¿Cómo puedo restringir el acceso a los recursos de AWS en función de la región de AWS, la dirección IP de origen o la nube de Amazon VPC?

3 minutos de lectura
0

Quiero restringir el acceso a los recursos de AWS en función de la región de AWS, la dirección IP de origen o la nube de Amazon Virtual Private Cloud (Amazon VPC).

Descripción breve

Puede utilizar las políticas basadas en identidades de AWS Identity and Access Management (IAM) y las políticas de bucket de Amazon Simple Storage Service (Amazon S3) para denegar o controlar el acceso a recursos de AWS. Puede denegar o controlar el acceso a los recursos de AWS en función de condiciones como la región de AWS, la IP de origen o la VPC desde la que se accede al recurso.

Resolución

Denegar el acceso a los recursos de AWS en función de la región de AWS solicitada

Cree una política basada en identidades con la clave de condición aws:RequestedRegion de IAM que deniegue el acceso a todas las acciones fuera de las regiones especificadas.

Para acceder a un ejemplo de política de IAM y a más información, consulte Denegar el acceso en función de la región solicitada.

Denegar el acceso a los recursos de AWS en función de la dirección IP de origen

Cree una política basada en identidades con las claves de condición aws:SourceIp y aws:ViaAWSService de IAM que deniegue el acceso a todas las acciones fuera del rango de direcciones IP especificado. Solo se admiten direcciones IP públicas o rangos de direcciones IP públicas.

Nota: Siempre se incluye la clave de condición aws:SourceIp en la solicitud, excepto en las solicitudes que utilizan un punto de conexión de Amazon VPC.

Para acceder a un ejemplo de política de IAM y a más información, consulte Denegar el acceso en función del rango de direcciones IP de origen.

Controlar el acceso desde Amazon VPC con políticas de bucket de Amazon S3

Cree una política de bucket de Amazon S3 con la clave de condición aws:SourceVpce de IAM para restringir el acceso a los buckets desde puntos de conexión de Amazon VPC específicos. También puede crear una política de bucket de Amazon S3 con la clave de condición aws:SourceVpc de IAM para restringir el acceso a los buckets desde nubes de Amazon VPC específicas.

Para acceder a ejemplos de políticas de IAM y a más información, consulte Control del acceso desde puntos de conexión de VPC con políticas de bucket.

Nota: Las claves de condición aws:SourceVpc o aws:SourceVpce solo se incluyen si el solicitante usa un punto de conexión de VPC para efectuar la solicitud.


Información relacionada

Puntos de conexión de los servicios de AWS

Claves de contexto de condición globales de AWS

Puntos de conexión de VPC

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 2 años