定義區域服務存取權的界限
客戶可以保有自己內容的擁有權,並可選取處理、儲存及託管內容時所要使用的 AWS 服務。AWS 不會在未經您的同意之下,因為任何用途而擅自存取或使用您的內容。根據共同責任模式的規定,您可以選擇儲存內容的 AWS 區域,進而依照自己的特定地理需求,在所選位置部署 AWS 服務。例如,若您希望自己的內容只會儲存在歐洲,可以選擇只將 AWS 服務部署在其中一個歐洲 AWS 區域。
IAM 政策是十分簡單的方法,可以協助您限制對特定區域中之服務的存取。您可以為連結到您 IAM 主體的 IAM 政策新增全域條件 (aws:RequestedRegion),以對所有 AWS 服務施行。例如,下列政策使用具有 Deny 效果的 NotAction 元素,會在請求的區域超出歐洲的範圍時,明確拒絕對陳述式中未列之所有動作的存取。因為 CloudFront、IAM、Amazon Route 53
{ “Version”: “2012-10-17”, “Statement”: [ { “Sid”: “DenyAllOutsideRequestedRegions”, “Effect”: “Deny”, “NotAction”: [ “cloudfront:*”, “iam:*”, ”route53:*”, “support:*” ], “Resource”: “*”, “Condition”: { “StringNotLike”: { “aws:RequestedRegion”: [ “eu-*” ] } } } ] }
此 IAM 政策範例也可實作為 AWS Organizations 的服務控制政策 (SCP),定義組織中特定 AWS 帳戶或組織單位 (OU) 適用的許可界限,以便您可以控制複雜的多帳戶環境中,使用者對區域服務的存取權。
新推出的區域提供地理限制功能。2019 年 3 月 20 日之後推出的地區預設為停用。您必須先啟用這些區域才能使用。對於預設為停用的 AWS 區域,您可以使用 AWS 管理主控台啟用及停用該區域。啟用及停用 AWS 區域可讓您控制 AWS 帳戶中的使用者,能否存取該區域中的資源。如需詳細資訊,請參閱管理 AWS 區域。
