Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Implementación de políticas de control de servicio y políticas de punto de conexión de VPC
Puede usar políticas de control de servicios (SCPs) y políticas de puntos de conexión de VPC para el acceso Consola de administración de AWS privado a fin de limitar el conjunto de cuentas que pueden usar la Consola de administración de AWS VPC y sus redes locales conectadas.
**Topics**
+ [Uso del acceso Consola de administración de AWS privado con AWS Organizations políticas de control de servicios](private-access-with-SCPs.md)
+ [Permita Consola de administración de AWS su uso únicamente para las cuentas y organizaciones esperadas (identidades de confianza)](account-identity.md)
# Uso del acceso Consola de administración de AWS privado con AWS Organizations políticas de control de servicios
Si su AWS organización utiliza una política de control de servicios (SCP) que permite servicios específicos, debe `signin:*` aumentar las acciones permitidas. Este permiso es necesario porque al iniciar sesión a Consola de administración de AWS través de un punto final de VPC de acceso privado se produce una autorización de IAM que el SCP bloquea sin el permiso. A modo de ejemplo, la siguiente política de control de servicios permite utilizar Amazon EC2 y sus CloudWatch servicios en la organización, incluso cuando se accede a ellos mediante un punto final de acceso Consola de administración de AWS privado.
```
{
"Effect": "Allow",
"Action": [
"signin:*",
"ec2:*",
"cloudwatch:*",
... Other services allowed
},
"Resource": "*"
}
```
Para obtener más información SCPs, consulte [las políticas de control de servicios (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del AWS Organizations usuario*.
# Permita Consola de administración de AWS su uso únicamente para las cuentas y organizaciones esperadas (identidades de confianza)
Consola de administración de AWS y AWS Sign-In admiten una política de puntos finales de VPC que controle específicamente la identidad de la cuenta en la que se ha iniciado sesión.
A diferencia de otras políticas de punto de conexión de VPC, la política se evalúa antes de la autenticación. Como resultado, controla específicamente el inicio de sesión y el uso únicamente de la sesión autenticada, y no las acciones específicas del AWS servicio que lleve a cabo la sesión. Por ejemplo, cuando la sesión accede a una consola de AWS servicio, como la consola de Amazon EC2, estas políticas de punto final de VPC no se evaluarán en función de las acciones de Amazon EC2 que se tomen para mostrar esa página. En su lugar, puede utilizar las políticas de IAM asociadas al director de IAM que ha iniciado sesión para controlar sus permisos para realizar acciones. AWS
**nota**
Las políticas de puntos finales de VPC y los puntos finales de Consola de administración de AWS SignIn VPC solo admiten un subconjunto limitado de formulaciones de políticas. Cada `Principal` y `Resource` se debe establecer a `*` y la `Action` debe ser `*` o `signin:*`. El acceso a los puntos de conexión de VPC se controla mediante las claves de condición `aws:PrincipalOrgId` y `aws:PrincipalAccount`.
Se recomiendan las siguientes políticas para los puntos finales de la consola y de la SignIn VPC.
Esta política de punto final de VPC permite iniciar sesión Cuentas de AWS en la AWS organización especificada y bloquea el inicio de sesión en cualquier otra cuenta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgId": "o-xxxxxxxxxxx"
}
}
}
]
}
```
------
Esta política de puntos finales de VPC limita el inicio de sesión a una lista de cuentas específicas Cuentas de AWS y bloquea el inicio de sesión en cualquier otra cuenta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": [ "111122223333", "222233334444" ]
}
}
}
]
}
```
------
Las políticas que limitan Cuentas de AWS una organización en los puntos finales de la VPC Consola de administración de AWS y de inicio de sesión se evalúan en el momento del inicio de sesión y se vuelven a evaluar periódicamente para las sesiones existentes.