IAMポリシーのリージョン制限をさっそく試してみた

個人的朗報です。

それは使用できるリージョンを制限したい!!!!が簡単に実現可能になりました。

今回のアップデートはIAMポリシーのCondition句に制限したいリージョンを記載して
APIを制御することができます。
※そもそもリージョンを画面から切り替えることすらできなくするものではありません。

https://aws.amazon.com/jp/blogs/security/easier-way-to-control-access-to-aws-regions-using-iam-policies/

お試し

Adminのポリシーに制限をいれた形になります。
jsonの意味は「すべてのアクションを許可する(リクエストのリージョンは東京リージョンのみ)」
です

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": "ap-northeast-1"
                }
            }
        }
    ]
}

マネジメントコンソールをバージニアに切り替えてEC2のダッシュボードを見ると
権限が無いことが表示されています。

東京リージョンに切り替えるとしっかり見えてますね！

まとめ

簡単にリージョンの制限ができるので、要件次第でしっかり活用したいですね。
CloudTrailの分析からすこしおさらばできるかもしれません。

おまけ

グローバルなサービスを使用する際は注意しましょう。。。。