Ich möchte den Zugriff auf AWS-Ressourcen basierend auf der AWS-Region, der Quell-IP-Adresse oder Amazon Virtual Private Cloud (Amazon VPC) einschränken.
Kurzbeschreibung
Verwende identitätsbasierte Richtlinien von IAWS Identity and Access Management (IAM, Identitäts- und Zugriffsmanagement) und Bucket-Richtlinien von Amazon Simple Storage Service (Amazon S3), um den Zugriff auf AWS-Ressourcen zu verweigern oder zu steuern. Je nach AWS-Region, Quell-IP oder VPC, von der aus auf die Ressource zugegriffen wird, kannst du den Zugriff auf AWS-Ressourcen steuern.
Lösung
Zugriff auf AWS-Ressourcen basierend auf der angeforderten AWS-Region verweigern
Erstelle eine identitätsbasierte Richtlinie mit dem IAM-Bedingungsschlüssel aws:RequestedRegion, die den Zugriff auf alle Aktionen außerhalb der angegebenen Regionen verweigert.
Weitere Informationen findest du unter AWS: Verweigert auf der Grundlage der angeforderten Region den Zugriff auf AWS.
Zugriff auf AWS-Ressourcen basierend auf der Quell-IP-Adresse verweigern
Erstelle eine identitätsbasierte Richtlinie mit den IAM-Bedingungsschlüsseln aws:SourceIp und aws:ViaAWSService, die den Zugriff auf alle Aktionen außerhalb des angegebenen IP-Adressbereichs verweigert. Nur öffentliche IP-Adressen oder öffentliche IP-Bereiche werden unterstützt.
Hinweis: Der Bedingungsschlüssel aws:SourceIP ist immer in der Anforderung enthalten, mit Ausnahme von Anforderungen, die einen Amazon VPC-Endpunkt verwenden.
Ein Beispiel für eine IAM-Richtlinie und weitere Informationen findest du unter AWS: Verweigert den Zugriff auf AWS auf der Grundlage der Quell-IP.
Den Zugriff von Amazon VPC aus mit Amazon S3-Bucket-Richtlinien steuern
Erstelle eine Amazon S3-Bucket-Richtlinie mit dem IAM-Bedingungsschlüssel aws:SourceVpce, um den Zugriff auf Buckets von bestimmten Amazon VPC-Endpunkten aus einzuschränken. Du kannst mit dem IAM-Bedingungsschlüssel aws:SourceVpc auch eine Amazon S3-Bucket-Richtlinie erstellen, um den Zugriff auf Buckets von bestimmten Amazon VPCs aus einzuschränken.
Weitere Informationen findest du unter Steuerung des Zugriffs von VPC-Endpunkten aus mithilfe von Bucket-Richtlinien.
Hinweis: Der Bedingungsschlüssel aws:SourceVpc oder aws:SourceVpce ist nur enthalten, wenn der Anforderer einen VPC-Endpunkt verwendet, um die Anforderung zu stellen.
Ähnliche Informationen
AWS-Serviceendpunkte
Schlüssel für den globalen Bedingungskontext von AWS
VPC-Endpunkte