Permita AWS Management Console su uso únicamente para las cuentas y organizaciones esperadas (identidades de confianza) - AWS Management Console

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permita AWS Management Console su uso únicamente para las cuentas y organizaciones esperadas (identidades de confianza)

AWS Management Console y AWS Sign-In respaldan una política de VPC puntos finales que controle específicamente la identidad de la cuenta en la que se ha iniciado sesión.

A diferencia de otras políticas VPC de puntos finales, la política se evalúa antes de la autenticación. Como resultado, solo controla específicamente el inicio de sesión y el uso de la sesión autenticada, y no las acciones AWS específicas del servicio que lleve a cabo la sesión. Por ejemplo, cuando la sesión acceda a una consola de AWS servicio, como la consola de AmazonEC2, estas políticas de VPC puntos finales no se evaluarán en función de EC2 las acciones de Amazon que se tomen para mostrar esa página. En su lugar, puedes usar las IAM políticas asociadas al IAM director que ha iniciado sesión para controlar su permiso para realizar acciones. AWS

nota

VPCLas políticas de SignIn VPC puntos finales AWS Management Console y puntos finales solo admiten un subconjunto limitado de formulaciones de políticas. Cada Principal y Resource se debe establecer a * y la Action debe ser *signin:*. Usted controla el acceso a los VPC puntos finales mediante claves de condición aws:PrincipalOrgId y aws:PrincipalAccount condiciones.

Se recomiendan las siguientes políticas tanto para la consola como para los puntos SignIn VPC finales.

Esta política VPC de puntos finales permite iniciar sesión Cuentas de AWS en la AWS organización especificada y bloquea el inicio de sesión en cualquier otra cuenta.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgId": "o-xxxxxxxxxxx" } } } ] }

Esta política de VPC punto final limita el inicio de sesión a una lista de cuentas específicas Cuentas de AWS y bloquea el inicio de sesión en cualquier otra cuenta.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalAccount": [ "111122223333", "222233334444" ] } } } ] }

Las políticas que limitan Cuentas de AWS el uso de una organización en los VPC puntos finales AWS Management Console y de inicio de sesión se evalúan en el momento del inicio de sesión y se vuelven a evaluar periódicamente para las sesiones existentes.