Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Implementierung identitätsbasierter Richtlinien und anderer Richtlinientypen
Sie verwalten den Zugriff, AWS indem Sie Richtlinien erstellen und diese IAM Identitäten (Benutzern, Benutzergruppen oder Rollen) oder Ressourcen zuordnen. AWS Auf dieser Seite wird beschrieben, wie Richtlinien funktionieren, wenn sie zusammen mit AWS Management Console Private Access verwendet werden.
Unterstützte AWS globale Bedingungskontextschlüssel
AWS Management Console Private Access unterstützt aws:SourceVpce keine aws:VpcSourceIp AWS globalen Bedingungskontextschlüssel. Sie können die aws:SourceVpc IAM Bedingung stattdessen in Ihren Richtlinien verwenden, wenn Sie AWS Management Console
Private Access verwenden.
So funktioniert AWS Management Console Private Access mit aws: SourceVpc
In diesem Abschnitt werden die verschiedenen Netzwerkpfade beschrieben, über die die von Ihnen generierten Anfragen weitergeleitet AWS Management Console werden können AWS-Services. Im Allgemeinen werden AWS Servicekonsolen mit einer Mischung aus direkten Browseranfragen und Anfragen implementiert, an die die AWS Management Console Webserver weiterleiten. AWS-Services Diese Implementierungen können ohne vorherige Ankündigung geändert werden. Wenn Ihre Sicherheitsanforderungen den Zugriff AWS-Services auf VPC Endgeräte beinhalten, empfehlen wir Ihnen, VPC Endpunkte für alle Dienste zu konfigurieren, die Sie verwenden möchtenVPC, entweder direkt oder über Private Access. AWS Management Console Darüber hinaus müssen Sie die aws:SourceVpc IAM Bedingung in Ihren Richtlinien verwenden und nicht bestimmte aws:SourceVpce Werte für die AWS Management Console Private Access-Funktion. Dieser Abschnitt enthält Einzelheiten zur Funktionsweise der verschiedenen Netzwerkpfade.
Nachdem sich ein Benutzer bei angemeldet hat AWS Management Console, stellt er Anfragen AWS-Services über eine Kombination aus direkten Browseranfragen und Anfragen, die von AWS Management Console Webservern an AWS Server weitergeleitet werden. Anfragen zu CloudWatch Grafikdaten werden beispielsweise direkt vom Browser aus gestellt. Einige Anfragen an die AWS Servicekonsole, wie Amazon S3, werden dagegen vom Webserver per Proxy an Amazon S3 weitergeleitet.
Bei direkten Browseranfragen ändert die Verwendung von AWS Management Console Private Access nichts. Nach wie vor erreicht die Anfrage den Dienst über den Netzwerkpfad, für den VPC er konfiguriert hat monitoring.region.amazonaws.com. Wenn der mit einem VPC Endpunkt konfiguriert VPC ist für com.amazonaws.region.monitoring, die Anfrage wird diesen CloudWatch CloudWatch VPC Endpunkt erreichen. Wenn es keinen VPC Endpunkt für gibt CloudWatch, erreicht CloudWatch die Anfrage ihren öffentlichen Endpunkt über ein Internet Gateway auf demVPC. Für Anfragen, die CloudWatch über den CloudWatch VPC Endpunkt eingehen, IAM gelten die Bedingungen aws:SourceVpc und aws:SourceVpce die entsprechenden Werte. Diejenigen, die CloudWatch den öffentlichen Endpunkt erreichen, werden auf die Quell-IP-Adresse der Anfrage aws:SourceIp eingestellt. Weitere Informationen zu diesen IAM Bedingungsschlüsseln finden Sie unter Globale Bedingungsschlüssel im IAMBenutzerhandbuch.
Für Anfragen, die vom AWS Management Console Webserver weitergeleitet werden, wie z. B. die Anfrage, die die Amazon S3 S3-Konsole stellt, um Ihre Buckets aufzulisten, wenn Sie die Amazon S3 S3-Konsole aufrufen, ist der Netzwerkpfad anders. Diese Anfragen werden nicht von Ihrem aus initiiert VPC und verwenden daher nicht den VPC Endpunkt, den Sie möglicherweise auf Ihrem VPC für diesen Service konfiguriert haben. Selbst wenn Sie in diesem Fall einen VPC Endpunkt für Amazon S3 haben, verwendet die Anfrage Ihrer Sitzung an Amazon S3, die Buckets aufzulisten, nicht den Amazon S3 VPC S3-Endpunkt. Wenn Sie AWS Management Console Private Access jedoch mit unterstützten Diensten verwenden, enthalten diese Anfragen (z. B. an Amazon S3) den aws:SourceVpc Bedingungsschlüssel in ihrem Anforderungskontext. Der aws:SourceVpc Bedingungsschlüssel wird auf die VPC ID gesetzt, unter der Ihre AWS Management Console Private Access-Endpunkte für die Anmeldung und die Konsole bereitgestellt werden. Wenn Sie also aws:SourceVpc Einschränkungen in Ihren identitätsbasierten Richtlinien verwenden, müssen Sie die VPC ID des Benutzers hinzufügen, der die AWS Management Console
Private Access-Anmelde- und Konsolenendpunkte hostet. VPC Die aws:SourceVpce Bedingung wird auf den jeweiligen Anmelde- oder Konsolenendpunkt festgelegt. VPC IDs
Anmerkung
Wenn Ihre Benutzer Zugriff auf Servicekonsolen benötigen, die nicht von AWS Management Console
Private Access unterstützt werden, müssen Sie eine Liste Ihrer erwarteten öffentlichen Netzwerkadressen (z. B. Ihren On-Premises-Netzwerkbereich) hinzufügen, indem Sie den aws:SourceIP-Bedingungsschlüssel in den identitätsbasierten Richtlinien der Benutzer verwenden.
Wie sich unterschiedliche Netzwerkpfade widerspiegeln in CloudTrail
Verschiedene Netzwerkpfade, die von Ihnen generierten Anfragen verwendet wurden, AWS Management Console spiegeln sich in Ihrem CloudTrail Eventverlauf wider.
Bei direkten Browseranfragen ändert die Verwendung von AWS Management Console Private Access nichts. CloudTrail Ereignisse enthalten Details zur Verbindung, z. B. die VPC Endpunkt-ID, die für den API Serviceaufruf verwendet wurde.
Bei Anfragen, die vom AWS Management Console Webserver als Proxy weitergeleitet werden, enthalten die CloudTrail Ereignisse keine diesbezüglichen DetailsVPC. Erste Anfragen, AWS-Anmeldung die für die Einrichtung der Browsersitzung erforderlich sind, wie z. B. der AwsConsoleSignIn Ereignistyp, enthalten jedoch die AWS-Anmeldung VPC Endpunkt-ID in den Ereignisdetails.
