如何根據 AWS 區域、來源 IP 地址或 Amazon VPC 限制對 AWS 資源的存取?

上次更新日期:2022 年 3 月 22 日

我希望根據 AWS 區域 、來源 IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) 限制對 AWS 資源的存取。

簡短描述

您可以使用 AWS Identity and Access Management (IAM) 基於身分的政策和 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策來拒絕或控制存取。

解決方案

根據請求的 AWS 區域拒絕存取 AWS 資源

使用 IAM aws:RequestedRegion 條件金鑰建立基於身分的政策,該政策拒絕存取指定區域以外的所有動作。

有關 IAM 政策範例和更多資訊,請參閲基於請求的區域拒絕存取

根據來源 IP 地址拒絕存取 AWS 資源

使用 IAM aws:SourceIpaws:ViaAWSService 條件金鑰建立基於身分的政策,該政策拒絕存取指定 IP 地址範圍以外的所有動作。

有關 IAM 政策範例和更多資訊,請參閲基於來源 IP 地址範圍拒絕存取

注意:

  • 僅支援公有 IP 地址或公有 IP 範圍。
  • aws:SourceIp 條件金鑰始終包含在請求中,但使用 Amazon VPC 端點的請求除外。

使用 Amazon S3 儲存貯體政策控制來自 Amazon VPC 的存取

使用 IAM aws:SourceVpce 條件金鑰建立 Amazon S3 儲存貯體政策,以限制從特定 Amazon VPC 端點對儲存貯體的存取。

-或-

使用 IAM aws:SourceVpc 條件金鑰建立 Amazon S3 儲存貯體政策,以限制從特定 Amazon VPC 對儲存貯體的存取。

有關 IAM 政策範例和更多資訊,請參閲使用儲存貯體政策控制來自 VPC 端點的存取

注意:僅當申請者使用 VPC 端點發出請求時,才會包含 aws:SourceVpc 或 aws:SourceVpce 條件金鑰。


此文章是否有幫助?


您是否需要帳單或技術支援?