本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Billing Conductor 基于资源的策略示例
基于资源的策略示例

**Topics**
+ [

## 限制 Amazon S3 存储桶对特定 IP 地址的访问权限
](#security_iam_resource-based-policy-examples-restrict-bucket-by-ip)

## 限制 Amazon S3 存储桶对特定 IP 地址的访问权限


以下示例向任何用户授予对指定存储桶中的对象执行任何 Amazon S3 操作的权限。但是，请求必须来自条件中指定的 IP 地址范围。

此语句中的条件标识了允许的互联网协议版本 4 (IPv4) IP 地址的 54.240.143.\$1 范围，但有一个例外：54.240.143.188。

该`Condition`模块使用`IpAddress`和`NotIpAddress`条件和`aws:SourceIp`条件键，后者是一个 AWS 宽条件键。有关这些条件键的更多信息，请参阅[在策略中指定条件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html)。这些`aws:sourceIp` IPv4 值使用标准的 CIDR 表示法。有关更多信息，请参阅 *《IAM 用户指南》*中的 [IP 地址条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress)。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Id": "S3PolicyId1",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
         "NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"} 
      } 
    } 
  ]
}
```

------