Come posso limitare l'accesso alle risorse AWS in base alla regione AWS, all'indirizzo IP di origine o all’Amazon VPC?

Ultimo aggiornamento: 22-03-2022

Voglio limitare l'accesso alle risorse AWS in base alla regione AWS, all'indirizzo IP di origine o all’Amazon Virtual Private Cloud (Amazon VPC).

Breve descrizione

Puoi utilizzare le policy basate su identità di AWS Identity and Access Management (IAM) e le policy di bucket di Amazon Simple Storage Service (Amazon S3) per rifiutare o controllare l’accesso.

Risoluzione

Rifiuto dell'accesso alle risorse AWS in base alla regione AWS richiesta

Crea una policy basata sull'identità con la chiave di condizione aws:RequestedRegion IAM che rifiuta l'accesso a tutte le operazioni al di fuori delle regioni specificate.

Per un esempio di policy IAM e ulteriori informazioni, consulta Rifiuto dell'accesso in base alla regione richiesta.

Rifiuto dell'accesso alle risorse AWS in base all'indirizzo IP di origine

Crea una policy basata sull'identità con le chiavi di condizione aws:SourceIp e aws:ViaAWSService IAM che rifiutano l'accesso a tutte le operazioni al di fuori dell'intervallo di indirizzi IP specificato.

Per un esempio di policy IAM e ulteriori informazioni, consulta Rifiuto dell'accesso in base all'intervallo di indirizzi IP di origine.

Nota:

  • sono supportati solo gli indirizzi IP pubblici o gli intervalli di IP pubblici.
  • La chiave di condizione aws:SourceIp è sempre inclusa nella richiesta, ad eccezione delle richieste che utilizzano un endpoint Amazon VPC.

Controllo dell'accesso da Amazon VPC con le policy dei bucket Amazon S3

Crea una policy del bucket Amazon S3 con la chiave di condizione aws:SourceVpce IAM per limitare l'accesso ai bucket da specifici endpoint Amazon VPC.

-oppure-

Crea una policy del bucket Amazon S3 con la chiave di condizione aws:SourceVpc IAM per limitare l'accesso ai bucket da specifici Amazon VPC.

Per esempi di policy IAM e ulteriori informazioni, consulta Controllo dell’accesso da endpoint VPC con policy del bucket.

Nota: la chiave di condizione aws:SourceVpc o aws:SourceVpce è inclusa solo se il richiedente utilizza un endpoint VPC per effettuare la richiesta.


Questo articolo è stato utile?


Hai bisogno di supporto tecnico o per la fatturazione?