實作以身分為基礎的政策以及其他政策類型 - AWS Management Console
支援的 AWS 全域條件內容索引鍵AWS Management Console Private Access 如何與 aws 搭配使用:SourceVpc如何反映不同的網路路徑 CloudTrail

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

實作以身分為基礎的政策以及其他政策類型

您可以透過建立政策並將其連接至身分 IAM (使用者、使用者群組或角色) 或 AWS 資源 AWS 來管理 中的存取權。此頁面說明政策與 AWS Management Console Private Access 搭配使用時的運作方式。

支援的 AWS 全域條件內容索引鍵

AWS Management Console Private Access 不支援 aws:SourceVpceaws:VpcSourceIp AWS 全域條件內容索引鍵。使用 AWS Management Console Private Access 時,您可以在政策中使用 aws:SourceVpcIAM條件。

AWS Management Console Private Access 如何與 aws 搭配使用:SourceVpc

本節說明 產生的請求 AWS Management Console 可以對 採取的各種網路路徑 AWS 服務。一般而言, AWS 服務主控台會與直接瀏覽器請求和 AWS Management Console Web 伺服器代理到 的請求混合實作 AWS 服務。這些實作可能會有所變更,且不會另行通知。如果您的安全需求包含 AWS 服務 使用VPC端點的存取權,建議您為打算從 使用的所有服務設定VPC端點VPC,無論是直接或透過 AWS Management Console Private Access。此外,您必須在政策中使用 aws:SourceVpcIAM條件,而不是搭配 AWS Management Console Private Access 功能使用特定aws:SourceVpce值。本節提供不同網路路徑如何運作的詳細資訊。

使用者登入 後 AWS Management Console,他們會 AWS 服務 透過直接瀏覽器請求和 AWS Management Console Web 伺服器代理到 AWS 伺服器的請求組合向 提出請求。例如, CloudWatch 圖形資料請求會直接從瀏覽器提出。而某些 AWS 服務主控台請求,例如 Amazon S3,是由 Web 伺服器代理至 Amazon S3。

對於直接瀏覽器請求,使用 AWS Management Console Private Access 不會有任何變更。和之前一樣,請求會透過 VPC 設定為到達的任何網路路徑來到達服務 monitoring.region.amazonaws.com。 如果 VPC 使用 的VPC端點設定 com.amazonaws.region.monitoring,請求會透過該 CloudWatch VPC端點來存取 CloudWatch。如果沒有 的VPC端點 CloudWatch,則透過 上的網際網路閘道,請求會在 CloudWatch 其公有端點上送達VPC。 CloudWatch 透過端點到達 CloudWatch VPC的請求將具有IAM條件,aws:SourceVpcaws:SourceVpce設定為其各自的值。透過 CloudWatch 其公有端點進行存取的人員,將aws:SourceIp設定為請求的來源 IP 地址。如需這些IAM條件索引鍵的詳細資訊,請參閱 IAM 使用者指南 中的全域條件索引鍵

對於 AWS Management Console Web 伺服器代理的請求,例如 Amazon S3 主控台在您造訪 Amazon S3 主控台時用來列出儲存貯體的請求,網路路徑會有所不同。這些請求不會從 啟動VPC,因此不會使用您在 上VPC為該服務設定的VPC端點。即使您在此情況下有 Amazon S3 的VPC端點,工作階段對 Amazon S3 的請求仍會列出儲存貯體,而不會使用 Amazon S3 VPC端點。不過,當您搭配支援的服務使用 AWS Management Console 私有存取時,這些請求 (例如 Amazon S3) 會在其請求內容中包含aws:SourceVpc條件索引鍵。aws:SourceVpc 條件金鑰將設定為部署登入和主控台的 AWS Management Console Private Access 端點的 VPC ID。因此,如果您在身分型政策中使用aws:SourceVpc限制,則必須新增VPC託管 AWS Management Console 私有存取登入和主控台端點的 VPC ID。aws:SourceVpce 條件會設定為個別的登入或主控台VPC端點 IDs。

注意

如果您的使用者要求存取 AWS Management Console 私有存取不支援的服務主控台,您必須在使用者的身分式政策中使用 aws:SourceIP 條件金鑰來包含您預期的公有網路地址清單 (例如您的內部部署網路範圍)。

如何反映不同的網路路徑 CloudTrail

您的 產生的請求所使用的不同網路路徑 AWS Management Console 會反映在您的 CloudTrail 事件歷史記錄中。

對於直接瀏覽器請求,使用 AWS Management Console Private Access 不會有任何變更。 CloudTrail 事件將包含連線的詳細資訊,例如用於進行服務API呼叫的VPC端點 ID。

對於 Web AWS Management Console 伺服器代理的請求, CloudTrail 事件不會包含任何VPC相關詳細資訊。不過,建立瀏覽器工作階段 AWS 登入 所需的初始請求,例如AwsConsoleSignIn事件類型,會在事件詳細資訊中包含 AWS 登入 VPC端點 ID。