实施基于身份的策略和其他策略类型 - AWS Management Console
支持的 AWS 全局条件上下文密钥AWS Management Console 私有访问权限如何与 aws 配合使用:SourceVpc不同的网络路径如何反映在 CloudTrail

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

实施基于身份的策略和其他策略类型

您可以 AWS 通过创建策略并将其附加到 IAM 身份(用户、用户组或角色)或 AWS 资源来管理中的访问权限。本页介绍策略与 AWS Management Console 私有访问权限配合使用时的工作原理。

支持的 AWS 全局条件上下文密钥

AWS Management Console 私有访问不支持aws:SourceVpceaws:VpcSourceIp AWS 全局条件上下文密钥。在使用 AWS Management Console 私有访问时,您可以在策略中改用 aws:SourceVpc IAM 条件。

AWS Management Console 私有访问权限如何与 aws 配合使用:SourceVpc

本节介绍由您生成的请求 AWS Management Console 可以进入的各种网络路径 AWS 服务。通常, AWS 服务控制台是通过直接浏览器请求和由 AWS Management Console Web 服务器代理的请求混合实现的。 AWS 服务这些实现可能会发生变化,恕不另行通知。如果您的安全要求包括 AWS 服务 使用 VPC 终端节点进行访问,我们建议您为打算从 VPC 使用的所有服务(无论是直接使用还是通过 AWS Management Console 私有访问)配置 VPC 终端节点。此外,您必须在aws:SourceVpc策略中使用 IAM 条件,而不是在 AWS Management Console 私有访问权限功能中使用特定aws:SourceVpce值。本节提供有关不同网络路径的工作原理的详细信息。

用户登录后 AWS Management Console,他们 AWS 服务 通过直接浏览器请求和由 AWS Management Console Web 服务器代理到服务器的请求的组合向 AWS 发出请求。例如, CloudWatch 图形数据请求是直接从浏览器发出的。而某些 AWS 服务控制台请求(例如 Amazon S3)则由 Web 服务器代理到 Amazon S3。

对于直接的浏览器请求,使用 AWS Management Console 私有访问权限不会有任何改变。与以前一样,请求通过 VPC 已配置为到达 monitoring.region.amazonaws.com 的任何网络路径到达服务。如果 VPC 配置了的 VPC 终端节点com.amazonaws.region.monitoring,则请求将 CloudWatch通过该 CloudWatch VPC 终端节点到达。如果没有 VPC 终端节点 CloudWatch,则请求将通过 VPC CloudWatch 上的 Internet Gateway 到达其公有终端节点。 CloudWatch 通过 CloudWatch VPC 终端节点到达的请求将具有 IAM 条件aws:SourceVpcaws:SourceVpce设置为各自的值。那些 CloudWatch 通过其公共端点到达的用户将aws:SourceIp设置为请求的源 IP 地址。有关这些 IAM 条件键的更多信息,请参阅《IAM 用户指南》中的全局条件键

对于由 AWS Management Console Web 服务器代理的请求,例如 Amazon S3 控制台在您访问 Amazon S3 控制台时发出的列出您的存储桶的请求,则网络路径会有所不同。这些请求不是从您的 VPC 发起的,因此不使用您可能已在 VPC 上为该服务配置的 VPC 端点。在这种情况下,即使您具有用于 Amazon S3 的 VPC 端点,您的会话向 Amazon S3 发出的旨在列出桶的请求也不会使用 Amazon S3 VPC 端点。但是,当您对支持的服务使用 AWS Management Console 私有访问权限时,这些请求(例如,对 Amazon S3 的请求)将在其请求上下文中包含aws:SourceVpc条件密钥。aws:SourceVpc条件密钥将设置为部署用于登录和控制台的 AWS Management Console 私有访问终端节点的 VPC ID。因此,如果您在基于身份的策略中使用 aws:SourceVpc 限制,则必须添加用于托管 AWS Management Console 私有访问登录和控制台端点的此 VPC 的 VPC ID。aws:SourceVpce 条件将设置为相应的登录或控制台 VPC 端点 ID。

注意

如果您的用户要求访问 AWS Management Console 私有访问不支持的服务控制台,则必须在用户的基于身份的策略中使用 aws:SourceIP 条件键包括预期公有网络地址的列表(例如本地网络范围)。

不同的网络路径如何反映在 CloudTrail

您生成的请求所使用的不同网络路径 AWS Management Console 会反映在您的 CloudTrail 事件历史记录中。

对于直接的浏览器请求,使用 AWS Management Console 私有访问权限不会有任何改变。 CloudTrail 事件将包括有关连接的详细信息,例如用于调用服务 API 的 VPC 终端节点 ID。

对于由 AWS Management Console Web 服务器代理的请求, CloudTrail 事件将不包含任何与 VPC 相关的细节。但是,建立浏览器会话所需的初始请求(例如AwsConsoleSignIn事件类型)将在事件详细信息中包含 AWS 登录 VPC 终端节点 ID。 AWS 登录