第 1 章 为基于 IP 的 AWS 角色假设添加额外的限制

流程

1. 使用您的 AWS 帐户凭证登录到 AWS 管理控制台。
2. 进入 IAM 服务。
3. 在 IAM 控制台中，从左侧导航菜单中选择 Policies。
4. 点击 Create policy。
5. 选择 JSON 选项卡，以使用 JSON 格式定义策略。

6. 要获取您需要进入 JSON 策略文档的 IP 地址，请运行以下命令：

   $ ocm get /api/clusters_mgmt/v1/trusted_ip_addresses

   Copy to Clipboard Toggle word wrap
   注意

   这些 IP 地址不是永久性的，可能随时更改。您必须持续检查 API 输出，并在 JSON 策略文档中进行必要的更新。

7. 将以下 policy_document.json 文件复制并粘贴到编辑器中：

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Deny",
               "Action": "*",
               "Resource": "*",
               "Condition": {
                   "NotIpAddress": {
                       "aws:SourceIp": []
                   },
                   "Bool": {
                       "aws:ViaAWSService": "false"
                   }
               }
           }
       ]
   }

   Copy to Clipboard Toggle word wrap
8. 将在第 6 步中获得的所有 IP 地址复制并粘贴到 policy_document.json 文件中的 "aws:SourceIp": [] 数组中。
9. 点 Review and create。
10. 提供策略的名称和描述，并查看准确性的详细信息。
11. 点 Create policy 保存策略。