เป็นไปได้หรือไม่ที่จะ จำกัด ผู้ใช้ / บัญชี AWS ในบางพื้นที่

เราให้บริการ AWS จำนวนมากในภูมิภาค eu-west-1 น่าเสียดายที่นักพัฒนาของเราและพนักงานคนอื่น ๆ ที่ต้องการสร้างทรัพยากรชั่วคราวลืมเกี่ยวกับแง่มุมของ AWS นี้และไม่เลือกภูมิภาคนี้ก่อนเปิดตัวอินสแตนซ์ EC2 การสร้าง S3 ถัง ฯลฯ ดังนั้นพวกเขามักจะจบลงด้วย ภูมิภาค us-east-1 ตั้งแต่ที่ดูเหมือนจะเป็นค่าเริ่มต้นที่ AWS ใช้เสมอ

มีวิธีใดบ้างในการใช้ IAM (หรือวิธีอื่น ๆ ) ในการ จำกัด บัญชีผู้ใช้เพื่อเปิด / สร้างสิ่งต่าง ๆ ภายในพื้นที่เฉพาะหรือไม่?

น่าเสียดายที่คุณไม่สามารถทำสิ่งนี้ได้ทั่วโลก อย่างไรก็ตามสำหรับแต่ละผลิตภัณฑ์ AWS ที่รองรับคุณมักจะสามารถจำกัด การเข้าถึงในบางภูมิภาค

ตัวอย่างเช่นสำหรับ EC2 คุณสามารถทำสิ่งต่อไปนี้:

{
  "Statement":[{
    "Effect":"allow",
    "Action":"RunInstances",
    "Resource":"*",
    "Condition":{
      "StringEquals":{
        "ec2:Region":"us-west-1"
        }
      }
    }
  ]
}

แน่นอนว่าคุณต้องออกdenyกฎเช่นกันตามความเหมาะสม

นี่คือเอกสารสำหรับข้างต้น

ใช้สิ่งนี้ ตัวอย่างนี้ จำกัด การเข้าถึงสองภูมิภาค AWS แก้ไขตามต้องการ

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "StringNotEquals": {
        "aws:RequestedRegion": [
          "eu-central-1",
          "eu-west-1"
        ]
      }
    }
  }]
}

ตั้งแต่วันที่ 25 เมษายน 2018 AWS มีทรัพยากรระดับโลก aws: RequestedRegion คุณสามารถใช้เพื่อ จำกัด ภูมิภาคที่ผู้ใช้สามารถส่งคำขอไป นี่เป็นบริการที่ไม่ขึ้นอยู่กับภูมิภาคหรือไม่ดังนั้นคุณสามารถใช้กับบริการทั้งหมดได้

บล็อกความปลอดภัย AWS

น่าเสียดายที่คุณไม่สามารถใช้สิ่งนี้ในนโยบายการควบคุมการบริการขององค์กรเพื่อนำไปใช้กับบัญชีทั่วโลกและคุณต้องแนบนโยบายนี้กับอาจารย์ใหญ่ทุกคนและตรวจสอบว่านี่เป็นเช่นนั้นหากคุณต้องการล็อคบัญชีในบางภูมิภาค

ให้คำตอบที่ยอมรับในหัวข้อนี้Syntax Error on Policyแล้ว ทำงานด้านล่างสำหรับฉัน:

{
"Statement": [
    {
        "Sid": "Stmt1375943389569",
        "Action": "ec2:*",
        "Effect": "Allow",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "ec2:Region": "eu-central-1"
            }
        }
    }
]

}

หากคุณขอเฉพาะการกระทำ EC2 เท่านั้นใช่คุณสามารถ จำกัด ได้ตามที่กล่าวไว้ในการตอบกลับอื่น ๆ ถ้าเป็นบริการอื่น ๆ ฉันไม่แน่ใจว่าคุณสามารถทำได้ ... เช่น AWS Lambda ดูเหมือนจะไม่มีlambda:regionคุณสามารถเพิ่มเงื่อนไขได้

จากคำถามที่พบบ่อยสำหรับ AWS IAM :

ถาม: ผู้ใช้สามารถกำหนดภูมิภาคได้หรือไม่? ไม่ใช่ในตอนแรก ผู้ใช้เป็นเอนทิตีระดับโลกเช่นบัญชี AWS ในปัจจุบัน ไม่จำเป็นต้องระบุภูมิภาคเมื่อกำหนดสิทธิ์ผู้ใช้ ผู้ใช้สามารถใช้บริการ AWS ในพื้นที่ทางภูมิศาสตร์ใด ๆ

ฉันพบว่าสิ่งนี้ทำงานได้ดีขึ้น (อนุญาตให้เรียกใช้ / หยุด / ยุติ / ฯลฯ ) เพื่อให้สิทธิ์การเข้าถึง EC2 เต็มรูปแบบสำหรับผู้ใช้เพียงภูมิภาคเดียว - ภูมิภาคอื่น ๆ แสดงข้อผิดพลาดระหว่างการพยายามเข้าถึงใด ๆ

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:Region": "us-east-1"
                }
            }
        }
    ]
}

อันนี้ใช้งานได้สำหรับฉันฉันพยายามสร้างนโยบายด้วย json ที่กล่าวถึงว่าเป็นคำตอบที่ยอมรับ แต่มันไม่ได้ผลสำหรับฉัน

{
    "Version": "2012-10-17",
    "Statement": [{
        "Action": "ec2:*",
        "Effect": "Allow",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "ec2:Region": [
                    "us-east-1"
                ]
            }
        }
    }]
}

นั่นคือทางออกปัจจุบัน - ใช้ "eu-west-1":

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect"    : "Allow",
            "Action"    : "*",
            "Resource"  : "*",
            "Condition": 
            {
                "StringEquals": {
                    "aws:RequestedRegion": "eu-west-1"
                }
            }
        }
    ]
}