Amazon:基于源 IP 拒绝对 Amazon 的访问 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon:基于源 IP 拒绝对 Amazon 的访问

此示例演示如何创建 IAM 策略,以当请求赖在指定 IP 范围以外的主体时拒绝对账户中所有 Amazon 操作的访问。当您公司的 IP 地址位于指定范围内时,该策略很有用。该策略不拒绝 Amazon 服务使用主体的凭证发出的请求。此策略定义了程序访问和控制台访问的权限。要使用此策略,请将示例策略中的斜体占位符文本替换为您自己的信息。然后,按照创建策略编辑策略中的说明操作。

在与 "Effect": "Deny" 相同的策略语句中谨慎使用否定条件。使用否定条件时,在所有条件下(指定的条件除外),在策略语句中指定的操作将被明确拒绝。

此外,此策略还包括导致逻辑 AND多条件键。在此策略中,当源 IP 地址不在指定范围内且当 Amazon 服务未进行调用时,将会拒绝所有 Amazon 操作。notANDnot

重要

该策略不允许进行任何操作。可将此策略与允许特定操作的其他策略结合使用。

当其他策略允许操作时,主体可以从 IP 地址范围内发出请求。Amazon 服务还可以使用主体的凭证发出请求。当主体从 IP 范围之外发出请求时,请求将被拒绝。如果主体执行触发服务使用服务角色或者服务相关角色以代表主体进行调用,则请求也会被拒绝。

有关使用 aws:SourceIpaws:ViaAWSService 条件键的更多信息,包括有关 aws:SourceIp 密钥可能无法在您的策略中起作用的信息,请参阅 Amazon 全局条件上下文键

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "aws:SourceIp": [
                    "192.0.2.0/24",
                    "203.0.113.0/24"
                ]
            },
            "Bool": {"aws:ViaAWSService": "false"}
        }
    }
}