Невозможно ограничить регионы AWS в моей учетной записи

Question

Я хотел бы отключить все, кроме одного региона в учетной записи AWS.Я точно следовал инструкциям документации .

Следуя этим инструкциям, я попадаю в этот список регионов.

К сожалению, (несмотря на Гонконг) ни один из регионов в этом списке не представляется редактируемым.Другими словами, я не могу отключить ни один из этих регионов.Моя цель - создать учетную запись, в которой будет использоваться только один регион (us-west-2).

Как мне это сделать?Документация представляется неверной или неполной.

Примечание. Эта учетная запись AWS является частью Организации и не является корневой учетной записью Организации.Это может быть источником расхождений между моей настройкой и документацией.

ps: я только что заметил, что в документации написано «Не все регионы могут быть отключены».Раньше я думал, что это означает, что «вы не можете отключить все регионы», но я думаю, что это означает, что есть регионы, которые нельзя отключить.

Поэтому я думаю, что возникает вопрос, как я могу отключить все регионы, кроме одного, для всехуслуги и действия с использованием политики?Как будет выглядеть эта политика JSON?Я пытался, но не смог придумать правильную политику.

Answer 1

В настоящее время могут быть включены / отключены только новые регионы (запущенные в марте 2019 года или более поздней версии).

Всегда можно было ограничить регионы, задав условие политики, например:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "ec2:*",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ec2:Region": "eu-central-1"
                }
            }
        }
    ]
}

Это прекрасно работает, если ограничивается только одной службой, но это проблема, если мы хотим ограничить многие службы, поскольку указанное нами условие (ec2:Region) действительно только для действий EC2.

С момента последнегоВ этом году появился новый способ управления доступом ко многим службам с использованием aws:RequestedRegion.Вот пример из документации AWS, ограничивающий некоторые действия EC2, RDS и Lambda одним конкретным регионом:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:RunInstances",
                "rds:CreateDBInstance",
                "rds:CreateDBCluster",
                "lambda:CreateFunction",
                "lambda:InvokeFunction"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": "eu-central-1"
                }
            }
        }
    ]
}

Полный пример политики см. В AWS Security Blog .