Implementazione di policy basate su identità e altri tipi di policy - AWS Management Console
Chiavi contestuali delle condizioni AWS globali supportateCome funziona AWS Management Console Private Access con aws: SourceVpcIn che modo si riflettono i diversi percorsi di rete CloudTrail

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Implementazione di policy basate su identità e altri tipi di policy

Puoi gestire l'accesso creando policy e collegandole alle identità o alle risorse IAM (utenti, gruppi di utenti o ruoli). AWS AWS Questa pagina descrive come funzionano le policy se utilizzate insieme a AWS Management Console Private Access.

Chiavi contestuali delle condizioni AWS globali supportate

AWS Management Console Private Access non supporta aws:SourceVpce le chiavi di contesto a condizione aws:VpcSourceIp AWS globale. È possibile invece utilizzare nelle proprie policy la condizione IAM aws:SourceVpc, quando si utilizza l’accesso privato alla AWS Management Console .

Come funziona AWS Management Console Private Access con aws: SourceVpc

Questa sezione descrive i vari percorsi di rete a cui AWS Management Console possono accedere le richieste generate da te Servizi AWS. In generale, le console di AWS servizio vengono implementate con una combinazione di richieste dirette del browser e richieste inviate tramite proxy dai server AWS Management Console Web a. Servizi AWS Queste implementazioni sono soggette a modifica senza preavviso. Se i tuoi requisiti di sicurezza includono l'accesso all' Servizi AWS utilizzo degli endpoint VPC, ti consigliamo di configurare gli endpoint VPC per tutti i servizi che intendi utilizzare da VPC, direttamente o tramite Private Access. AWS Management Console Inoltre, è necessario utilizzare la condizione aws:SourceVpc IAM nelle policy anziché aws:SourceVpce valori specifici con la funzionalità Private Access. AWS Management Console Questa sezione fornisce dettagli su come funzionano i diversi percorsi di rete.

Dopo aver effettuato l'accesso AWS Management Console, un utente effettua le richieste Servizi AWS tramite una combinazione di richieste dirette del browser e richieste che vengono inoltrate dai server AWS Management Console Web ai AWS server. Ad esempio, le richieste di dati CloudWatch grafici vengono effettuate direttamente dal browser. Alcune richieste AWS di console di servizio, come Amazon S3, vengono invece inoltrate dal server Web ad Amazon S3.

Per le richieste dirette del browser, l'utilizzo di AWS Management Console Private Access non cambia nulla. Come in precedenza, la richiesta raggiunge il servizio tramite il percorso di rete che il VPC ha configurato per raggiungere monitoring.region.amazonaws.com. Se il VPC è configurato con un endpoint VPC percom.amazonaws.region.monitoring, la richiesta arriverà attraverso CloudWatch quell'endpoint VPC. CloudWatch Se non esiste un endpoint VPC per CloudWatch, la richiesta arriverà CloudWatch al suo endpoint pubblico, tramite un Internet Gateway sul VPC. Le richieste che arrivano CloudWatch tramite l'endpoint CloudWatch VPC avranno le condizioni IAM aws:SourceVpc e saranno aws:SourceVpce impostate sui rispettivi valori. Quelle che lo raggiungeranno CloudWatch tramite l'endpoint pubblico avranno aws:SourceIp impostato l'indirizzo IP di origine della richiesta. Per ulteriori informazioni su queste chiavi di condizione IAM, consulta la sezione Global condition keys (Chiavi di condizione globali) nella Guida per l'utente IAM.

Per le richieste inviate tramite proxy dal server AWS Management Console Web, ad esempio la richiesta effettuata dalla console Amazon S3 per elencare i bucket quando si visita la console Amazon S3, il percorso di rete è diverso. Queste richieste non vengono avviate dal proprio VPC e quindi non utilizzano l'endpoint VPC che si potrebbe aver configurato sul proprio VPC per quel servizio. Anche se in questo caso si dispone di un endpoint VPC per Amazon S3, la richiesta della sessione ad Amazon S3 di elencare i bucket non utilizza l'endpoint VPC di Amazon S3. Tuttavia, quando utilizzi AWS Management Console Private Access con servizi supportati, queste richieste (ad esempio, ad Amazon S3) includeranno la chiave di aws:SourceVpc condizione nel contesto della richiesta. La chiave di aws:SourceVpc condizione verrà impostata sull'ID VPC in cui vengono distribuiti gli endpoint di accesso AWS Management Console privato per l'accesso e la console. Pertanto, se si utilizzano restrizioni aws:SourceVpc nelle policy basate sull'identità, è necessario aggiungere l'ID VPC del VPC che ospita gli endpoint di accesso e di accesso privato alla AWS Management Console . La condizione aws:SourceVpce verrà impostata sui rispettivi ID di endpoint VPC di accesso o della console.

Nota

Se desideri che gli utenti continuino ad accedere alle console di servizio non supportate da Accesso privato alla AWS Management Console , devi includere un elenco di indirizzi di rete pubblici previsti (ad esempio l'intervallo di rete on-premise) utilizzando la chiave di condizione aws:SourceIP nelle policy basate sull'identità degli utenti.

In che modo si riflettono i diversi percorsi di rete CloudTrail

I diversi percorsi di rete utilizzati dalle richieste generate dall'utente AWS Management Console si riflettono nella cronologia CloudTrail degli eventi.

Per le richieste dirette tramite browser, l'utilizzo di AWS Management Console Private Access non cambia nulla. CloudTrail gli eventi includeranno dettagli sulla connessione, come l'ID dell'endpoint VPC utilizzato per effettuare la chiamata all'API del servizio.

Per le richieste inviate tramite proxy dal server AWS Management Console Web, CloudTrail gli eventi non includeranno alcun dettaglio relativo al VPC. Tuttavia, le richieste iniziali necessarie per Accedi ad AWS stabilire la sessione del browser, ad esempio il tipo di AwsConsoleSignIn evento, includeranno l'ID dell'endpoint Accedi ad AWS VPC nei dettagli dell'evento.