Amazon EC2:限制終止 EC2 執行個體到 IP 地址範圍 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon EC2:限制終止 EC2 執行個體到 IP 地址範圍

此範例會示範如何建立身分型政策,透過允許動作限制 EC2 執行個體,但當請求來自指定 IP 範圍之外時明確拒絕存取。當您公司的 IP 地址在指定範圍內時,該政策很有用。此政策僅會授予從 AWS API 或 AWS CLI 以程式設計方式完成此動作的必要許可。若要使用此政策,請將範例政策中的斜體預留位置文字取代為您自己的資訊。然後,遵循建立政策編輯政策中的指示進行操作。

如果此政策與允許 ec2:TerminateInstances 動作的其他政策 (例如 AmazonEC2FullAccess AWS 受管政策) 組合使用,則拒絕存取。這是因為明確拒絕陳述式的優先順序會在允許陳述式。如需詳細資訊,請參閱 決定是否允許或拒絕帳戶中的請求

重要

aws:SourceIp 條件索引鍵拒絕存取代您進行呼叫的 AWS 服務 (例如 AWS CloudFormation)。如需有關使用 aws:SourceIp 條件索引鍵的詳細資訊,請參閱 AWS 全域條件內容索引鍵

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["ec2:TerminateInstances"],
            "Resource": ["*"]
        },
        {
            "Effect": "Deny",
            "Action": ["ec2:TerminateInstances"],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            },
            "Resource": ["*"]
        }
    ]
}