用含 NotAction
效果之 Deny
元素的詳細資訊,請參閱 IAMJSON政策元素:NotAction。
重要
此政策不允許任何動作。將此政策與允許特定動作的其他政策結合使用。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideRequestedRegions", "Effect": "Deny", "NotAction": [
"cloudfront:*", "iam:*", "route53:*", "support:*"
], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": ["eu-central-1", "eu-west-1", "eu-west-2", "eu-west-3"
] } } } ] }