本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 要求从特定 IP 地址访问
<a name="require-access-from-specific-ip-addresses"></a>

**调查**  
我们很乐意听取您的意见。请通过[简短的调查](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2)提供 AWS 有关 PRA 的反馈。

仅当呼叫来自范围 `192.0.2.0/24` 或 `203.0.113.0/24` 内的 IP 地址时，此策略才允许 `john_stiles` 用户担任 IAM 角色。此策略可帮助防止个人数据意外披露和不必要的跨境数据传输。例如，如果您的组织中有需要访问个人数据的客户支持人员，则您可能希望该支持人员仅从位于特定子集的办公室访问这些数据 AWS 区域。此外，请核实组织对 PII 的定义，因为某些策略可能要求 `Condition` 或 `Principal` 部分限制对特定用户或 IP 地址的访问。

```
{
  "Version": "2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/john_stiles"
      },
      "Action": "sts:AssumeRole"
    },
    {
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/john_stiles"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "NotIpAddress": {
          "aws:SourceIp": [
            "192.0.2.0/24",
            "203.0.113.0/24"
          ]
        }
      }
    }
  ]
}
```