如何根据 AWS 区域、源 IP 地址或 Amazon VPC 限制对 AWS 资源的访问?
我想根据 AWS 区域、源 IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) 限制对 AWS 资源的访问。
简短描述
您可以使用 AWS Identity and Access Management (IAM) 基于身份的策略和 Amazon Simple Storage Service (Amazon S3) 存储桶策略来拒绝或控制对 AWS 资源的访问。您可以根据从中访问资源的 AWS 区域、源 IP 或 VPC 等条件拒绝或控制对 AWS 资源的访问。
解决方法
根据请求的 AWS 区域拒绝访问 AWS 资源
使用 IAM aws:RequestedRegion 条件键创建基于身份的策略,该条件键拒绝访问指定区域之外的所有操作。
有关 IAM 策略示例和更多信息,请参阅根据请求的区域拒绝访问。
根据源 IP 地址拒绝访问 AWS 资源
使用 IAM aws:SourceIp 和 aws:ViaAWSService 条件键创建基于身份的策略,这些条件键拒绝访问指定 IP 地址范围之外的所有操作。仅支持公有 IP 地址或公有 IP 范围。
注意:aws:SourceIp 条件键始终包括在请求中,但使用 Amazon VPC 端点的请求除外。
有关 IAM policy 示例和更多信息,请参阅根据源 IP 地址范围拒绝访问。
使用 Amazon S3 存储桶策略控制从 Amazon VPC 访问
使用 IAM aws:SourceVpce 条件键创建 Amazon S3 存储桶策略,以限制从特定 Amazon VPC 终端节点对存储桶的访问。您还可以使用 IAM aws:SourceVpc 条件键创建 Amazon S3 存储桶策略,以限制从特定 Amazon VPC 对存储桶的访问。
有关 IAM 策略示例和更多信息,请参阅使用存储桶策略控制从 VPC 终端节点访问。
**注意:**仅当请求者使用 VPC 终端节点发出请求时,才会包含 aws:SourceVpc 或 aws:SourceVpce 条件键。
相关信息
相关内容
- AWS 官方已更新 10 个月前
- AWS 官方已更新 2 年前
- AWS 官方已更新 3 年前
