Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

将IAM身份中心用户限制在定义的区域内?

0

【以下的问题经过翻译处理】 我已经能够设置 IAM 身份中心并提供登录凭据以访问 AWS 服务(我们以 S3 为例),但是,我想将对此服务的任何控制台访问限制为单个区域,以使某些用户的工作区与其他人隔离。

尝试的配置

我创建了以下名为“RegionRestrict”的 IAM 策略,然后在将用户映射到 AWS 组织帐户时将其导入 IAM 身份中心。我查阅了一些指南,并发现此指南中共享的 Condition(https://aws.amazon.com/blogs/security/easier-way-to-control-access-to-aws-regions-using-iam-policies/)仅适用于 API 请求(而不适用于控制台访问),因此我最终使用了“ec2:Region”而不是全局区域标志。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "ec2:*",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ec2:Region": "us-east-1"
                }
            }
        }
    ]
}

问题

当为用户分配权限集时,我收到以下错误:

已配置失败的 1 个中的 1 个。
您可以重试提交它们,或者您可以离开页面,失败的分配将不会被提交。

分配用户“permission-test”到 AWS 帐户“permissions-test”并使用权限集“RegionRestrict”

收到 404 状态错误:不支持的策略 arn:aws:iam::############:policy/RegionRestrict。
Themen
Sicherheit, Identität & Konformität
Tags
AWS Identity and Access ManagementAWS IAM IdentitätszentrumIAM-Richtlinien
Sprache
中文 (简体)
profile picture
EXPERTE
rePost Polyglot
gefragt vor 6 Monaten14 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 对于IAM身份中心,您需要创建权限集,这些权限集是定义用户将获得的策略的模板。您还应该查看aws:RequestedRegion以在策略中使用相关上下文键。

API权限适用于控制台和编程访问,但是您使用的密钥是EC2密钥,因此不一定适用于所有服务。

顺便说一句,如果这些用户登录到链接的账户,您可能需要查看服务控制策略,文档中有一个非常相关的例子。

profile picture
EXPERTE
rePost Polyglot
beantwortet vor 6 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt