예상 계정 및 조직에 대해서만 AWS Management Console 사용 허용(신뢰할 수 있는 자격 증명) - AWS Management Console

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

예상 계정 및 조직에 대해서만 AWS Management Console 사용 허용(신뢰할 수 있는 자격 증명)

AWS Management Console 및 는 로그인 계정의 자격 증명을 특별히 제어하는 VPC 엔드포인트 정책을 AWS 로그인 지원합니다.

다른 VPC 엔드포인트 정책과 달리 인증 전에 정책이 평가됩니다. 따라서 인증된 세션의 로그인 및 사용만 제어하고 세션이 수행하는 AWS 서비스별 작업은 제어하지 않습니다. 예를 들어 세션이 Amazon 콘솔과 같은 AWS 서비스 EC2 콘솔에 액세스하면 해당 페이지를 표시하기 위해 수행되는 Amazon EC2 작업에 대해 이러한 VPC 엔드포인트 정책이 평가되지 않습니다. 대신 로그인한 IAM 보안 주체와 연결된 IAM 정책을 사용하여 AWS 서비스 작업에 대한 권한을 제어할 수 있습니다.

참고

VPC AWS Management Console 및 SignIn VPC 엔드포인트에 대한 엔드포인트 정책은 제한된 정책 공식 하위 집합만 지원합니다. 모든 Principal 및 Resource는 *로 설정해야 하며 Action은 * 또는 signin:* 중 하나여야 합니다. aws:PrincipalOrgIdaws:PrincipalAccount 조건 키를 사용하여 VPC 엔드포인트에 대한 액세스를 제어합니다.

콘솔과 SignIn VPC 엔드포인트 모두에 다음 정책이 권장됩니다.

이 VPC 엔드포인트 정책은 지정된 AWS 조직에서 AWS 계정 에 대한 로그인을 허용하고 다른 계정에 대한 로그인을 차단합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}

이 VPC 엔드포인트 정책은 특정 목록으로 로그인을 제한 AWS 계정 하고 다른 계정에 대한 로그인을 차단합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "111122223333", "222233334444" ]
        }
      }
    }
  ]
}

AWS Management Console 및 로그인 VPC 엔드포인트에서 AWS 계정 또는 조직을 제한하는 정책은 로그인 시 평가되며 기존 세션에 대해 정기적으로 재평가됩니다.