僅允許將 AWS Management Console 用於預期帳戶和組織 (受信任身分) - AWS Management Console

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

僅允許將 AWS Management Console 用於預期帳戶和組織 (受信任身分)

AWS Management Console 和 AWS 登入 支援端點VPC政策,專門控制登入帳戶的身分。

與其他VPC端點政策不同,此政策會在身分驗證之前進行評估。因此,它會特別控制已驗證工作階段的登入和使用,而不是工作階段採取的任何 AWS 服務特定動作。例如,當工作階段存取 AWS 服務主控台時,例如 Amazon EC2主控台,這些VPC端點政策將不會針對顯示該頁面時採取的 Amazon EC2動作進行評估。相反地,您可以使用與登入IAM主體相關聯的IAM政策來控制其 AWS 服務動作的許可。

注意

VPC AWS Management Console 和 SignIn VPC 端點的端點政策僅支援有限的政策配方子集。每個 Principal 和 Resource 都應設定為 *,而 Action 應設定為 * 或 signin:*。您可以使用 aws:PrincipalOrgIdaws:PrincipalAccount條件索引鍵控制對VPC端點的存取。

對於主控台和 SignIn VPC端點,建議採用下列政策。

此VPC端點政策允許 AWS 帳戶 在指定的 AWS 組織中登入 ,並封鎖任何其他帳戶的登入。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgId": "o-xxxxxxxxxxx" } } } ] }

此VPC端點政策會將登入限制為特定 清單, AWS 帳戶 並封鎖任何其他帳戶的登入。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalAccount": [ "111122223333", "222233334444" ] } } } ] }

限制 AWS Management Console 和 登入VPC端點上 AWS 帳戶 組織的政策會在登入時進行評估,並定期重新評估現有工作階段。