Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Implementación de políticas basadas en identidad y otros tipos de políticas

AWS Para gestionar el acceso, debe crear políticas y adjuntarlas a las identidades de IAM (usuarios, grupos de usuarios o funciones) o a los recursos. AWS En esta página, se describe cómo funcionan las políticas cuando se utilizan junto con AWS Management Console Private Access.

Claves de contexto de condición AWS global compatibles

AWS Management Console El acceso privado no admite aws:SourceVpce ninguna clave de contexto de condición aws:VpcSourceIp AWS global. En su lugar, puede utilizar la condición de IAM aws:SourceVpc en sus políticas cuando utilice AWS Management Console Private Access.

Cómo funciona AWS Management Console Private Access con AWS: SourceVpc

En esta sección se describen las distintas rutas de red a las que AWS Management Console pueden dirigirse las solicitudes generadas por usted Servicios de AWS. En general, las consolas de AWS servicio se implementan con una combinación de solicitudes directas del navegador y solicitudes enviadas por proxy desde los servidores AWS Management Console web. Servicios de AWS Estas implementaciones están sujetas a cambios sin previo aviso. Si sus requisitos de seguridad incluyen el acceso al Servicios de AWS uso de puntos de enlace de VPC, le recomendamos que configure los puntos de enlace de VPC para todos los servicios que desee utilizar desde la VPC, ya sea directamente o mediante acceso privado. AWS Management Console Además, debe utilizar la condición de aws:SourceVpc IAM en sus políticas en lugar de aws:SourceVpce valores específicos con la función de acceso privado. AWS Management Console En esta sección, se proporcionan detalles sobre cómo funcionan las diferentes rutas de red.

Una vez que un usuario inicia sesión en AWS Management Console, realiza las solicitudes Servicios de AWS mediante una combinación de solicitudes directas del navegador y solicitudes que los servidores AWS Management Console web envían mediante proxy a AWS los servidores. Por ejemplo, las solicitudes de datos CloudWatch gráficos se realizan directamente desde el navegador. Mientras que algunas solicitudes de la consola de AWS servicio, como Amazon S3, se envían mediante proxy desde el servidor web a Amazon S3.

En el caso de las solicitudes directas desde el navegador, el uso del acceso AWS Management Console privado no supone ningún cambio. Como antes, la solicitud llega al servicio a través de cualquier ruta de red para la que la VPC esté configurada para llegar a monitoring.region.amazonaws.com. Si la VPC está configurada con un punto de enlace de VPC paracom.amazonaws.region.monitoring, la solicitud llegará a través de CloudWatch ese punto de enlace de VPC. CloudWatch Si no hay ningún punto final de la VPC CloudWatch, la solicitud llegará a su punto final público, CloudWatch a través de una puerta de enlace de Internet en la VPC. Las solicitudes que lleguen a CloudWatch través del punto final de la CloudWatch VPC tendrán las condiciones de IAM aws:SourceVpc y se aws:SourceVpce establecerán en sus valores respectivos. Las que accedan CloudWatch a través de su punto final público deberán aws:SourceIp configurar la dirección IP de origen de la solicitud. Para obtener más información sobre estas claves de condición de IAM, consulte Claves de condición global en la Guía del usuario de IAM.

En el caso de las solicitudes que el servidor AWS Management Console web envía mediante proxy, como la solicitud que hace la consola Amazon S3 para incluir sus buckets cuando visita la consola Amazon S3, la ruta de red es diferente. Estas solicitudes no se inician desde la VPC y, por lo tanto, no utilizan el punto de conexión de VPC que es posible que haya configurado en la VPC para ese servicio. Incluso si, en este caso, tiene un punto de conexión de VPC para Amazon S3, la solicitud de su sesión a Amazon S3 para enumerar los buckets no utiliza el punto de conexión de VPC de Amazon S3. Sin embargo, cuando utilice el acceso AWS Management Console privado con los servicios compatibles, estas solicitudes (por ejemplo, a Amazon S3) incluirán la clave de aws:SourceVpc condición en el contexto de la solicitud. La clave de aws:SourceVpc condición se establecerá en el ID de VPC en el que se implementan los puntos finales de acceso AWS Management Console privado para el inicio de sesión y la consola. Por lo tanto, si utiliza restricciones aws:SourceVpc en sus políticas basadas en identidad, debe añadir el ID de esta VPC que aloja los puntos de conexión de consola y de inicio de sesión de AWS Management Console Private Access. La condición aws:SourceVpce se establecerá en los respectivos ID de punto de conexión de VPC de la consola o el inicio de sesión.

Cómo se reflejan las diferentes rutas de red en CloudTrail

Las diferentes rutas de red utilizadas por las solicitudes generadas por AWS Management Console usted se reflejan en su historial de CloudTrail eventos.

En el caso de las solicitudes directas desde el navegador, el uso del acceso AWS Management Console privado no cambia nada. CloudTrail los eventos incluirán detalles sobre la conexión, como el ID del punto final de la VPC que se utilizó para realizar la llamada a la API del servicio.

En el caso de las solicitudes enviadas por proxy por el servidor AWS Management Console web, CloudTrail los eventos no incluirán ningún detalle relacionado con la VPC. Sin embargo, las solicitudes iniciales necesarias para AWS Sign-In establecer la sesión del navegador, como el tipo de AwsConsoleSignIn evento, incluirán el ID del punto final de la AWS Sign-In VPC en los detalles del evento.