如何根據 AWS 區域、來源 IP 地址或 Amazon VPC 限制對 AWS 資源的存取?

1 分的閱讀內容
0

我想要根據 AWS 區域、來源 IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) 限制對 AWS 資源的存取。

簡短描述

您可以使用 AWS Identity and Access Management (IAM) 基於身分的政策和 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策來拒絕或控制對 AWS 資源的存取。您可以根據存取資源的 AWS 區域、來源 IP 或 VPC 等條件來拒絕或控制對 AWS 資源的存取。

解決方案

根據請求的 AWS 區域拒絕存取 AWS 資源

使用 IAM aws:RequestedRegion 條件金鑰建立基於身分的政策,該政策拒絕存取指定區域以外的所有動作。

有關 IAM 政策範例和更多資訊,請參閲基於請求的區域拒絕存取

根據來源 IP 地址拒絕存取 AWS 資源

使用 IAM aws:SourceIpaws:ViaAWSService 條件金鑰建立基於身分的政策,該政策拒絕存取指定 IP 地址範圍以外的所有動作。僅支援公有 IP 地址或公有 IP 範圍。

注意:aws:SourceIp 條件金鑰始終包含在請求中,但使用 Amazon VPC 端點的請求除外。

有關 IAM 政策範例和更多資訊,請參閲基於來源 IP 地址範圍拒絕存取

使用 Amazon S3 儲存貯體政策控制來自 Amazon VPC 的存取

使用 IAM aws:SourceVpce 條件金鑰建立 Amazon S3 儲存貯體政策,以限制從特定 Amazon VPC 端點對儲存貯體的存取。您也可以用 IAM aws:SourceVpc 條件金鑰來建立 Amazon S3 儲存貯體政策,以限制從特定 Amazon VPC 對儲存貯體的存取。

有關 IAM 政策範例和更多資訊,請參閲使用儲存貯體政策控制來自 VPC 端點的存取

**注意:**僅當申請者使用 VPC 端點發出請求時,才會包含 aws:SourceVpc 或 aws:SourceVpce 條件金鑰。


相關資訊

AWS 服務端點

AWS 全域條件內容金鑰

VPC 端點

AWS 官方
AWS 官方已更新 2 年前