有时候我们需要限制一下某些权限较高的用户使用权限的方式，来增强安全性。
我给个方案，可使AWS管理员的权限使用起来更安全：
（1）创建用户awsgood，不要AccessKey，管理员权限，设置密码（设置了密码才能web console登录），只用作浏览器操作，然后使用MFA绑定手机，这样可以在任何地点用web console来操作，绑定了手机验证登录，而且还没有AccessKey，比较安全。
（2）创建awsgood-api用户，不设置密码，无web console登录权限，创建AccessKey, 只用作API操作, 然后授权，然后加入如下这个策略来限制AccessKey使用的来源IP

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "NotIpAddress": {
        "aws:SourceIp": ["114.255.34.0/24", "114.247.160.128/25"]
      }
    }
  }]
}

在白名单IP范围内正常操作
在有权限但不在IP白名单内地方执行API操作时会报错
A client error (UnauthorizedOperation) occurred when calling the DescribeVpcs operation: You are not authorized to perform this operation.