Amazon web services AWS策略限制在一个区域中创建所有资源，并在其他区域中创建只读资源_Amazon Web Services_Amazon Iam

Amazon web services AWS策略限制在一个区域中创建所有资源，并在其他区域中创建只读资源

amazon-web-services

Amazon web services AWS策略限制在一个区域中创建所有资源，并在其他区域中创建只读资源,amazon-web-services,amazon-iam,Amazon Web Services,Amazon Iam,我试图在AWS中创建一个策略，将用户限制在一个区域内创建资源，而在其他区域，用户应该具有只读访问权限。我可以使用下面的拒绝策略将它们限制在一个区域。但现在，复杂的情况已经出现，用户可以以只读方式访问所有位置我是AWS政策的新手，正在为此而挣扎我当前用于将它们限制在一个位置的策略是 { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Ac

我试图在AWS中创建一个策略，将用户限制在一个区域内创建资源，而在其他区域，用户应该具有只读访问权限。我可以使用下面的拒绝策略将它们限制在一个区域。但现在，复杂的情况已经出现，用户可以以只读方式访问所有位置

我是AWS政策的新手，正在为此而挣扎

我当前用于将它们限制在一个位置的策略是

{
    "Version": "2012-10-17",  
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-east-2"
                    ]
                }
            }
        }
    ]
}

有人能解释一下吗。

使用您的拒绝策略将无法做到这一点。原因是AWS访问管理首先查找任何拒绝策略

实现这一点的最简单方法如下：

通过附加AWS策略ReadOnlyAccess，为用户或角色提供全局只读访问权限

然后修改策略以授予对所需区域的完全访问权限

需要注意的几件事

该策略基本上授予管理员级别的权限。如果希望提供较少的访问，请使用AWS管理策略之一作为参考，并在所有语句上使用区域条件

就某些全球行动而言，该地区是美国东部地区。请在中的aws:RequestedRegion部分中阅读，您可能需要在策略中添加一些额外的操作，以确保一切正常工作

您是否意识到这种情况的影响？太棒了，沃尔德。这正是我想要的。谢谢

{
    "Version": "2012-10-17",  
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": [
                        "eu-east-2"
                    ]
                }
            }
        }
    ]
}