Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Implementierung identitätsbasierter Richtlinien und anderer Richtlinientypen
Sie verwalten den Zugriff in, AWS indem Sie Richtlinien erstellen und diese an IAM-Identitäten (Benutzer, Benutzergruppen oder Rollen) oder Ressourcen anhängen. AWS Auf dieser Seite wird beschrieben, wie Richtlinien funktionieren, wenn sie zusammen mit AWS-Managementkonsole Private Access verwendet werden.
## Unterstützte Kontextschlüssel für AWS globale Bedingungen
AWS-Managementkonsole Private Access unterstützt `aws:SourceVpce` keine `aws:VpcSourceIp` AWS globalen Bedingungskontextschlüssel. Sie können stattdessen die `aws:SourceVpc`-IAM-Bedingung in Ihren Richtlinien verwenden, wenn Sie AWS-Managementkonsole Private Access verwenden.
## So funktioniert AWS-Managementkonsole Private Access mit aws: SourceVpc
In diesem Abschnitt werden die verschiedenen Netzwerkpfade beschrieben, über die die von Ihnen generierten Anfragen weitergeleitet AWS-Managementkonsole werden können AWS-Services. Im Allgemeinen werden AWS Servicekonsolen mit einer Mischung aus direkten Browseranfragen und Anfragen implementiert, an die die AWS-Managementkonsole Webserver weiterleiten. AWS-Services Diese Implementierungen können ohne vorherige Ankündigung geändert werden. Wenn Ihre Sicherheitsanforderungen den Zugriff AWS-Services auf VPC-Endpunkte beinhalten, empfehlen wir Ihnen, VPC-Endpunkte für alle Dienste zu konfigurieren, die Sie von VPC aus verwenden möchten, sei es direkt oder über Private Access. AWS-Managementkonsole Darüber hinaus müssen Sie in Ihren Richtlinien die `aws:SourceVpc` IAM-Bedingung verwenden und nicht bestimmte `aws:SourceVpce` Werte für die Private Access-Funktion. AWS-Managementkonsole Dieser Abschnitt enthält Einzelheiten zur Funktionsweise der verschiedenen Netzwerkpfade.
Nachdem sich ein Benutzer bei angemeldet hat AWS-Managementkonsole, stellt er Anfragen AWS-Services über eine Kombination aus direkten Browseranfragen und Anfragen, die von AWS-Managementkonsole Webservern an Server weitergeleitet werden. AWS Anfragen zu CloudWatch Grafikdaten werden beispielsweise direkt vom Browser aus gestellt. Einige Anfragen an die AWS Servicekonsole, wie Amazon S3, werden dagegen vom Webserver per Proxy an Amazon S3 weitergeleitet.
Bei direkten Browseranfragen ändert die Verwendung von AWS-Managementkonsole Private Access nichts. Wie zuvor erreicht die Anfrage den Services über den Netzwerkpfad, den die VPC für monitoring.region.amazonaws.com konfiguriert hat. Wenn die VPC mit einem VPC-Endpunkt für konfiguriert istcom.amazonaws.region.monitoring, wird die Anfrage CloudWatch über diesen CloudWatch VPC-Endpunkt erreicht. Wenn es keinen VPC-Endpunkt für gibt CloudWatch, erreicht CloudWatch die Anfrage ihren öffentlichen Endpunkt über ein Internet Gateway auf der VPC. Anfragen, die über den CloudWatch VPC-Endpunkt CloudWatch eingehen, haben die IAM-Bedingungen `aws:SourceVpc` und werden auf ihre jeweiligen Werte `aws:SourceVpce` gesetzt. Diejenigen, die CloudWatch den öffentlichen Endpunkt erreichen, werden auf die Quell-IP-Adresse der Anfrage `aws:SourceIp` eingestellt. Weitere Informationen über diese IAM-Bedingungsschlüssel finden Sie unter [Globale Bedingungsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc) im *IAM-Benutzerhandbuch*.
Für Anfragen, die vom AWS-Managementkonsole Webserver weitergeleitet werden, wie z. B. die Anfrage, die die Amazon S3 S3-Konsole stellt, um Ihre Buckets aufzulisten, wenn Sie die Amazon S3 S3-Konsole aufrufen, ist der Netzwerkpfad anders. Diese Anfragen werden nicht von Ihrer VPC initiiert und verwenden daher nicht den VPC-Endpunkt, den Sie möglicherweise auf Ihrer VPC für diesen Service konfiguriert haben. Selbst wenn Sie in diesem Fall einen VPC-Endpunkt für Amazon S3 haben, verwendet die Anforderung Ihrer Sitzung an Amazon S3, die Buckets aufzulisten, nicht den Amazon S3-VPC-Endpunkt. Wenn Sie AWS-Managementkonsole Private Access jedoch mit unterstützten Diensten verwenden, enthalten diese Anfragen (z. B. an Amazon S3) den `aws:SourceVpc` Bedingungsschlüssel in ihrem Anforderungskontext. Der `aws:SourceVpc` Bedingungsschlüssel wird auf die VPC-ID gesetzt, auf der Ihre AWS-Managementkonsole Private Access-Endpunkte für die Anmeldung und die Konsole bereitgestellt werden. Wenn Sie also `aws:SourceVpc`-Einschränkungen in Ihren identitätsbasierten Richtlinien verwenden, müssen Sie die VPC-ID dieser VPC hinzufügen, die die AWS-Managementkonsole Private Access-SignIn- und Konsolenendpunkte hostet. Die `aws:SourceVpce` Bedingung wird auf den jeweiligen Anmelde- oder Konsolen-VPC-Endpunkt festgelegt. IDs
**Anmerkung**
Wenn Ihre Benutzer Zugriff auf Servicekonsolen benötigen, die nicht von AWS-Managementkonsole Private Access unterstützt werden, müssen Sie eine Liste Ihrer erwarteten öffentlichen Netzwerkadressen (z. B. Ihren On-Premises-Netzwerkbereich) hinzufügen, indem Sie den `aws:SourceIP`-Bedingungsschlüssel in den identitätsbasierten Richtlinien der Benutzer verwenden.
## Wie sich unterschiedliche Netzwerkpfade widerspiegeln in CloudTrail
Verschiedene Netzwerkpfade, die von Ihnen generierten Anfragen verwendet wurden, AWS-Managementkonsole spiegeln sich in Ihrem CloudTrail Eventverlauf wider.
Bei direkten Browseranfragen ändert die Verwendung von AWS-Managementkonsole Private Access nichts. CloudTrail Ereignisse enthalten Details zur Verbindung, z. B. die VPC-Endpunkt-ID, die für den API-Aufruf des Dienstes verwendet wurde.
Bei Anfragen, die vom AWS-Managementkonsole Webserver als Proxy weitergeleitet werden, enthalten die CloudTrail Ereignisse keine VPC-bezogenen Details. Erste Anfragen, AWS-Anmeldung die für die Einrichtung der Browsersitzung erforderlich sind, wie z. B. der `AwsConsoleSignIn` Ereignistyp, enthalten jedoch die AWS-Anmeldung VPC-Endpunkt-ID in den Ereignisdetails.