将IAM身份中心用户限制在定义的区域内?

0

【以下的问题经过翻译处理】 我已经能够设置 IAM 身份中心并提供登录凭据以访问 AWS 服务(我们以 S3 为例),但是,我想将对此服务的任何控制台访问限制为单个区域,以使某些用户的工作区与其他人隔离。

尝试的配置

我创建了以下名为“RegionRestrict”的 IAM 策略,然后在将用户映射到 AWS 组织帐户时将其导入 IAM 身份中心。我查阅了一些指南,并发现此指南中共享的 Condition(https://aws.amazon.com/blogs/security/easier-way-to-control-access-to-aws-regions-using-iam-policies/)仅适用于 API 请求(而不适用于控制台访问),因此我最终使用了“ec2:Region”而不是全局区域标志。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "ec2:*",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ec2:Region": "us-east-1"
                }
            }
        }
    ]
}

问题

当为用户分配权限集时,我收到以下错误:

已配置失败的 1 个中的 1 个。
您可以重试提交它们,或者您可以离开页面,失败的分配将不会被提交。

分配用户“permission-test”到 AWS 帐户“permissions-test”并使用权限集“RegionRestrict”

收到 404 状态错误:不支持的策略 arn:aws:iam::############:policy/RegionRestrict。

profile picture
专家
已提问 3 个月前1 查看次数
1 回答
0

【以下的回答经过翻译处理】 对于IAM身份中心,您需要创建权限集,这些权限集是定义用户将获得的策略的模板。您还应该查看aws:RequestedRegion以在策略中使用相关上下文键。

API权限适用于控制台和编程访问,但是您使用的密钥是EC2密钥,因此不一定适用于所有服务。

顺便说一句,如果这些用户登录到链接的账户,您可能需要查看服务控制策略,文档中有一个非常相关的例子。

profile picture
专家
已回答 3 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则