Comment puis-je restreindre l'accès aux ressources AWS en fonction de la Région AWS, de l'adresse IP source ou d'Amazon VPC ?

Dernière mise à jour : 05-08-2022

Je souhaite restreindre l'accès aux ressources AWS en fonction de la Région AWS, de l'adresse IP source ou d'Amazon Virtual Private Cloud (Amazon VPC).

Brève description

Vous pouvez utiliser des politiques basées sur l'identité AWS Identity and Access Management (IAM) et des politiques de compartiment Amazon Simple Storage Service (Amazon S3) pour refuser ou contrôler l'accès. Vous pouvez refuser ou contrôler l'accès aux ressources AWS en fonction de conditions telles que la Région AWS, l'adresse IP source ou le VPC à partir duquel la ressource est accessible.

Résolution

Refuser l'accès aux ressources AWS en fonction de la Région AWS demandée

Créez une politique basée sur l'identité avec la clé de condition IAM aws:RequestedRegion qui refuse l'accès à toutes les actions en dehors des Régions spécifiées.

Pour obtenir un exemple de politique IAM et plus d'informations, consultez Refuser l'accès en fonction de la Région demandée.

Refuser l'accès aux ressources AWS en fonction de l'adresse IP source

Créez une politique basée sur l'identité avec les clés de condition IAM aws:SourceIp et aws:ViaAWSService qui refusent l'accès à toutes les actions en dehors de la plage d'adresses IP spécifiée. Seules les adresses IP publiques ou plages d'adresses IP publiques sont prises en charge.

Remarque : la clé de condition aws:SourceIp est toujours incluse dans la demande, sauf pour les demandes qui utilisent un point de terminaison d'un Amazon VPC.

Pour obtenir un exemple de politique IAM et plus d'informations, reportez-vous à Refuser l'accès en fonction d'une plage d'adresses IP source.

Contrôle l'accès à partir d'Amazon VPC avec des politiques de compartiment Simple Storage Service (Amazon S3)

Créez une politique de compartiment Simple Storage Service (Amazon S3) avec la clé de condition IAM aws:SourceVpce pour restreindre l'accès aux compartiments à partir de points de terminaison Amazon VPC spécifiques. Vous pouvez créer également une politique de compartiment Simple Storage Service (Amazon S3) avec la clé de condition IAM aws:SourceVpc pour restreindre l'accès aux compartiments à partir d'Amazon VPC spécifiques.

Pour obtenir des exemples de politiques IAM et plus d'informations, reportez-vous à Contrôle de l'accès à partir de points de terminaison de VPC avec des politiques de compartiment.

Remarque : la clé de condition aws:SourceVpc ou aws:SourceVpce n'est incluse que si le demandeur utilise un point de terminaison d'un VPC pour effectuer la demande.


Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?