本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon EC2：限制終止 EC2 執行個體到 IP 地址範圍
<a name="reference_policies_examples_ec2_terminate-ip"></a>

此範例會示範如何建立身分型政策，透過允許動作限制 EC2 執行個體，但當請求來自指定 IP 範圍之外時明確拒絕存取。當您公司的 IP 地址在指定範圍內時，該政策很有用。此政策授予從 AWS API 或 以程式設計方式完成此動作所需的許可 AWS CLI。若要使用此政策，請將範例政策中的{{斜體預留位置文字}}取代為您自己的資訊。然後，遵循[建立政策](access_policies_create.md)或[編輯政策](access_policies_manage-edit.md)中的指示進行操作。

如果此政策與允許 `ec2:TerminateInstances`動作的其他政策 （例如 [AmazonEC2FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess) AWS 受管政策） 搭配使用，則會拒絕存取。這是因為明確拒絕陳述式的優先順序會在允許陳述式。如需詳細資訊，請參閱[AWS 強制執行程式碼邏輯如何評估允許或拒絕存取的請求](reference_policies_evaluation-logic_policy-eval-denyallow.md)。

**重要**  
`aws:SourceIp` 條件金鑰拒絕存取代表您進行呼叫 AWS CloudFormation的 AWS 服務，例如 。如需有關使用 `aws:SourceIp` 條件索引鍵的詳細資訊，請參閱 [AWS 全域條件內容索引鍵](reference_policies_condition-keys.md)。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["ec2:TerminateInstances"],
            "Resource": ["*"]
        },
        {
            "Effect": "Deny",
            "Action": ["ec2:TerminateInstances"],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "{{192.0.2.0/24}}",
                        "{{203.0.113.0/24}}"
                    ]
                }
            },
            "Resource": ["*"]
        }
    ]
}
```

------