AWS ব্যবহারকারী / অ্যাকাউন্ট কোনও নির্দিষ্ট অঞ্চলে সীমাবদ্ধ রাখা কি সম্ভব?

24

আমরা ইউরোপীয়-পশ্চিম -১ অঞ্চলে বেশ কয়েকটি এডাব্লুএস পরিষেবা পরিচালনা করি। দুর্ভাগ্যক্রমে এটি মনে হয় যে আমাদের অনেক বিকাশকারী এবং অন্যান্য কর্মচারী যাদের অস্থায়ী সংস্থান তৈরি করতে হবে তারা ডাব্লুএস এর এই দিকটি ভুলে যায় এবং ইসি 2 উদাহরণ চালু করার আগে এই অঞ্চলটি নির্বাচন করে না, এস 3 বালতি তৈরি করে ইত্যাদি ফলস্বরূপ তারা প্রায়শই শেষ হয় মার্কিন-পূর্ব -1 অঞ্চলটি যেহেতু এডাব্লুএস সর্বদা ব্যবহার করে তা ডিফল্ট হিসাবে উপস্থিত হয়।

আইএএম (বা অন্য কোনও উপায়ে) মাধ্যমে কোনও নির্দিষ্ট অঞ্চলের মধ্যে কেবলমাত্র লঞ্চ / জিনিস তৈরি করতে ব্যবহারকারীর অ্যাকাউন্টগুলিকে সীমাবদ্ধ করার কোনও উপায় আছে?

amazon-web-services amazon-iam

— ব্রুস পি
সূত্র

25

দুর্ভাগ্যক্রমে আপনি বিশ্বব্যাপী এটি করতে পারবেন না। যাইহোক, প্রতিটি AWS পণ্য যা এটি সমর্থন করে তাদের জন্য, আপনি সাধারণত নির্দিষ্ট অঞ্চলে অ্যাক্সেস সীমাবদ্ধ করতে পারেন ।

উদাহরণস্বরূপ, ইসি 2 এর জন্য আপনি নিম্নলিখিতগুলি করতে পারেন:

{
  "Statement":[{
    "Effect":"allow",
    "Action":"RunInstances",
    "Resource":"*",
    "Condition":{
      "StringEquals":{
        "ec2:Region":"us-west-1"
        }
      }
    }
  ]
}

অবশ্যই, আপনার denyউপযুক্ত যেখানে উপযুক্ত সেখানে একটি বিধি জারি করা দরকার ।

উপরের জন্য ডকুমেন্টেশন এখানে ।

— EEAA
সূত্র

পারফেক্ট। এটি দেখতে আমার ঠিক যেমন দেখাচ্ছে like ধন্যবাদ!

— ব্রুস পি

5

এর পরিবর্তে "Condition": { "condition": {} }এটি উল্লেখ করা উচিত"Condition": { "StringEquals": {} }

— জেসি - আর্নল্ড ড্যানিয়েল

এস 3 এর মতো অন্যান্য পরিষেবাদি সম্পর্কে কী?

— ইয়ভেস এম

7

এরকম কিছু ব্যবহার করুন। এই উদাহরণটি দুটি এডাব্লুএস অঞ্চলে অ্যাক্সেসকে সীমাবদ্ধ করে। প্রয়োজন অনুসারে সংশোধন করুন।

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "StringNotEquals": {
        "aws:RequestedRegion": [
          "eu-central-1",
          "eu-west-1"
        ]
      }
    }
  }]
}

— sandstrom
সূত্র

3

নতুনটির সাথে aws:RequestedRegion, এটি উত্তর এখন সবচেয়ে প্রাসঙ্গিক

— মজিকমান

1

আপনাকে ধন্যবাদ, এই নীতিটি দিয়ে আপনি ডিফল্ট এডাব্লুএস উপলব্ধ নীতিগুলি ব্যবহার করতে পারেন এবং কেবলমাত্র এটিকে একটি ইনলাইন সংযুক্ত করতে পারেন এবং আপনি কার্যকরভাবে কোনও পরিষেবা সীমাবদ্ধ করতে পারেন।

— lkraider

7

25 শে এপ্রিল 2018 সাল থেকে, এডাব্লুএসের একটি বিশ্বব্যাপী সংস্থান রয়েছে: অনুরোধযুক্ত অঞ্চলটি আপনি যে অঞ্চলগুলিতে অনুরোধগুলি প্রেরণ করতে পারবেন সেগুলি সীমাবদ্ধ করতে আপনি ব্যবহার করতে পারেন। এটি পরিষেবাটি আঞ্চলিক হওয়া বা না হওয়া থেকে স্বতন্ত্র, সুতরাং আপনি এটিকে সমস্ত পরিষেবায় প্রয়োগ করতে পারেন।

এডাব্লুএস সুরক্ষা ব্লগ

দুর্ভাগ্যক্রমে আপনি এটিকে বিশ্বব্যাপী কোনও অ্যাকাউন্টে প্রয়োগ করার জন্য কোনও সংস্থার পরিষেবা নিয়ন্ত্রণ নীতিতে এটি ব্যবহার করতে পারবেন না, এবং আপনাকে অবশ্যই কোনও একক অধ্যক্ষের সাথে নীতিটি সংযুক্ত করতে হবে এবং নিরীক্ষণ করতে হবে যে আপনি যদি কিছু অঞ্চলগুলিতে কোনও অ্যাকাউন্ট লক করতে চান তবে এটি is

