本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
僅允許將 AWS Management Console 用於預期帳戶和組織 (受信任身分)
AWS Management Console 和 AWS 登入 支援端點VPC政策,專門控制登入帳戶的身分。
與其他VPC端點政策不同,此政策會在身分驗證之前進行評估。因此,它會特別控制已驗證工作階段的登入和使用,而不是工作階段採取的任何 AWS 服務特定動作。例如,當工作階段存取 AWS 服務主控台時,例如 Amazon EC2主控台,這些VPC端點政策將不會針對顯示該頁面時採取的 Amazon EC2動作進行評估。相反地,您可以使用與登入IAM主體相關聯的IAM政策來控制其 AWS 服務動作的許可。
注意
VPC AWS Management Console 和 SignIn VPC 端點的端點政策僅支援有限的政策配方子集。每個 Principal
和 Resource
都應設定為 *
,而 Action
應設定為 *
或 signin:*
。您可以使用 aws:PrincipalOrgId
和 aws:PrincipalAccount
條件索引鍵控制對VPC端點的存取。
對於主控台和 SignIn VPC端點,建議採用下列政策。
此VPC端點政策允許 AWS 帳戶 在指定的 AWS 組織中登入 ,並封鎖任何其他帳戶的登入。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgId": "o-xxxxxxxxxxx" } } } ] }
此VPC端點政策會將登入限制為特定 清單, AWS 帳戶 並封鎖任何其他帳戶的登入。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalAccount": [ "111122223333", "222233334444" ] } } } ] }
限制 AWS Management Console 和 登入VPC端點上 AWS 帳戶 組織的政策會在登入時進行評估,並定期重新評估現有工作階段。