Izinkan AWS Management Console penggunaan hanya untuk akun dan organisasi yang diharapkan (identitas tepercaya) - AWS Management Console

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Izinkan AWS Management Console penggunaan hanya untuk akun dan organisasi yang diharapkan (identitas tepercaya)

AWS Management Console dan AWS Sign-In mendukung kebijakan VPC endpoint yang secara khusus mengontrol identitas akun yang masuk.

Tidak seperti kebijakan VPC endpoint lainnya, kebijakan dievaluasi sebelum otentikasi. Akibatnya, secara khusus mengontrol login dan penggunaan sesi yang diautentikasi saja, dan bukan tindakan AWS khusus layanan apa pun yang dilakukan sesi. Misalnya, saat sesi mengakses konsol AWS layanan, seperti EC2 konsol Amazon, kebijakan VPC titik akhir ini tidak akan dievaluasi terhadap EC2 tindakan Amazon yang diambil untuk menampilkan halaman tersebut. Sebaliknya, Anda dapat menggunakan IAM kebijakan yang terkait dengan IAM Principal yang masuk untuk mengontrol izinnya terhadap tindakan layanan. AWS

catatan

VPCKebijakan endpoint untuk AWS Management Console dan SignIn VPC endpoint hanya mendukung subset terbatas dari formulasi kebijakan. Setiap Principal dan Resource harus diatur ke * dan Action harus salah satu * atausignin:*. Anda mengontrol akses ke VPC titik akhir menggunakan aws:PrincipalOrgId dan tombol aws:PrincipalAccount kondisi.

Kebijakan berikut direkomendasikan untuk Konsol dan SignIn VPC titik akhir.

Kebijakan VPC titik akhir ini memungkinkan proses Akun AWS masuk ke AWS organisasi tertentu dan memblokir proses masuk ke akun lain.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}

Kebijakan VPC titik akhir ini membatasi proses masuk ke daftar spesifik Akun AWS dan memblokir proses masuk ke akun lain.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "111122223333", "222233334444" ]
        }
      }
    }
  ]
}

Kebijakan yang membatasi Akun AWS atau organisasi pada VPC titik akhir AWS Management Console dan Masuk dievaluasi pada saat login dan dievaluasi ulang secara berkala untuk sesi yang ada.