如何根据 AWS 区域、源 IP 地址或 Amazon VPC 限制对 AWS 资源的访问?

上次更新日期:2022 年 3 月 22 日

我想根据 AWS 区域、源 IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) 限制对 AWS 资源的访问。

简短描述

您可以使用 AWS Identity and Access Management (IAM) 基于身份的策略和 Amazon Simple Storage Service (Amazon S3) 存储桶策略来拒绝或控制访问。

解决方法

根据请求的 AWS 区域拒绝访问 AWS 资源

使用 IAM aws:RequestedRegion 条件键创建基于身份的策略,该条件键拒绝访问指定区域之外的所有操作。

有关 IAM 策略示例和更多信息,请参阅根据请求的区域拒绝访问

根据源 IP 地址拒绝访问 AWS 资源

使用 IAM aws:SourceIpaws:ViaAWSService 条件键创建基于身份的策略,这些条件键拒绝访问指定 IP 地址范围之外的所有操作。

有关 IAM 策略示例和更多信息,请参阅根据源 IP 地址范围拒绝访问

注意:

  • 仅支持公有 IP 地址或公有 IP 范围。
  • aws:SourceIp 条件键始终包含在请求中,但使用 AWS VPC 终端节点的请求除外。

使用 Amazon S3 存储桶策略控制从 Amazon VPC 访问

使用 IAM aws:SourceVpce 条件键创建 Amazon S3 存储桶策略,以限制从特定 Amazon VPC 终端节点对存储桶的访问。

-或者-

使用 IAM aws:SourceVpc 条件键创建 Amazon S3 存储桶策略,以限制从特定 Amazon VPC 对存储桶的访问。

有关 IAM 策略示例和更多信息,请参阅使用存储桶策略控制从 VPC 终端节点访问

注意:仅当请求者使用 VPC 终端节点发出请求时,才会包含 aws:SourceVpc 或 aws:SourceVpce 条件键。


这篇文章对您有帮助吗?


您是否需要账单或技术支持?