<h2 id="%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E5%88%B6%E9%99%90" data-line="0" class="code-line">
<a class="header-anchor-link" href="#%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E5%88%B6%E9%99%90" aria-hidden="true"></a> アクセス制限</h2>

WAFには国単位のアクセス制限機能であるGeoMatchがある

ネットワークACLとセキュリティグループの違い 
<img src="https://storage.googleapis.com/zenn-user-upload/63caf4c8c6c8-20251030.jpeg" alt="" class="md-img" loading="lazy"> 
<img src="https://storage.googleapis.com/zenn-user-upload/3bb72019c5de-20251030.jpeg" alt="" class="md-img" loading="lazy">

S3にはバケットポリシーとして 
組織単位（Organization） 
リージョン単位 
などでアクセス制限できる

AWS Control Tower 
AWS Organizations

Control Tower の強制（Preventive）ガードレールは該当するAPI呼び出し自体を抑止する仕組み。リージョン制限ガードレールを有効化することで、指定外リージョンのリソース作成APIがブロックされる。

<h2 id="iam%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC" data-line="0" class="code-line">
<a class="header-anchor-link" href="#iam%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC" aria-hidden="true"></a> IAMポリシー</h2>

Effect：許可、拒否 
Action：ゲットとかプットとか 
Resource：対象のリソース 
Condition：条件
とりあえずDENYが優先されることを覚えとけ 
あとは、明示的にDENYされるのを見極める

EventBridgeaから呼び出す時は呼び出される側にリソースベースポリシーを設定する。