#amazon-web-services #aws-lambda #amazon-iam #region
#amazon-веб-сервисы #aws-lambda #amazon-iam #регион
Вопрос:
Я хочу знать любую возможность, позволяющую пользователям не предоставлять какие-либо ресурсы во всех регионах AWS, кроме одного, например, ap-southeast-1.
Я хочу, чтобы никто не мог предоставлять какие-либо ресурсы во всех регионах AWS, только в одном регионе, который является ap-southeast-1.
Спасибо
Ответ №1:
Да, вы можете создать политику IAM и прикрепить ее к пользователям, чьи регионы вы хотите ограничить.
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": [
"ap-southeast-1"
]
}
}
}]
}
Эта политика ограничит доступ ap-southeast-1 только к.
Комментарии:
1. спасибо за ваш ответ Atul. Можно ли применить эту политику глобально, чтобы она была применима для всех пользователей, что-то вроде SCP. Поэтому нет необходимости назначать политику для каждого пользователя.
2. Вы можете создать группу и пометить эту политику для группы и переместить всех пользователей в эту группу. Теперь вам не нужно контролировать отдельных пользователей.
3. это здорово. есть ли какой-либо другой способ ограничить доступ к другому региону, кроме использования политики IAM?