支援的 AWS 全域條件上下文鍵 AWS Management Console 私人訪問如何與 aws 配合使用：SourceVpc 如何反映不同的網路路徑 CloudTrail

實作以身分為基礎的政策以及其他政策類型

您可以 AWS 透過建立政策並將其附加到 IAM 身分 (使用者、使用者群組或角色) 或 AWS 資源來管理中的存取。本頁說明原則與 AWS Management Console 私人存取一起使用時的運作方式。

支援的 AWS 全域條件上下文鍵

AWS Management Console 私有訪問不支持aws:SourceVpce和aws:VpcSourceIp AWS 全局條件上下文鍵。使用 AWS Management Console 私有存取時，您可以改為在政策中使用 aws:SourceVpc IAM 條件。

AWS Management Console 私人訪問如何與 aws 配合使用：SourceVpc

本節說明您所產生之要求 AWS Management Console 可以採取的各種網路路徑 AWS 服務。一般而言， AWS 服務主控台是以 AWS Management Console 網路伺服器代理的直接瀏覽器要求和要求混合來實作。 AWS 服務這些實作可能會有所變更，且不會另行通知。如果您的安全需求包括 AWS 服務使用 VPC 端點的存取權，建議您針對要從 VPC 使用的所有服務 (無論是直接還是透過 AWS Management Console 私人存取) 設定 VPC 端點。此外，您必須在政策中使用 aws:SourceVpc IAM 條件，而不是使用 AWS Management Console 私人存取功能的特定aws:SourceVpce值。本節提供不同網路路徑如何運作的詳細資訊。

使用者登入之後 AWS Management Console，他們會 AWS 服務透過直接瀏覽器要求和由 AWS Management Console 網頁伺服器代理到伺服器的要求的組合來 AWS 發出要求。例如， CloudWatch 圖形資料要求是直接從瀏覽器發出。有些 AWS 服務主控台請求 (例如 Amazon S3) 是由網路伺服器代理至 Amazon S3。

對於直接瀏覽器請求，使用 AWS Management Console 私人訪問不會改變任何內容。和以前一樣，請求會透過 VPC 設定為到達 monitoring.region.amazonaws.com 的任何網路路徑來到達服務。如果 VPC 設定為的 VPC 端點com.amazonaws.region.monitoring，則會透 CloudWatch過該 CloudWatch VPC 端點傳送要求。如果沒有用於的 VPC 端點 CloudWatch，請求將透 CloudWatch 過 VPC 上的 Internet Gateway 到達其公用端點。 CloudWatch 透過 CloudWatch VPC 端點到達的請求將具有 IAM 條件aws:SourceVpc並aws:SourceVpce設定為各自的值。 CloudWatch 透過其公用端點到達的使用者將會aws:SourceIp設定為要求的來源 IP 位址。如需有關這些條件金鑰的詳細資訊，請參閱 IAM 使用者指南中的全域條件金鑰。

對於 AWS Management Console Web 伺服器代理的請求 (例如 Amazon S3 主控台在您造訪 Amazon S3 主控台時，Amazon S3 主控台發出的請求)，網路路徑會有所不同。這些請求不是從您的 VPC 啟動的，因此不會使用您可能在 VPC 上為該服務設定的 VPC 端點。即使您在這種情況下擁有適用於 Amazon S3 的 VPC 端點，對 Amazon S3 列出儲存貯體的工作階段請求也不會使用 Amazon S3 VPC 端點。但是，當您將 AWS Management Console 私有存取與支援的服務搭配使用時，這些請求 (例如，對 Amazon S3) 會在其請求內容中包含aws:SourceVpc條件金鑰。aws:SourceVpc條件金鑰將設定為 VPC ID，其中部署用於登入和主控台的 AWS Management Console 私人存取端點。因此，如果您在以身分識別為基礎的政策中使用 aws:SourceVpc 限制，則必須新增託管 AWS Management Console 私人存取登入和主控台端點的 VPC 的 VPC ID。aws:SourceVpce 條件將設為各自的登入或主控台 VPC 端點 ID。

注意

如果您的使用者要求存取 AWS Management Console 私有存取不支援的服務主控台，您必須在使用者的身分式政策中使用 aws:SourceIP 條件金鑰來包含您預期的公有網路地址清單 (例如您的內部部署網路範圍)。

如何反映不同的網路路徑 CloudTrail

由您產生的要求所使用的不同網路路徑會反映 AWS Management Console 在您的 CloudTrail 事件歷史記錄中。

對於直接瀏覽器請求，使用 AWS Management Console 私人訪問不會改變任何內容。 CloudTrail 事件將包含有關連線的詳細資料，例如用來進行服務 API 呼叫的 VPC 端點識別碼。

對於 AWS Management Console Web 伺服器代理的要求， CloudTrail 事件不會包含任何 VPC 相關詳細資料。不過，建立瀏覽器工作階段所需的初始要求 (例如AwsConsoleSignIn事件類型) 會在事件詳細資料中包含 AWS 登入 VPC 端點識別碼。 AWS 登入

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

實作服務控制政策和 VPC 端點政策

嘗試 AWS Management Console 私人訪問