Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Implementazione delle policy di controllo dei servizi e delle policy degli endpoint VPC
Puoi utilizzare le policy di controllo dei servizi (SCP) e le policy degli endpoint VPC AWS Management Console per Private Access per limitare il set di account autorizzati a utilizzare il from all'interno AWS Management Console del tuo VPC e delle relative reti locali connesse.
Utilizzo di AWS Management Console Private Access con le politiche di controllo del servizio AWS Organizations
Se AWS l'organizzazione utilizza una policy di controllo dei servizi (SCP) che consente servizi specifici, è necessario aggiungere altre azioni signin:* alle azioni consentite. Questa autorizzazione è necessaria perché l'accesso all' AWS Management Console endpoint VPC ad accesso privato esegue un'autorizzazione IAM che SCP blocca senza l'autorizzazione. Ad esempio, la seguente politica di controllo dei servizi consente di utilizzare Amazon EC2 e CloudWatch i servizi nell'organizzazione, anche quando vi si accede tramite un endpoint di accesso AWS Management Console privato.
{ "Effect": "Allow", "Action": [ "signin:*", "ec2:*", "cloudwatch:*", ... Other services allowed }, "Resource": "*" }
Per ulteriori informazioni sulle SCP, consulta Policy di controllo dei servizi (Service Control Policies, SCP) nella Guida per l'utente di AWS Organizations .
Consenti AWS Management Console l'utilizzo solo per gli account e le organizzazioni previsti (identità affidabili)
AWS Management Console e Accedi ad AWS supportano una policy degli endpoint VPC che controlla in modo specifico l'identità dell'account che ha effettuato l'accesso.
A differenza di altre policy degli endpoint VPC, la policy viene esaminata prima dell'autenticazione. Di conseguenza, controlla specificamente l'accesso e l'uso solo della sessione autenticata e non le azioni specifiche del servizio intraprese AWS dalla sessione. Ad esempio, quando la sessione accede a una console di AWS servizio, come la console Amazon EC2, queste policy sugli endpoint VPC non verranno valutate rispetto alle azioni di Amazon EC2 intraprese per visualizzare quella pagina. Piuttosto, puoi utilizzare le policy IAM associate all'IAM Principal che ha effettuato l'accesso per controllarne l'autorizzazione alle azioni di servizio. AWS
Nota
Le policy degli endpoint VPC per gli endpoint VPC e gli endpoint AWS Management Console SignIn VPC supportano solo un sottoinsieme limitato di formulazioni di policy. Ogni Principal e Resource devono essere impostati su * e Action dovrebbe essere * o signin:*. È possibile controllare l'accesso agli endpoint VPC utilizzando aws:PrincipalOrgId e le chiavi di condizione aws:PrincipalAccount.
Le seguenti politiche sono consigliate sia per gli endpoint Console che SignIn VPC.
Questa politica degli endpoint VPC consente l'accesso all' Account AWS AWS organizzazione specificata e blocca l'accesso a qualsiasi altro account.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgId": "o-xxxxxxxxxxx" } } } ] }
Questa policy sugli endpoint VPC limita l'accesso a un elenco di account specifici Account AWS e blocca l'accesso a qualsiasi altro account.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalAccount": [ "111122223333", "222233334444" ] } } } ] }
Le policy che limitano Account AWS un'organizzazione sugli endpoint VPC AWS Management Console e di accesso vengono valutate al momento dell'accesso e periodicamente rivalutate per le sessioni esistenti.
