Desidero limitare l'accesso alle risorse AWS in base alla regione AWS, all'indirizzo IP di origine o al Cloud privato virtuale Amazon (Amazon VPC).
Breve descrizione
Puoi utilizzare le policy basate su identità di AWS Identity and Access Management (IAM) e le policy di bucket di Amazon Simple Storage Service (Amazon S3) per rifiutare o controllare l'accesso alle risorse AWS. Puoi rifiutare o controllare l'accesso alle risorse AWS sulla base di condizioni come la regione AWS, l'IP di origine o il VPC da cui viene effettuato l'accesso alla risorsa.
Risoluzione
Rifiuto dell'accesso alle risorse AWS in base alla regione AWS richiesta
Crea una policy basata sull'identità con la chiave di condizione aws:RequestedRegion IAM che rifiuta l'accesso a tutte le operazioni al di fuori delle regioni specificate.
Per un esempio di policy IAM e ulteriori informazioni, consulta Rifiuto dell'accesso in base alla regione richiesta.
Rifiuto dell'accesso alle risorse AWS in base all'indirizzo IP di origine
Crea una policy basata sull'identità con le chiavi di condizione aws:SourceIp e aws:ViaAWSService IAM che rifiutano l'accesso a tutte le operazioni al di fuori dell'intervallo di indirizzi IP specificato. Sono supportati solo gli indirizzi IP pubblici o gli intervalli di IP pubblici.
Nota: la chiave di condizione aws:SourceIp è sempre inclusa nella richiesta, a eccezione delle richieste che utilizzano un endpoint Amazon VPC.
Per un esempio di policy IAM e ulteriori informazioni, consulta Rifiuto dell'accesso in base all'intervallo di indirizzi IP di origine.
Controllo dell'accesso da Amazon VPC con le policy di bucket Amazon S3
Crea una policy di bucket Amazon S3 con la chiave di condizione aws:SourceVpce IAM per limitare l'accesso ai bucket da specifici endpoint Amazon VPC. Puoi anche creare una policy di bucket Amazon S3 con la chiave di condizione aws:SourceVpc IAM per limitare l'accesso ai bucket da specifici Amazon VPC.
Per esempi di policy IAM e ulteriori informazioni, consulta Controllo dell'accesso dagli endpoint VPC con policy di bucket.
Nota: la chiave di condizione aws:SourceVpc o aws:SourceVpce è inclusa solo se il richiedente utilizza un endpoint VPC per effettuare la richiesta.
Informazioni correlate
Endpoint di servizio AWS
Chiavi contestuali globali per le condizioni AWS
Endpoint VPC