Ich möchte den Zugriff auf AWS-Ressourcen basierend auf der AWS-Region, der Quell-IP-Adresse oder der Amazon Virtual Private Cloud (Amazon VPC) einschränken.
Kurzbeschreibung
Sie können identitätsbasierte Richtlinien für das AWS Identity and Access Management (IAM) und Bucket-Richtlinien für den Amazon Simple Storage Service (Amazon S3) verwenden, um den Zugriff zu verweigern oder zu steuern. Sie können den Zugriff auf AWS-Ressourcen basierend auf Bedingungen wie der AWS-Region, der Quell-IP oder der VPC, von der aus auf die Ressource zugegriffen wird, verweigern oder kontrollieren.
Auflösung
Zugriff auf AWS-Ressourcen basierend auf der angeforderten AWS-Region verweigern
Erstellen Sie eine identitätsbasierte Richtlinie mit dem IAM-Bedingungsschlüssel aws:RequestedRegion, die den Zugriff auf alle Aktionen außerhalb der angegebenen Regionen verweigert.
Ein Beispiel für eine IAM-Richtlinie und weitere Informationen finden Sie unter Verweigern des Zugriffs basierend auf der angeforderten Region.
Verweigern des Zugriffs auf AWS-Ressourcen basierend auf der Quell-IP-Adresse
Erstellen Sie eine identitätsbasierte Richtlinie mit den IAM-Bedingungsschlüsseln aws:SourceIp und aws:ViaAWSService, die den Zugriff auf alle Aktionen außerhalb des angegebenen IP-Adressbereichs verweigert. Es werden nur öffentliche IP-Adressen oder öffentliche IP-Bereiche unterstützt.
Hinweis:Der Bedingungsschlüssel aws:SourceIp ist immer in der Anforderung enthalten, mit Ausnahme von Anforderungen, die einen Amazon VPC-Endpunkt verwenden.
Ein Beispiel für eine IAM-Richtlinie und weitere Informationen finden Sie unter Verweigern des Zugriffs basierend auf dem Quell-IP-Adressbereich.
Steuern des Zugriffs von Amazon VPC mit Amazon-S3-Bucket-Richtlinien
Erstellen Sie eine Amazon S3-Bucket-Richtlinie mit dem IAM-Bedingungsschlüssel aws:SourceVpce, um den Zugriff auf Buckets von bestimmten Amazon VPC-Endpunkten zu beschränken. Erstellen Sie eine Amazon S3-Bucket-Richtlinie mit dem IAM-Bedingungsschlüssel aws:SourceVpc, um den Zugriff auf Buckets von bestimmten Amazon VPCs zu beschränken.
Beispiele für IAM-Richtlinien und weitere Informationen finden Sie unter Steuern des Zugriffs von VPC-Endpunkten mit Bucket-Richtlinien.
Hinweis: Der Bedingungsschlüssel aws:SourceVpc oder aws:SourceVpce ist nur enthalten, wenn der Anforderer einen VPC-Endpunkt verwendet, um die Anforderung zu stellen.
Zugehörige Informationen
AWS-Service-Endpunkte
Kontextschlüssel für globale AWS-Bedingungen
VPC-Endpunkte