Kami menjalankan sejumlah layanan AWS di wilayah eu-west-1. Sayangnya tampaknya banyak pengembang dan karyawan kami yang perlu membuat sumber daya sementara melupakan aspek AWS ini dan tidak memilih wilayah ini sebelum meluncurkan instance EC2, membuat ember S3, dll. Akibatnya, mereka sering berakhir di wilayah us-east-1 sejak itu tampaknya merupakan default yang selalu digunakan AWS.
Apakah ada cara melalui IAM (atau cara lain) untuk membatasi akun pengguna untuk hanya meluncurkan / membuat sesuatu dalam wilayah tertentu?
sumber
"Condition": { "condition": {} }
itu harus menyatakan"Condition": { "StringEquals": {} }
Gunakan sesuatu seperti ini. Contoh ini membatasi akses ke dua wilayah AWS. Ubah sesuai kebutuhan.
sumber
aws:RequestedRegion
, ini adalah jawaban yang sekarang paling relevanSejak 25 April 2018, AWS memiliki sumber daya global: RequestedRegion yang dapat Anda gunakan untuk membatasi wilayah tempat pengguna dapat mengirim permintaan. Ini terlepas dari layanan yang regional atau tidak, sehingga Anda dapat menerapkannya ke semua layanan.
Blog Keamanan AWS
Sayangnya Anda tidak dapat menggunakan ini dalam Kebijakan Kontrol Layanan organisasi untuk menerapkannya ke akun secara global, dan Anda harus melampirkan kebijakan tersebut ke setiap prinsipal tunggal dan mengauditnya, jika Anda ingin mengunci akun di wilayah tertentu.
sumber
Jawaban yang diterima pada utas ini berikan
Syntax Error on Policy
. Di bawah ini bekerja untuk saya:}
sumber
Jika Anda hanya meminta tindakan EC2, maka ya, Anda dapat membatasinya sebagaimana disebutkan dalam respons lain. Jika ini layanan lain, saya tidak yakin Anda bisa melakukannya ... mis. AWS Lambda tampaknya tidak memiliki
lambda:region
Anda dapat menambah kondisi.sumber
Dari FAQ untuk AWS IAM :
sumber
Saya menemukan ini berfungsi lebih baik (memungkinkan peluncuran / penghentian / penghentian / dll.) Untuk memberikan akses penuh EC2 bagi pengguna untuk hanya satu wilayah - setiap wilayah lain menunjukkan kesalahan selama setiap upaya akses.
sumber
Yang ini berfungsi untuk saya, saya mencoba membuat kebijakan dengan json yang disebutkan sebagai jawaban yang diterima tetapi tidak berhasil untuk saya.
sumber
Itulah solusi saat ini - menggunakan "eu-west-1":
sumber