仅允许 AWS Management Console 用于预期的账户和组织（可信身份）

AWS Management Console 并 AWS 登录支持专门控制登录账户身份的VPC端点策略。

与其他VPC端点策略不同，该策略是在身份验证之前进行评估的。因此，它专门控制登录和使用经过身份验证的会话，而不控制会话采取的任何 AWS 特定于服务的操作。例如，当会话访问 AWS 服务控制台（例如 Amazon EC2 控制台）时，将不会根据为显示该页面而采取的亚马逊EC2操作来评估这些VPC终端节点策略。相反，您可以使用与登录IAM主体关联的IAM策略来控制其服务操作权限。 AWS

注意

VPC AWS Management Console 和端点的 SignIn VPC端点策略仅支持有限的策略公式子集。每个 Principal 和 Resource 均应设置为 *，而 Action 应设置为 * 或 signin:*。您可以使用aws:PrincipalOrgId和aws:PrincipalAccount条件键控制对VPC端点的访问。

对于控制台和 SignIn VPC终端节点，建议使用以下策略。

此VPC端点策略允许在指定 AWS 组织 AWS 账户中登录并阻止登录任何其他账户。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}

此VPC端点政策将登录限制为特定账号列表， AWS 账户并禁止登录任何其他账户。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "111122223333", "222233334444" ]
        }
      }
    }
  ]
}

在登录时会对限制 AWS 账户或组织访问 AWS Management Console 和登录VPC端点的策略进行评估，并定期对现有会话进行重新评估。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

服务控制策略

实施基于身份的策略和其他策略类型