AWS IAM 推出 aws:SourceVpcArn 条件密钥，用于实现基于区域的访问控制

发布于: 2025年11月19日

AWS Identity and Access Management（IAM）现在支持新的全局条件密钥 aws:SourceVpcArn，让客户能够对通过 AWS PrivateLink 访问的资源实施基于区域的访问控制。该条件密钥会返回与 VPC 端点关联的 VPC 的 ARN，让客户能够验证请求是否通过特定的 VPC 进行传输，并在同区域或跨区域场景中实施对资源的私有访问控制。

客户可以在策略中使用 aws:SourceVpcArn，确保用户只能通过特定区域的 VPC 端点访问资源，从而有助于强制执行数据驻留要求。例如，您可以将策略附加到 Amazon S3 存储桶，确保只有通过指定区域内的 VPC 端点发起的请求能够访问该存储桶。

aws:SourceVpcArn 条件密钥已在所有 AWS 商业区域推出。有关支持的 AWS 服务的完整列表以及更多信息，请参阅 IAM 用户指南。