Amazon EC2:限制終止 EC2 執行個體到 IP 地址範圍 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon EC2:限制終止 EC2 執行個體到 IP 地址範圍

此範例會示範如何建立身分型政策,透過允許動作限制 EC2 執行個體,但當請求來自指定 IP 範圍之外時明確拒絕存取。當您公司的 IP 地址在指定範圍內時,該政策很有用。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。若要使用此政策,請將範例政策中的斜體預留位置文字取代為您自己的資訊。然後,遵循建立政策編輯政策中的指示進行操作。

如果此政策與允許 ec2:TerminateInstances動作的其他政策 (例如 AmazonEC2FullAccess AWS 受管政策) 搭配使用,則會拒絕存取。這是因為明確拒絕陳述式的優先順序會在允許陳述式。如需詳細資訊,請參閱AWS 強制執行程式碼邏輯如何評估請求以允許或拒絕存取

重要

aws:SourceIp 條件金鑰拒絕存取代表您進行呼叫 AWS CloudFormation的 AWS 服務,例如 。如需有關使用 aws:SourceIp 條件索引鍵的詳細資訊,請參閱 AWS 全域條件內容索引鍵

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["ec2:TerminateInstances"],
            "Resource": ["*"]
        },
        {
            "Effect": "Deny",
            "Action": ["ec2:TerminateInstances"],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            },
            "Resource": ["*"]
        }
    ]
}