Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Implementierung identitätsbasierter Richtlinien und anderer Richtlinientypen
Sie verwalten den Zugriff, AWS indem Sie Richtlinien erstellen und diese an IAM-Identitäten (Benutzer, Benutzergruppen oder Rollen) oder Ressourcen anhängen. AWS Auf dieser Seite wird beschrieben, wie Richtlinien funktionieren, wenn sie zusammen mit AWS Management Console Private Access verwendet werden.
Unterstützte Kontextschlüssel für AWS globale Bedingungen
AWS Management Console Private Access unterstützt aws:SourceVpce keine aws:VpcSourceIp AWS globalen Bedingungskontextschlüssel. Sie können stattdessen die aws:SourceVpc-IAM-Bedingung in Ihren Richtlinien verwenden, wenn Sie AWS Management Console
Private Access verwenden.
So funktioniert AWS Management Console Private Access mit aws: SourceVpc
In diesem Abschnitt werden die verschiedenen Netzwerkpfade beschrieben, über die die von Ihnen generierten Anfragen weitergeleitet AWS Management Console werden können AWS-Services. Im Allgemeinen werden AWS Servicekonsolen mit einer Mischung aus direkten Browseranfragen und Anfragen implementiert, an die die AWS Management Console Webserver weiterleiten. AWS-Services Diese Implementierungen können ohne vorherige Ankündigung geändert werden. Wenn Ihre Sicherheitsanforderungen den Zugriff AWS-Services auf VPC-Endpunkte beinhalten, empfehlen wir Ihnen, VPC-Endpunkte für alle Dienste zu konfigurieren, die Sie von VPC aus verwenden möchten, sei es direkt oder über Private Access. AWS Management Console Darüber hinaus müssen Sie in Ihren Richtlinien die aws:SourceVpc IAM-Bedingung verwenden und nicht bestimmte aws:SourceVpce Werte für die Private Access-Funktion. AWS Management Console Dieser Abschnitt enthält Einzelheiten zur Funktionsweise der verschiedenen Netzwerkpfade.
Nachdem sich ein Benutzer bei angemeldet hat AWS Management Console, stellt er Anfragen AWS-Services über eine Kombination aus direkten Browseranfragen und Anfragen, die von AWS Management Console Webservern an Server weitergeleitet werden. AWS Anfragen zu CloudWatch Grafikdaten werden beispielsweise direkt vom Browser aus gestellt. Einige Anfragen an die AWS Servicekonsole, wie Amazon S3, werden dagegen vom Webserver per Proxy an Amazon S3 weitergeleitet.
Bei direkten Browseranfragen ändert die Verwendung von AWS Management Console Private Access nichts. Wie zuvor erreicht die Anfrage den Services über den Netzwerkpfad, den die VPC für monitoring.region.amazonaws.com konfiguriert hat. Wenn die VPC mit einem VPC-Endpunkt für konfiguriert istcom.amazonaws.region.monitoring, wird die Anfrage CloudWatch über diesen CloudWatch VPC-Endpunkt erreicht. Wenn es keinen VPC-Endpunkt für gibt CloudWatch, erreicht CloudWatch die Anfrage ihren öffentlichen Endpunkt über ein Internet Gateway auf der VPC. Anfragen, die über den CloudWatch VPC-Endpunkt CloudWatch eingehen, haben die IAM-Bedingungen aws:SourceVpc und werden auf ihre jeweiligen Werte aws:SourceVpce gesetzt. Diejenigen, die CloudWatch den öffentlichen Endpunkt erreichen, werden auf die Quell-IP-Adresse der Anfrage aws:SourceIp eingestellt. Weitere Informationen über diese IAM-Bedingungsschlüssel finden Sie unter Globale Bedingungsschlüssel im IAM-Benutzerhandbuch.
Für Anfragen, die vom AWS Management Console Webserver weitergeleitet werden, wie z. B. die Anfrage, die die Amazon S3 S3-Konsole stellt, um Ihre Buckets aufzulisten, wenn Sie die Amazon S3 S3-Konsole aufrufen, ist der Netzwerkpfad anders. Diese Anfragen werden nicht von Ihrer VPC initiiert und verwenden daher nicht den VPC-Endpunkt, den Sie möglicherweise auf Ihrer VPC für diesen Service konfiguriert haben. Selbst wenn Sie in diesem Fall einen VPC-Endpunkt für Amazon S3 haben, verwendet die Anforderung Ihrer Sitzung an Amazon S3, die Buckets aufzulisten, nicht den Amazon S3-VPC-Endpunkt. Wenn Sie AWS Management Console Private Access jedoch mit unterstützten Diensten verwenden, enthalten diese Anfragen (z. B. an Amazon S3) den aws:SourceVpc Bedingungsschlüssel in ihrem Anforderungskontext. Der aws:SourceVpc Bedingungsschlüssel wird auf die VPC-ID gesetzt, auf der Ihre AWS Management Console Private Access-Endpunkte für die Anmeldung und die Konsole bereitgestellt werden. Wenn Sie also aws:SourceVpc-Einschränkungen in Ihren identitätsbasierten Richtlinien verwenden, müssen Sie die VPC-ID dieser VPC hinzufügen, die die AWS Management Console
Private Access-SignIn- und Konsolenendpunkte hostet. Die aws:SourceVpce-Bedingung wird auf die jeweiligen SignIn- oder Konsolen-VPC-Endpunkt-IDs gesetzt.
Anmerkung
Wenn Ihre Benutzer Zugriff auf Servicekonsolen benötigen, die nicht von AWS Management Console
Private Access unterstützt werden, müssen Sie eine Liste Ihrer erwarteten öffentlichen Netzwerkadressen (z. B. Ihren On-Premises-Netzwerkbereich) hinzufügen, indem Sie den aws:SourceIP-Bedingungsschlüssel in den identitätsbasierten Richtlinien der Benutzer verwenden.
Wie sich unterschiedliche Netzwerkpfade widerspiegeln in CloudTrail
Verschiedene Netzwerkpfade, die von Ihnen generierten Anfragen verwendet wurden, AWS Management Console spiegeln sich in Ihrem CloudTrail Eventverlauf wider.
Bei direkten Browseranfragen ändert die Verwendung von AWS Management Console Private Access nichts. CloudTrail Ereignisse enthalten Details zur Verbindung, z. B. die VPC-Endpunkt-ID, die für den API-Aufruf des Dienstes verwendet wurde.
Bei Anfragen, die vom AWS Management Console Webserver als Proxy weitergeleitet werden, enthalten die CloudTrail Ereignisse keine VPC-bezogenen Details. Erste Anfragen, AWS-Anmeldung die für die Einrichtung der Browsersitzung erforderlich sind, wie z. B. der AwsConsoleSignIn Ereignistyp, enthalten jedoch die AWS-Anmeldung VPC-Endpunkt-ID in den Ereignisdetails.
