Implementación de políticas basadas en identidad y otros tipos de políticas

Puede administrar el acceso en AWS creando políticas y asignándoselas a identidades de IAM (usuarios, grupos de usuarios o roles) o a recursos de AWS. En esta página, se describe cómo funcionan las políticas cuando se usan junto con Consola de administración de AWS Private Access.

Claves de contexto de condición global de AWS admitidas

Consola de administración de AWS Private Access no admite las claves de contexto de condición global de AWS aws:SourceVpce y aws:VpcSourceIp. En su lugar, puede utilizar la condición de IAM aws:SourceVpc en sus políticas cuando utilice Consola de administración de AWS Private Access.

Cómo funciona Consola de administración de AWS Private Access con aws:SourceVpc

En esta sección, se describen las distintas rutas de red que las solicitudes que genera la Consola de administración de AWS pueden tomar para llegar a los Servicios de AWS. En general, las consolas de servicio de AWS se implementan con una combinación de solicitudes directas del navegador y solicitudes que los servidores web de Consola de administración de AWS envían mediante proxy a los Servicios de AWS. Estas implementaciones están sujetas a cambios sin previo aviso. Si los requisitos de seguridad incluyen el acceso a los Servicios de AWS mediante puntos de conexión de VPC, le recomendamos que configure los puntos de conexión de VPC para todos los servicios que vaya a utilizar desde la VPC, ya sea directamente o a través de Consola de administración de AWS Private Access. Además, debe utilizar la condición de IAM aws:SourceVpc en sus políticas en lugar de valores de aws:SourceVpce específicos con la característica Consola de administración de AWS Private Access. En esta sección, se proporcionan detalles sobre cómo funcionan las diferentes rutas de red.

Una vez que un usuario inicia sesión en la Consola de administración de AWS, realiza solicitudes a los Servicios de AWS mediante una combinación de solicitudes directas del navegador y solicitudes que los servidores web de la Consola de administración de AWS envían mediante proxy a los servidores de AWS. Por ejemplo, las solicitudes de datos gráficos de CloudWatch se realizan directamente desde el navegador. Por otra parte, algunas solicitudes de la consola de servicio de AWS, como Amazon S3, se envían desde el servidor web a Amazon S3 mediante proxy.

Para las solicitudes directas del navegador, el uso de Consola de administración de AWS Private Access no cambia nada. Como antes, la solicitud llega al servicio a través de cualquier ruta de red para la que la VPC esté configurada para llegar a monitoring.region.amazonaws.com. Si la VPC está configurada con un punto de conexión de VPC para com.amazonaws.region.monitoring, la solicitud llegará a CloudWatch a través de ese punto de conexión de VPC de CloudWatch. Si no hay un punto de conexión de VPC para CloudWatch, la solicitud llegará a CloudWatch en su punto de conexión público a través de una puerta de enlace de Internet en la VPC. Las solicitudes que lleguen a CloudWatch a través del punto de conexión de VPC de CloudWatch tendrán configuradas las condiciones de IAM aws:SourceVpc y aws:SourceVpce en sus valores correspondientes. Las personas que accedan a CloudWatch a través de su punto de conexión público tendrán aws:SourceIp configurado en la dirección IP de origen de la solicitud. Para obtener más información sobre estas claves de condición de IAM, consulte Claves de condición global en la Guía del usuario de IAM.

En el caso de las solicitudes que el servidor web de Consola de administración de AWS envía mediante proxy, como la solicitud que realiza la consola de Amazon S3 para enumerar sus buckets cuando visita la consola de Amazon S3, la ruta de red es diferente. Estas solicitudes no se inician desde la VPC y, por lo tanto, no utilizan el punto de conexión de VPC que es posible que haya configurado en la VPC para ese servicio. Incluso si, en este caso, tiene un punto de conexión de VPC para Amazon S3, la solicitud de su sesión a Amazon S3 para enumerar los buckets no utiliza el punto de conexión de VPC de Amazon S3. Sin embargo, cuando utilice Consola de administración de AWS Private Access con los servicios admitidos, estas solicitudes (por ejemplo, a Amazon S3) incluirán la clave de condición aws:SourceVpc en el contexto de la solicitud. La clave de condición aws:SourceVpc se establecerá en el ID de la VPC en la que estén implementados los puntos de conexión de Consola de administración de AWS Private Access para el inicio de sesión y la consola. Por lo tanto, si utiliza restricciones aws:SourceVpc en sus políticas basadas en identidad, debe añadir el ID de esta VPC que aloja los puntos de conexión de consola y de inicio de sesión de Consola de administración de AWS Private Access. La condición aws:SourceVpce se establecerá en los respectivos ID de punto de conexión de VPC de la consola o el inicio de sesión.

Cómo se reflejan las diferentes rutas de red en CloudTrail

Las diferentes rutas de red utilizadas por las solicitudes generadas por su Consola de administración de AWS se reflejan en su historial de eventos de CloudTrail.

Para las solicitudes directas del navegador, el uso de Consola de administración de AWS Private Access no cambia nada. Los eventos de CloudTrail incluirán detalles sobre la conexión, como el ID de punto de conexión de VPC que se usó para realizar la llamada a la API del servicio.

En el caso de las solicitudes enviadas por proxy por el servidor web de Consola de administración de AWS, los eventos de CloudTrail no incluirán ningún detalle relacionado con la VPC. Sin embargo, las solicitudes iniciales a AWS Sign-In necesarias para establecer la sesión del navegador, como el tipo de evento AwsConsoleSignIn, incluirán el ID del punto de conexión de VPC de AWS Sign-In en los detalles del evento.