

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Jaringan yang diharapkan
<a name="expected-networks"></a>

Dengan Akses Konsol Manajemen AWS Pribadi, Anda dapat memaksakan bahwa pengguna mengakses Konsol Manajemen AWS satu-satunya dari jaringan yang disetujui, seperti VPC atau pusat data lokal yang terhubung melalui atau. Direct Connect AWS Site-to-Site VPN Ini mencegah akses dari lokasi yang tidak terduga bahkan ketika pengguna memiliki kredensi yang valid.

Untuk menerapkan kontrol jaringan ini, Anda menggunakan tiga jenis kebijakan:
+ **Kebijakan berbasis identitas IAM** — Terlampir pada identitas (pengguna, kelompok pengguna, atau peran). Batasi Layanan AWS pengguna mana yang dapat mengakses dari jaringan tertentu. Dievaluasi ketika sesi yang diautentikasi memanggil AWS layanan.
+ **Resource-based kebijakan** — Terlampir pada AWS sumber daya tertentu (seperti bucket dan AWS KMS kunci Amazon S3). Batasi akses ke sumber daya tersebut melalui jaringan. Dievaluasi ketika sesi memanggil sumber daya.
+ **AWS Sign-Inkebijakan berbasis sumber daya (RBP) dan kebijakan kontrol sumber daya (RCP) — Batasi** jaringan mana yang dapat digunakan untuk masuk ke jaringan itu sendiri. Konsol Manajemen AWS Dievaluasi selama alur masuk.

Kebijakan ini saling melengkapi dan bekerja sama. Kebijakan berbasis identitas IAM dan kebijakan berbasis sumber daya berlaku untuk semua metode akses, termasuk, Konsol Manajemen AWS CLI, dan SDK, dan mengontrol sumber daya mana yang dapat AWS dicapai oleh prinsipal setelah otentikasi. AWS Sign-In RBP dan RCP hanya berlaku untuk login konsol itu sendiri — mereka dapat mencegah upaya masuk yang tidak sah, tetapi mereka tidak membatasi sumber daya yang dapat diakses oleh sesi yang diautentikasi.

**Topics**
+ [Batasi akses layanan menggunakan aws: SourceVpc](#supported-global-condition-keys)
+ [Batasi akses konsol menggunakanAWS Sign-Inkebijakan-kebijakan](#restrict-console-access-by-network)

## Batasi akses layanan menggunakan aws: SourceVpc
<a name="supported-global-condition-keys"></a><a name="identity-other-policy-types"></a>

