本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
实施服务控制策略和 VPC 端点策略
您可以使用服务控制策略 (SCP) 和 VPC 终端节点策略进行 AWS Management Console 私有访问,以限制允许 AWS Management Console 从您的 VPC 及其连接的本地网络中使用该策略的账户集。
将 AWS Management Console 私有访问权限与 AWS Organizations 服务控制策略配合使用
如果您的 AWS 组织正在使用允许特定服务的服务控制策略 (SCP),则必须添加signin:*允许的操作。之所以需要此权限,是因为 AWS Management Console 通过私有访问 VPC 终端节点登录会执行 IAM 授权,SCP 会在未经许可的情况下阻止该授权。例如,以下服务控制策略允许在组织中使用 Amazon EC2 和 CloudWatch 服务,包括使用 AWS Management Console 私有访问终端节点访问它们的时间。
{ "Effect": "Allow", "Action": [ "signin:*", "ec2:*", "cloudwatch:*", ... Other services allowed }, "Resource": "*" }
有关 SCP 的更多信息,请参阅《AWS Organizations 用户指南》中的服务控制策略 (SCP)。
仅允许 AWS Management Console 用于预期的账户和组织(可信身份)
AWS Management Console 并 AWS 登录 支持专门控制登录账户身份的 VPC 终端节点策略。
与其它 VPC 端点策略不同,该策略在身份验证之前进行评估。因此,它专门控制登录和使用经过身份验证的会话,而不控制会话采取的任何 AWS 特定于服务的操作。例如,当会话访问 AWS 服务控制台(例如 Amazon EC2 控制台)时,将不会根据为显示该页面而采取的 Amazon EC2 操作来评估这些 VPC 终端节点策略。相反,您可以使用与已登录的 IAM 委托人关联的 IAM 策略来控制其对服务操作的权限。 AWS
注意
AWS Management Console 和 VPC 终端节点的 SignIn VPC 终端节点策略仅支持有限的策略公式子集。每个 Principal 和 Resource 均应设置为 *,而 Action 应设置为 * 或 signin:*。您可以使用 aws:PrincipalOrgId 和 aws:PrincipalAccount 条件键控制对 VPC 端点的访问。
对于控制台和 SignIn VPC 终端节点,建议使用以下策略。
此 VPC 终端节点策略允许 AWS 账户 在指定 AWS 组织中登录,并禁止登录任何其他账户。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgId": "o-xxxxxxxxxxx" } } } ] }
此 VPC 终端节点策略将登录限制为特定账户列表, AWS 账户 并禁止登录任何其他账户。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalAccount": [ "111122223333", "222233334444" ] } } } ] }
在登录时会对限制 AWS 账户 或组织使用 AWS Management Console 和登录 VPC 端点的策略进行评估,并定期针对现有会话进行重新评估。
