Permita el uso de la Consola de administración de AWS solo a cuentas y organizaciones esperadas (identidades de confianza) - Consola de administración de AWS

Permita el uso de la Consola de administración de AWS solo a cuentas y organizaciones esperadas (identidades de confianza)

Consola de administración de AWS y AWS Sign-In admiten una política de punto de conexión de VPC que controla específicamente la identidad de la cuenta con la que se ha iniciado sesión.

A diferencia de otras políticas de punto de conexión de VPC, la política se evalúa antes de la autenticación. Como resultado, controla específicamente el inicio de sesión y el uso de la sesión autenticada únicamente, y no las acciones de AWS específicas del servicio que realice la sesión. Por ejemplo, cuando la sesión acceda a una consola de servicio de AWS, como la consola de Amazon EC2, estas políticas de punto de conexión de VPC no se evaluarán en función de las acciones de Amazon EC2 que se realicen para mostrar esa página. En su lugar, puede utilizar las políticas de IAM asociadas a la entidad principal de IAM que haya iniciado sesión para controlar su permiso para realizar acciones del servicio de AWS.

nota

Las políticas de punto de conexión de VPC para los puntos de conexión de VPC de inicio de sesión y de la Consola de administración de AWS solo admiten un subconjunto limitado de formulaciones de políticas. Cada Principal y Resource se debe establecer a * y la Action debe ser *signin:*. El acceso a los puntos de conexión de VPC se controla mediante las claves de condición aws:PrincipalOrgId y aws:PrincipalAccount.

Se recomiendan las siguientes políticas para los puntos de conexión de VPC tanto de consola como de inicio de sesión.

Esta política de puntos de conexión de VPC permite iniciar sesión en Cuentas de AWS de la organización de AWS especificada y bloquea el inicio de sesión en cualquier otra cuenta.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}

Esta política de puntos de conexión de VPC permite iniciar sesión en una lista de Cuentas de AWS específicas y bloquea el inicio de sesión en cualquier otra cuenta.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "111122223333", "222233334444" ]
        }
      }
    }
  ]
}

Las políticas que limitan Cuentas de AWS o una organización en los puntos de conexión de VPC de inicio de sesión y de la Consola de administración de AWS se evalúan en el momento del inicio de sesión y se vuelven a evaluar periódicamente para las sesiones existentes.