Amazon web services 如何访问我的AWS帐户'；s控制台和API是否仅限于来自我的VPN的连接？_Amazon Web Services_Aws Cli_Amazon Vpc

Amazon web services 如何访问我的AWS帐户'；s控制台和API是否仅限于来自我的VPN的连接？

amazon-web-services

Amazon web services 如何访问我的AWS帐户'；s控制台和API是否仅限于来自我的VPN的连接？,amazon-web-services,aws-cli,amazon-vpc,Amazon Web Services,Aws Cli,Amazon Vpc,我想将AWS帐户的访问权限限制为VPN。我看到了使用sourceIP作为IP白名单的选项，以及我的代理和AWS IP 有没有办法将对AWS API的调用也限制为VPN？我不是在寻找VPC端点阻塞。您可以为您的用户设置iam策略，以添加仅在源IP与您的代理匹配时才允许的 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "*", "Resource":

我想将AWS帐户的访问权限限制为VPN。我看到了使用sourceIP作为IP白名单的选项，以及我的代理和AWS IP

有没有办法将对AWS API的调用也限制为VPN？我不是在寻找VPC端点阻塞。

您可以为您的用户设置iam策略，以添加仅在

源IP

与您的代理匹配时才允许的

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*,
      "Condition": {
        "IpAddress" : {
          "aws:SourceIp" : ["192.0.2.0/24"]
        }
      }
    }
  ]
}

将

aws:SourceIp

设置为您的VPN连接到的IP

将IP限制到我的代理（非VPN）不会将我的通信隧道到aws API。是的，SourceIp是我的备用选项。@user6317694控制台总是通过Internet访问。。。您会发现，即使是这个答案也不能适用于所有情况，因为有时交互是console>service 1>service 2，例如当EC2在启动带有加密卷的实例时调用KMS。服务1将不使用您的源地址，请求将因源ip阻塞而失败。我可以想到的一个选项是使用弹性ip创建EC2实例，通过VPN连接到此VM，并仅允许从此弹性ip访问服务。但从EC2到AWSAPI的服务调用不是又通过互联网了吗？我可以放弃常规任务的控制台访问权。再想一想，这将需要在多个AZ中作为堡垒主机的非扩展构建服务器。这听起来已经很可笑了。