# AWS: リクエストされたリージョンに基づいて、AWS へのアクセスを拒否する この例は、`NotAction` を使用して指定したサービスのアクションを除く、[`aws:RequestedRegion` 条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion)を使用して指定したリージョン外のアクションへのアクセスを拒否する ID ベースポリシーを作成する方法を示しています。このポリシーは、プログラムおよびコンソールアクセスのアクセス許可を定義します。このポリシーを使用するには、サンプルポリシーの{{イタリック体のプレースホルダーテキスト}}を独自の情報に置き換えます。次に、[ポリシーの作成](access_policies_create.md)または[ポリシーの編集](access_policies_manage-edit.md)の手順に従います。 このポリシーは、ステートメントにリスト*されていない*すべてのアクションへのアクセスを拒否する `NotAction` 効果がある `Deny` 要素を使用します。CloudFront、IAM、Route 53、および サポート サービスでのアクションは、物理的に AWS リージョンにある単一のエンドポイントを持つ一般的な `us-east-1` グローバルサービスであるため、拒否しないでください。これらのサービスに対するすべてのリクエストは `us-east-1` リージョンに対して行われるため、リクエストは `NotAction` 要素なしでは拒否されます。この要素を編集して、使用する他の AWS グローバルサービス (`budgets`、`globalaccelerator`、`importexport`、`organizations`、または `waf` など) のアクションを含めます。チャットアプリケーションの Amazon Q Developer や AWS Device Farm など、その他のグローバルサービスは、エンドポイントが `us-west-2` リージョンに物理的に配置されているグローバルサービスです。単一のグローバルエンドポイントを持つすべてのサービスについては、「AWS 全般のリファレンス」の「[AWS リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html)」を参照してください。`NotAction` 効果を持つ `Deny` 要素の使用の詳細については、「[IAM JSON ポリシー要素NotAction](reference_policies_elements_notaction.md)」を参照してください。 **重要** このポリシーでは、アクションを許可しません。特定のアクションを許可する他のポリシーと組み合わせてこのポリシーを使用します。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideRequestedRegions", "Effect": "Deny", "NotAction": [ "{{cloudfront:*", "iam:*", "organizations:*", "route53:*", "support:*}}" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": [ "{{eu-central-1", "eu-west-1", "eu-west-2", "eu-west-3}}" ] } } } ] } ``` ------