View a markdown version of this page

Identidades de confianza - Consola de administración de AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Identidades de confianza

Con el acceso Consola de administración de AWS privado, puede restringir qué identidades organizativas Cuentas de AWS y qué identidades organizativas pueden usar Consola de administración de AWS desde su VPC. Esto impide el acceso desde cuentas personales y desde cuentas ajenas a su organización.

Cada uno de Consola de administración de AWS los puntos de enlace de AWS Sign-In VPC admite una política de puntos de enlace de VPC que controla la identidad de la cuenta que ha iniciado sesión. Las políticas se evalúan en el momento del inicio de sesión y se vuelven a evaluar periódicamente para las sesiones existentes.

  • Consola de administración de AWSPolíticas de puntos de conexión de VPC: restrinjan las identidades que han iniciado sesión a las que pueden acceder a través de este punto de conexión. Consola de administración de AWS Utilice las claves «Action: *Principal: *, «conaws:PrincipalOrgId» o «condicione». aws:PrincipalAccount

  • AWS Sign-InPolíticas de puntos de conexión de VPC (flujo de inicio de sesión): restringen quién puede iniciar sesión a Consola de administración de AWS través de este punto de conexión, con una evaluación independiente antes y después de validar las credenciales. Pre-authenticationbloquea los intentos de inicio de sesión antes de introducir las credenciales mediante. signin:Authenticate Post-authenticationvalida la sesión una vez aceptadas las credenciales y durante el intercambio del token de OAuth, utilizando y. signin:AuthorizeOAuth2Access signin:CreateOAuth2Token

  • AWS Sign-InPolíticas de puntos finales de VPC (flujo de registro): controla si se puede acceder al flujo de registro de AWS cuentas desde tu red privada. Soporta la acción con una denegación signin:CreateAccount implícita.

Los siguientes ejemplos muestran cómo restringir el acceso por cuenta u organización. Aplica restricciones equivalentes tanto a tus puntos de Consola de administración de AWS conexión como a los de AWS Sign-In VPC, utilizando el formato de política adecuado para cada punto de conexión.

nota

Los siguientes ejemplos son políticas de referencia únicamente a modo ilustrativo. Para los entornos de producción, utilice los ejemplos completos de políticas perimetrales de datos del repositorio aws- samples/data -perimeter-policy-examples, como el SCP perimetral de red.

Consola de administración de AWSEjemplos de terminales de VPC

Ejemplo: permita solo las cuentas de su organización

Esta política de puntos finales de Consola de administración de AWS VPC permite el acceso a Cuentas de AWS la AWS organización especificada y bloquea cualquier otra cuenta.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgId": "o-xxxxxxxxxxx" } } } ] }
Ejemplo: permitir solo cuentas específicas

Esta política de puntos finales de Consola de administración de AWS VPC limita el acceso a una lista de cuentas específicas Cuentas de AWS y bloquea cualquier otra cuenta.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalAccount": [ "111122223333", "222233334444" ] } } } ] }

AWS Sign-InEjemplos de terminales de VPC

El punto final de la AWS Sign-In VPC requiere políticas con Sign-In acciones específicas y claves de condición adecuadas para cada fase de autenticación:

  • Pre-authentication fase: se evalúa antes de establecer la identidad del usuario. Solo están disponibles las claves de condición basadas en recursos, ya que aún no se conoce la información principal.

    • Acción compatible: signin:Authenticate

    • Claves de condición compatibles: aws:ResourceOrgId o aws:ResourceAccount

  • Post-authentication fase: se evalúa después de la autenticación cuando el servicio de inicio de sesión emite las credenciales de sesión. La información principal completa está disponible.

    • Acciones apoyadas:signin:AuthorizeOAuth2Access, signin:CreateOAuth2Token

    • Claves de condición compatibles: aws:PrincipalOrgId oaws:PrincipalAccount,aws:ResourceOrgId, aws:ResourceAccount

Ejemplo: permite el inicio de sesión solo para las cuentas de tu organización

Esta política de puntos finales de la AWS Sign-In VPC utiliza declaraciones de acciones específicas para permitir el inicio de sesión en la AWS organización especificada Cuentas de AWS en las fases previa y posterior a la autenticación.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "PreAuthOrgRestriction", "Effect": "Allow", "Principal": "*", "Action": "signin:Authenticate", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceOrgID": "o-xxxxxxxxxxx" } } }, { "Sid": "PostAuthOrgRestriction", "Effect": "Allow", "Principal": "*", "Action": [ "signin:AuthorizeOAuth2Access", "signin:CreateOAuth2Token" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgId": "o-xxxxxxxxxxx" } } } ] }
Ejemplo: permitir el inicio de sesión solo para cuentas específicas

Esta política de puntos finales de la AWS Sign-In VPC utiliza declaraciones de acciones específicas para limitar el inicio de sesión a una lista de específicas Cuentas de AWS en las fases previa y posterior a la autenticación.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "PreAuthAccountRestriction", "Effect": "Allow", "Principal": "*", "Action": "signin:Authenticate", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": [ "123456789012", "210987654321" ] } } }, { "Sid": "PostAuthAccountRestriction", "Effect": "Allow", "Principal": "*", "Action": [ "signin:AuthorizeOAuth2Access", "signin:CreateOAuth2Token" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalAccount": [ "123456789012", "210987654321" ] } } } ] }
Controlar los flujos de registro de cuentas

La signin:CreateAccount acción controla si se puede acceder al flujo de registro de la AWS cuenta desde tu red privada. Esta acción utiliza un principal anónimo (no existe ninguna cuenta durante el registro) y no admite claves de condición.

Cuando se utiliza el formato de política de puntos finales de la AWS Sign-In VPC, el flujo de registro se bloquea mediante una denegación implícita, a menos que lo permitas explícitamente. Si su organización requiere el registro de una cuenta desde la red privada, añada la siguiente declaración a su política de puntos finales de AWS Sign-In VPC:

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "AllowAccountSignup", "Effect": "Allow", "Principal": "*", "Action": "signin:CreateAccount", "Resource": "*" } ] }

Página de error de acceso denegado

Si se conecta con una identidad que no pertenece a su cuenta, aparecerá el error «Su cuenta no tiene permiso para usar el acceso privado de AWS Management Console». La siguiente captura de pantalla muestra la página de error de acceso denegado.

La página de error con un mensaje que indica que no tienes permiso para usar el acceso Consola de administración de AWS privado.

Permitir el inicio de sesión: políticas de control del servicio

Si su AWS organización utiliza una política de control de servicios (SCP) que permite servicios específicos, debe signin:* añadir más acciones permitidas. Este permiso es necesario porque al iniciar sesión a Consola de administración de AWS través de un punto final de VPC de acceso privado se produce una autorización de IAM que el SCP bloquea sin el permiso. A modo de ejemplo, la siguiente política de control de servicios permite utilizar Amazon EC2 y sus CloudWatch servicios en la organización, incluso cuando se accede a ellos mediante un punto final de acceso Consola de administración de AWS privado.

{ "Effect": "Allow", "Action": [ "signin:*", "ec2:*", "cloudwatch:*", ... Other services allowed }, "Resource": "*" }

Para obtener más información acerca de las SCP, consulte Políticas de control de servicios (SCP) en la Guía del usuario de AWS Organizations.