— jaferrando
সূত্র

4

দেওয়া এই থ্রেডে গৃহীত উত্তর Syntax Error on Policy। নীচে আমার জন্য কাজ করেছেন:

{
"Statement": [
    {
        "Sid": "Stmt1375943389569",
        "Action": "ec2:*",
        "Effect": "Allow",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "ec2:Region": "eu-central-1"
            }
        }
    }
]

}

— পশুর পদচিহ্ন
সূত্র

3

আপনি যদি কেবল ইসি 2 পদক্ষেপের জন্য জিজ্ঞাসা করেন, তবে হ্যাঁ, আপনি অন্যান্য প্রতিক্রিয়াগুলিতে উল্লিখিত হিসাবে এটি সীমাবদ্ধ করতে পারেন। যদি এটি অন্যান্য পরিষেবাগুলি হয় তবে আমি নিশ্চিত যে আপনি এটি করতে পারবেন না ... উদাহরণস্বরূপ এডাব্লুএস ল্যাম্বডায় মনে হয় না lambda:regionআপনি কোনও শর্তে যোগ করতে পারেন।

— nanodgb
সূত্র

0

এডাব্লুএস আইএএম এর জন্য প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী থেকে :

প্রশ্ন: ব্যবহারকারীদের আঞ্চলিকভাবে সংজ্ঞায়িত করা যায়? প্রথমদিকে নয়। ব্যবহারকারীরা বিশ্বব্যাপী সত্তা, যেমন একটি এডাব্লুএস অ্যাকাউন্ট আজ। ব্যবহারকারীর অনুমতি নির্ধারণের সময় কোনও অঞ্চল নির্দিষ্ট করার প্রয়োজন হয় না। ব্যবহারকারীরা যে কোনও ভৌগলিক অঞ্চলে AWS পরিষেবাদি ব্যবহার করতে পারবেন।

— mtak
সূত্র

3

কি দারুন. অ্যামাজনের কাছ থেকে এটি কী খারাপ উত্তর। "প্রথমদিকে নয়।" এটি কি বোঝায় যে অ্যাকাউন্ট তৈরির পরে এটি করা যেতে পারে? তার মানে কি এডাব্লুএস প্রথম যখন চালু হয়েছিল কিন্তু এটি এখন তা করতে পারে? "ব্যবহারকারীর অনুমতি নির্ধারণের সময় কোনও অঞ্চল নির্দিষ্ট করার প্রয়োজন হয় না।" এটি প্রয়োজন ছিল কিনা আমি জিজ্ঞাসা করিনি। আমি জিজ্ঞাসা করেছি যে এটি করা সম্ভব কিনা? "ব্যবহারকারীরা যে কোনও ভৌগলিক অঞ্চলে এডাব্লুএস পরিষেবা ব্যবহার করতে সক্ষম হন" " সম্ভবত EEAA উপরে পোস্ট করা উপর ভিত্তি করে আর কোন। আইএএম-এর "শর্ত" বিবৃতি আপনাকে অঞ্চল দ্বারা কিছু পরিষেবা সীমাবদ্ধ করতে দেয়। ধন্যবাদ ঠিক একই।

— ব্রুস পি

1

@ ব্রুসপ - এটি কোনও খারাপ উত্তর নয়। এটা পুরোপুরি ঠিক আছে। ব্যবহারকারীরা বিশ্বব্যাপী। ব্যবহারকারীর সুবিধাগুলি সীমাবদ্ধ করা যেতে পারে।

— EEAA

0

আমি এটি আরও ভাল কাজ করতে পেরেছি (কেবলমাত্র একটি অঞ্চলে ব্যবহারকারীর জন্য সম্পূর্ণ ইসি 2 অ্যাক্সেস দেওয়ার জন্য (প্রবর্তন / থামানো / সমাপ্তি / ইত্যাদি allows

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:Region": "us-east-1"
                }
            }
        }
    ]
}

— আল জোসলিন
সূত্র

0

এইটি আমার পক্ষে কাজ করে, আমি স্বীকৃত উত্তর হিসাবে উল্লিখিত জসনকে দিয়ে নীতি তৈরি করার চেষ্টা করেছি তবে এটি আমার পক্ষে কার্যকর হয় না।

{
    "Version": "2012-10-17",
    "Statement": [{
        "Action": "ec2:*",
        "Effect": "Allow",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "ec2:Region": [
                    "us-east-1"
                ]
            }
        }
    }]
}

— প্রণব কুমার
সূত্র

0

এটিই বর্তমান সমাধান - "ইইউ-ওয়েস্ট -1" ব্যবহার করে:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect"    : "Allow",
            "Action"    : "*",
            "Resource"  : "*",
            "Condition": 
            {
                "StringEquals": {
                    "aws:RequestedRegion": "eu-west-1"
                }
            }
        }
    ]
}

— Xtigyro
সূত্র