【以下的问题经过翻译处理】 我已经能够设置 IAM 身份中心并提供登录凭据以访问 AWS 服务(我们以 S3 为例),但是,我想将对此服务的任何控制台访问限制为单个区域,以使某些用户的工作区与其他人隔离。
尝试的配置
我创建了以下名为“RegionRestrict”的 IAM 策略,然后在将用户映射到 AWS 组织帐户时将其导入 IAM 身份中心。我查阅了一些指南,并发现此指南中共享的 Condition(https://aws.amazon.com/blogs/security/easier-way-to-control-access-to-aws-regions-using-iam-policies/)仅适用于 API 请求(而不适用于控制台访问),因此我最终使用了“ec2:Region”而不是全局区域标志。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "ec2:*",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ec2:Region": "us-east-1"
}
}
}
]
}
问题
当为用户分配权限集时,我收到以下错误:
已配置失败的 1 个中的 1 个。
您可以重试提交它们,或者您可以离开页面,失败的分配将不会被提交。
分配用户“permission-test”到 AWS 帐户“permissions-test”并使用权限集“RegionRestrict”
收到 404 状态错误:不支持的策略 arn:aws:iam::############:policy/RegionRestrict。