Anda dapat membatasi akses layanan dengan jaringan menggunakan tombol `aws:SourceVpc` kondisi. Ini berfungsi baik dalam kebijakan berbasis identitas IAM (dilampirkan ke pengguna, grup pengguna, atau peran) dan kebijakan berbasis sumber daya (dilampirkan ke sumber daya AWS seperti bucket atau kunci Amazon S3). AWS KMS Untuk Akses Konsol Manajemen AWS Pribadi, `aws:SourceVpc` adalah kunci kondisi yang disarankan untuk membatasi akses layanan oleh jaringan. Contoh berikut menunjukkan kebijakan berbasis identitas yang menolak akses ke Amazon Simple Storage Service kecuali permintaan tersebut berasal dari VPC yang Anda tentukan.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "S3:*",
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "aws:SourceVpc": "{{vpc-12345678}}"
                },
                "Bool": {
                    "aws:ViaAwsService": "false"
                }
            }
        }
    ]
}
```

------

### BagaimanaKonsol Manajemen AWSAkses Pribadi berfungsi dengan aws: SourceVpce
<a name="location-identity"></a>

Bagian ini menjelaskan berbagai jalur jaringan yang Konsol Manajemen AWS dapat diambil oleh permintaan yang dihasilkan oleh AndaLayanan AWS. AWSKonsol layanan menggunakan campuran permintaan browser langsung dan permintaan yang diproksi oleh server Konsol Manajemen AWS web ke. Layanan AWS Implementasi ini dapat berubah tanpa pemberitahuan. Jika persyaratan keamanan Anda mencakup akses untuk Layanan AWS menggunakan titik akhir VPC, sebaiknya Anda mengonfigurasi titik akhir VPC untuk semua layanan yang ingin Anda gunakan dari VPC, baik langsung dari maupun melalui Akses Pribadi. CLI/IDE Konsol Manajemen AWS Selain itu, kami menyarankan untuk menggunakan kondisi `aws:SourceVpc` IAM dalam kebijakan Anda daripada `aws:SourceVpce` nilai tertentu dengan fitur Akses Konsol Manajemen AWS Pribadi.

Setelah pengguna masuk keKonsol Manajemen AWS, mereka membuat permintaan Layanan AWS melalui kombinasi permintaan browser langsung dan permintaan yang diproksi oleh server Konsol Manajemen AWS web ke AWS server. Misalnya, permintaan data CloudWatch grafik dibuat langsung dari browser. Sedangkan beberapa permintaan konsol AWS layanan, seperti Amazon S3, diproksi oleh server web ke Amazon S3.

Untuk permintaan browser langsung, menggunakan Akses Konsol Manajemen AWS Pribadi tidak mengubah apa pun. Seperti sebelumnya, permintaan mencapai layanan melalui jalur jaringan apa pun yang telah dikonfigurasi VPC untuk dijangkau. monitoring.region.amazonaws.com Jika VPC dikonfigurasi dengan titik akhir VPC untukcom.amazonaws.region.monitoring, permintaan akan mencapai melalui CloudWatch titik akhir VPC tersebut. CloudWatch Jika tidak ada titik akhir VPC CloudWatch, permintaan akan mencapai CloudWatch titik akhir publiknya, melalui Internet Gateway di VPC. Permintaan yang tiba CloudWatch melalui titik akhir CloudWatch VPC akan memiliki kondisi IAM `aws:SourceVpc` dan `aws:SourceVpce` disetel ke nilainya masing-masing. Mereka yang mencapai CloudWatch melalui titik akhir publiknya akan `aws:SourceIp` mengatur ke alamat IP sumber permintaan. Untuk informasi selengkapnya tentang kunci kondisi IAM ini, lihat [Kunci kondisi global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc) di *Panduan Pengguna IAM*.

Untuk permintaan yang diproksi oleh server Konsol Manajemen AWS web, seperti permintaan yang dibuat konsol Amazon S3 untuk mencantumkan bucket Anda saat Anda mengunjungi konsol Amazon S3, jalur jaringannya berbeda. Permintaan ini tidak dimulai dari VPC Anda, melainkan dari Konsol Manajemen AWS server web, dan oleh karena itu jangan gunakan titik akhir VPC Amazon S3 yang mungkin telah Anda konfigurasikan. Namun, saat Anda menggunakan Akses Konsol Manajemen AWS Pribadi dengan layanan yang didukung, permintaan ini (misalnya, ke Amazon S3) akan menyertakan kunci `aws:SourceVpc` kondisi dalam konteks permintaannya. Kunci `aws:SourceVpc` kondisi akan disetel ke ID VPC tempat titik akhir Akses Konsol Manajemen AWS Pribadi Anda untuk login dan konsol digunakan. `aws:SourceVpce`Kondisi akan diatur ke ID titik akhir VPC konsol masing-masing.

**catatan**  
Jika pengguna memerlukan akses ke layanan yang tidak didukungAWS PrivateLink, Anda harus menyertakan daftar alamat jaringan publik yang diharapkan (seperti rentang jaringan lokal) menggunakan kunci `aws:SourceIp` kondisi dalam kebijakan berbasis identitas pengguna.

## Batasi akses konsol menggunakanAWS Sign-Inkebijakan-kebijakan
<a name="restrict-console-access-by-network"></a>

AWS Sign-InKebijakan berbasis sumber daya (RBP) berlaku untuk individu. Akun AWS Kebijakan pengendalian sumber daya (RCP) berlaku di seluruh organisasi melalui. AWS Organizations Keduanya menolak login konsol saat permintaan tidak berasal dari rentang IP atau VPC yang Anda tentukan.

*Untuk mengonfigurasi AWS Sign-In RBP dan RCP, lihat [Mengontrol akses konsol dengan kebijakan berbasis sumber daya dan kebijakan kontrol sumber daya](https://docs.aws.amazon.com/signin/latest/userguide/console-access-control.html) di Panduan Pengguna. AWS Sign-In*