# Amazon:基于源 IP 拒绝对 Amazon 的访问 此示例说明了如何创建基于身份的策略,以当请求来自指定 IP 范围以外的*主体*时拒绝对账户中所有 Amazon 操作的访问。当您公司的 IP 地址位于指定范围内时,该策略很有用。在此示例中,除非源自 CIDR 范围 192.0.2.0/24 或 203.0.113.0/24, 否则请求将被拒绝。该策略不拒绝使用 [转发访问会话](access_forward_access_sessions.md) 的 Amazon 服务发出的请求,因为原始请求者的 IP 地址已保留。 在与 `"Effect": "Deny"` 相同的策略语句中谨慎使用否定条件。使用否定条件时,在所有条件下(指定的条件*除外*),在策略语句中指定的操作将被明确拒绝。 **重要** 该策略不允许进行任何操作。可将此策略与允许特定操作的其他策略结合使用。 当其他策略允许操作时,主体可以从 IP 地址范围内发出请求。Amazon 服务还可以使用主体的凭证发出请求。当主体从 IP 范围之外发出请求时,请求将被拒绝。 有关使用 `aws:SourceIp` 条件键的更多信息,包括有关 `aws:SourceIp` 可能无法在您的策略中起作用的信息,请参阅 [Amazon 全局条件上下文密钥](reference_policies_condition-keys.md)。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "192.0.2.0/24", "203.0.113.0/24" ] } } } } ``` ------