# AWS: deniega el acceso a AWS en función de la región solicitada.
<a name="reference_policies_examples_aws_deny-requested-region"></a>

En este ejemplo se muestra cómo crear una política basada en identidad que deniegue el acceso a cualquier acción fuera de las regiones especificadas mediante la [clave de condición `aws:RequestedRegion`](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion), a excepción de las acciones en los servicios especificados al utilizar `NotAction`. Esta política define los permisos para el acceso programático y a la consola. Para utilizar esta política, sustituya el {{texto en cursiva}} de la política de ejemplo por su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

Esta política utiliza el elemento `NotAction` con el efecto `Deny`, que deniega explícitamente el acceso a todas las acciones que *no* figuran en la instrucción. Las acciones de los servicios CloudFront, IAM, Route 53 y Soporte no deben ser denegados porque son servicios globales populares de AWS con un único punto de enlace que se encuentra físicamente en la región `us-east-1`. Dado que todas las solicitudes a estos servicios se realizan a la región `us-east-1`, las solicitudes se denegaría sin el elemento `NotAction`. Edite este elemento para incluir acciones para otros servicios globales de AWS que utilice, como, por ejemplo, `budgets`, `globalaccelerator`, `importexport`, `organizations`, o `waf`. Algunos otros servicios globales, como Amazon Q Developer en aplicaciones de chat y AWS Device Farm, son servicios globales con puntos de conexión ubicados físicamente en la región `us-west-2`. Para obtener más información acerca de todos los servicios que tienen un único punto de enlace global, consulte [Regiones y puntos de enlace de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) en la *Referencia general de AWS*. Para obtener más información acerca de cómo utilizar el elemento `NotAction` con el efecto `Deny`, consulte [Elementos de política JSON de IAM: NotAction](reference_policies_elements_notaction.md). 

**importante**  
Esta política no permite ninguna acción. Utilice esta política en combinación con otras políticas que permiten acciones específicas. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DenyAllOutsideRequestedRegions",
            "Effect": "Deny",
            "NotAction": [
                "{{cloudfront:*",
                "iam:*",
                "organizations:*",
                "route53:*",
                "support:*}}"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "{{eu-central-1",
                        "eu-west-1",
                        "eu-west-2",
                        "eu-west-3}}"
                    ]
                }
            }
        }
    ]
}
```

------