Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Implementación de políticas de control de servicio y políticas de punto de conexión de VPC
Puede usar políticas de control de servicios (SCP) y políticas de punto final de VPC AWS Management Console para el acceso privado a fin de limitar el conjunto de cuentas que pueden usar AWS Management Console la VPC y sus redes locales conectadas.
Uso del acceso AWS Management Console privado con políticas de control de servicios AWS Organizations
Si su AWS organización utiliza una política de control de servicios (SCP) que permite servicios específicos, debe signin:* añadir más acciones permitidas. Este permiso es necesario porque al iniciar sesión a AWS Management Console través de un punto final de VPC de acceso privado se produce una autorización de IAM que el SCP bloquea sin el permiso. A modo de ejemplo, la siguiente política de control de servicios permite utilizar Amazon EC2 y sus CloudWatch servicios en la organización, incluso cuando se accede a ellos mediante un punto final de acceso AWS Management Console privado.
{ "Effect": "Allow", "Action": [ "signin:*", "ec2:*", "cloudwatch:*", ... Other services allowed }, "Resource": "*" }
Para obtener más información acerca de las SCP, consulte Políticas de control de servicios (SCP) en la Guía del usuario de AWS Organizations .
Permita AWS Management Console su uso únicamente para las cuentas y organizaciones esperadas (identidades de confianza)
AWS Management Console y AWS Sign-In admiten una política de puntos finales de VPC que controle específicamente la identidad de la cuenta en la que se ha iniciado sesión.
A diferencia de otras políticas de punto de conexión de VPC, la política se evalúa antes de la autenticación. Como resultado, controla específicamente el inicio de sesión y el uso únicamente de la sesión autenticada, y no las acciones específicas del AWS servicio que lleve a cabo la sesión. Por ejemplo, cuando la sesión accede a una consola de AWS servicio, como la consola de Amazon EC2, estas políticas de punto final de VPC no se evaluarán en función de las acciones de Amazon EC2 que se tomen para mostrar esa página. En su lugar, puede utilizar las políticas de IAM asociadas al director de IAM que ha iniciado sesión para controlar sus permisos para realizar acciones. AWS
nota
Las políticas de puntos finales de VPC y los puntos finales de AWS Management Console SignIn VPC solo admiten un subconjunto limitado de formulaciones de políticas. Cada Principal y Resource se debe establecer a * y la Action debe ser * o signin:*. El acceso a los puntos de conexión de VPC se controla mediante las claves de condición aws:PrincipalOrgId y aws:PrincipalAccount.
Se recomiendan las siguientes políticas para los puntos finales de la consola y de la SignIn VPC.
Esta política de punto final de VPC permite iniciar sesión Cuentas de AWS en la AWS organización especificada y bloquea el inicio de sesión en cualquier otra cuenta.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgId": "o-xxxxxxxxxxx" } } } ] }
Esta política de puntos finales de VPC limita el inicio de sesión a una lista de cuentas específicas Cuentas de AWS y bloquea el inicio de sesión en cualquier otra cuenta.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalAccount": [ "111122223333", "222233334444" ] } } } ] }
Las políticas que limitan Cuentas de AWS una organización en los puntos finales de la VPC AWS Management Console y de inicio de sesión se evalúan en el momento del inicio de sesión y se vuelven a evaluar periódicamente para las sesiones existentes.
