AWS:基于源 IP 拒绝对 AWS 的访问
如果请求来自指定 IP 范围以外的委托人,此示例显示您可以如何创建策略 可拒绝对该账户中所有 AWS 操作的访问。当您公司的 IP 地址位于指定范围内时,该策略很有用。该策略不拒绝 AWS 服务使用委托人的凭证发出的请求。此策略还授予在控制台上完成此操作所需的必要权限。
要使用此策略,请将示例策略中的斜体占位符文本
替换为您自己的信息。然后,按照创建策略或编辑策略中的说明操作。
在与 "Effect":
"Deny"
相同的策略语句中谨慎使用否定条件。使用否定条件时,在所有条件下(指定的条件除外),在策略语句中指定的操作将被明确拒绝。
此外,此策略包括导致逻辑 AND
的多个条件键。在此策略中,当源 IP 地址不在指定范围内且 AWS 服务未进行调用时,所有 AWS 操作都将被拒绝。
该策略不允许进行任何操作。可将此策略与允许特定操作的其他策略结合使用。
当其他策略允许操作时,委托人可以从 IP 地址范围内发出请求。AWS 服务还可以使用委托人的凭证发出请求。当委托人从 IP 范围之外发出请求时,请求将被拒绝。如果服务使用服务角色或服务相关角色代表委托人进行调用,则请求也会被拒绝。
有关使用 aws:SourceIp
和 aws:ViaAWSService
条件键的更多信息,请参阅AWS 全局条件上下文键。
{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "
192.0.2.0/24
", "203.0.113.0/24
" ] }, "Bool": {"aws:ViaAWSService": "false"} } } }