翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
サービスコントロールポリシーと VPC エンドポイントポリシーの実装
プライベートアクセスのサービスコントロールポリシー (SCPsと VPC エンドポイントポリシーを使用して、VPC AWS Management Console 内および接続されているオンプレミスネットワーク AWS Management Console から の使用が許可されているアカウントのセットを制限できます。
サービスコントロールポリシーでの AWS Management ConsoleAWS Organizations プライベートアクセスの使用
AWS 組織が特定のサービスを許可するサービスコントロールポリシー (SCP) を使用している場合は、許可されたアクションsignin:*
に を追加する必要があります。このアクセス許可は、プライベートアクセス VPC エンドポイント AWS Management Console 経由で にサインインすると、SCP が アクセス許可なしでブロックする IAM 認証が実行されるために必要です。例えば、次のサービスコントロールポリシーでは、プライベートアクセスエンドポイントを使用してアクセスされるときを含め、組織内で Amazon EC2 AWS Management Console および CloudWatch のサービスを使用することを許可します。
{ "Effect": "Allow", "Action": [ "signin:*", "ec2:*", "cloudwatch:*", ... Other services allowed }, "Resource": "*" }
SCP の詳細については、AWS Organizations ユーザーガイド の「サービスコントロールポリシー (SCP)」を参照してください。
予想されるアカウントと組織にのみ AWS Management Console 使用を許可する (信頼できる ID)
AWS Management Console と は、サインインアカウントの ID を具体的に制御する VPC エンドポイントポリシー AWS サインイン をサポートします。
他の VPC エンドポイントポリシーとは異なり、このポリシーは認証前に評価されます。その結果、認証されたセッションのサインインと使用のみを具体的に制御し、セッションが実行する AWS サービス固有のアクションは制御しません。例えば、セッションが Amazon EC2 コンソールなどの AWS サービスコンソールにアクセスする場合、これらの VPC エンドポイントポリシーは、そのページを表示するために実行される Amazon EC2 アクションに対して評価されません。代わりに、サインインした IAM プリンシパルに関連付けられた IAM ポリシーを使用して、 AWS サービスアクションに対するアクセス許可を制御できます。
注記
AWS Management Console および VPC エンドポイントの SignIn VPC エンドポイントポリシーは、ポリシー策定の限定されたサブセットのみをサポートします。各 Principal
と Resource
は *
に設定する必要があります。また、Action
は *
または signin:*
のいずれかにする必要があります。VPC エンドポイントへのアクセスを制御するには、aws:PrincipalOrgId
および aws:PrincipalAccount
条件キーを使用します。
コンソールエンドポイントと SignIn VPC エンドポイントの両方には、次のポリシーが推奨されます。
この VPC エンドポイントポリシーは、指定された AWS 組織の AWS アカウント へのサインインを許可し、他のアカウントへのサインインをブロックします。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgId": "o-xxxxxxxxxxx" } } } ] }
この VPC エンドポイントポリシーは、特定の のリストへのサインインを制限 AWS アカウント し、他のアカウントへのサインインをブロックします。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalAccount": [ "111122223333", "222233334444" ] } } } ] }
AWS Management Console およびサインイン VPC エンドポイントで AWS アカウント または 組織を制限するポリシーは、サインイン時に評価され、既存のセッションに対して定期的に再評価されます。