Consenti AWS Management Console l'utilizzo solo per gli account e le organizzazioni previsti (identità affidabili) - AWS Management Console

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Consenti AWS Management Console l'utilizzo solo per gli account e le organizzazioni previsti (identità affidabili)

AWS Management Console e Accedi ad AWS supportano una policy degli endpoint VPC che controlla in modo specifico l'identità dell'account che ha effettuato l'accesso.

A differenza di altre policy degli endpoint VPC, la policy viene esaminata prima dell'autenticazione. Di conseguenza, controlla specificamente l'accesso e l'uso solo della sessione autenticata e non le azioni specifiche del servizio intraprese AWS dalla sessione. Ad esempio, quando la sessione accede a una console di AWS servizio, come la EC2 console Amazon, queste policy sugli endpoint VPC non verranno valutate rispetto alle azioni di EC2 Amazon intraprese per visualizzare quella pagina. Piuttosto, puoi utilizzare le policy IAM associate all'IAM Principal che ha effettuato l'accesso per controllarne l'autorizzazione alle azioni di servizio. AWS

Nota

Le policy degli endpoint VPC per gli endpoint VPC e gli endpoint AWS Management Console SignIn VPC supportano solo un sottoinsieme limitato di formulazioni di policy. Ogni Principal e Resource devono essere impostati su * e Action dovrebbe essere * o signin:*. È possibile controllare l'accesso agli endpoint VPC utilizzando aws:PrincipalOrgId e le chiavi di condizione aws:PrincipalAccount.

Le seguenti politiche sono consigliate sia per gli endpoint Console che SignIn VPC.

Questa politica degli endpoint VPC consente l'accesso all' Account AWS AWS organizzazione specificata e blocca l'accesso a qualsiasi altro account.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}

Questa policy sugli endpoint VPC limita l'accesso a un elenco di account specifici Account AWS e blocca l'accesso a qualsiasi altro account.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "111122223333", "222233334444" ]
        }
      }
    }
  ]
}

Le policy che limitano Account AWS un'organizzazione sugli endpoint VPC AWS Management Console e di accesso vengono valutate al momento dell'accesso e periodicamente rivalutate per le sessioni esistenti.