如何根据 AWS 区域、源 IP 地址或 Amazon VPC 限制对 AWS 资源的访问?

1 分钟阅读
0

我想根据 AWS 区域、源 IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) 限制对 AWS 资源的访问。

简短描述

使用 IAWS Identity and Access Management (IAM) 基于身份的策略和 Amazon Simple Storage Service (Amazon S3) 存储桶策略来拒绝或控制对 AWS 资源的访问。您可以根据从中访问资源的 AWS 区域、源 IP 或 VPC,控制对 AWS 资源的访问。

解决方法

根据请求的 AWS 区域拒绝对 AWS 资源的访问

使用 IAM aws:RequestedRegion 条件键创建基于身份的策略,以拒绝对指定区域之外的所有操作的访问。

有关详细信息,请参阅 AWS: 根据请求的区域拒绝对 AWS 的访问

根据源 IP 地址拒绝对 AWS 资源的访问

使用 IAM aws:SourceIpaws:ViaAWSService 条件键创建基于身份的策略,以拒绝对指定 IP 地址范围之外的所有操作的访问。仅支持公有 IP 地址或公有 IP 范围。

注意: aws:SourceIp 条件键始终包含在请求中,使用Amazon VPC 端点的请求除外。

有关 IAM 策略示例和详细信息,请参阅 AWS: 根据源 IP 拒绝对 AWS 的访问。

使用 Amazon S3 存储桶策略控制来自 Amazon VPC 的访问

使用 IAM aws:SourceVpce 条件键创建 Amazon S3 存储桶策略,以限制对来自特定 Amazon VPC 端点的存储桶的访问。您还可以使用 IAM aws:SourceVpc 条件键创建 Amazon S3 存储桶策略,以限制对特定 Amazon VPC 中存储桶的访问。

有关更多信息,请参阅使用存储桶策略控制来自 VPC 端点的访问

**注意:**仅当请求者使用 VPC 端点发出请求时,请求中才会包含 aws:SourceVpc 或 aws:SourceVpce 条件键。

相关信息

AWS 服务端点

AWS 全局条件上下文键

VPC 端点

AWS 官方
AWS 官方已更新 3 个月前