Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Identitas tepercaya
Dengan Konsol Manajemen AWS Private Access, Anda dapat membatasi identitas mana Akun AWS dan organisasi yang dapat menggunakan Konsol Manajemen AWS dari dalam VPC Anda. Ini mencegah akses dari akun pribadi dan dari akun di luar organisasi Anda.
Titik akhir Konsol Manajemen AWS dan AWS Sign-In VPC masing-masing mendukung kebijakan titik akhir VPC yang mengontrol identitas akun yang masuk. Kebijakan dievaluasi pada saat login dan dievaluasi ulang secara berkala untuk sesi yang ada.
-
Konsol Manajemen AWSKebijakan titik akhir VPC — Batasi identitas masuk mana yang dapat mengakses melalui titik akhir ini. Konsol Manajemen AWS Gunakan
Action: *danPrincipal: *, denganaws:PrincipalOrgIdatau tombolaws:PrincipalAccountkondisi. -
AWS Sign-InKebijakan titik akhir VPC (alur masuk) — Batasi siapa yang dapat masuk Konsol Manajemen AWS melalui titik akhir ini, dengan evaluasi terpisah sebelum dan sesudah kredensyal divalidasi. Pre-authenticationmemblokir upaya masuk sebelum kredensional dimasukkan, menggunakan.
signin:AuthenticatePost-authenticationmemvalidasi sesi setelah kredensil diterima dan selama pertukaran token OAuth, menggunakan dan.signin:AuthorizeOAuth2Accesssignin:CreateOAuth2Token -
AWS Sign-InKebijakan titik akhir VPC (alur pendaftaran) — Kontrol apakah alur pendaftaran AWS akun dapat diakses dari dalam jaringan pribadi Anda. Mendukung
signin:CreateAccounttindakan dengan penolakan implisit.
Contoh berikut menunjukkan cara membatasi akses berdasarkan akun atau organisasi. Terapkan batasan yang setara untuk titik akhir Anda Konsol Manajemen AWS dan AWS Sign-In VPC, menggunakan format kebijakan yang sesuai untuk setiap titik akhir.
Topik
catatan
Konsol Manajemen AWSContoh titik akhir VPC
Contoh: Izinkan hanya akun di organisasi Anda
Kebijakan titik akhir Konsol Manajemen AWS VPC ini memungkinkan akses untuk Akun AWS dalam AWS organisasi tertentu dan memblokir akun lainnya.
Contoh: Izinkan hanya akun tertentu
Kebijakan titik akhir Konsol Manajemen AWS VPC ini membatasi akses ke daftar spesifik Akun AWS dan memblokir akun lainnya.
AWS Sign-InContoh titik akhir VPC
Titik akhir AWS Sign-In VPC memerlukan kebijakan dengan Sign-In tindakan dan kunci kondisi tertentu yang sesuai untuk setiap fase otentikasi:
-
Pre-authentication fase - Dievaluasi sebelum identitas pengguna ditetapkan. Hanya kunci kondisi berbasis sumber daya yang tersedia, karena informasi utama belum diketahui.
-
Tindakan yang didukung:
signin:Authenticate -
Kunci kondisi yang didukung:
aws:ResourceOrgIdatauaws:ResourceAccount
-
-
Post-authentication fase - Dievaluasi setelah otentikasi ketika layanan masuk mengeluarkan kredensi sesi. Informasi pokok lengkap tersedia.
-
Tindakan yang didukung:
signin:AuthorizeOAuth2Access,signin:CreateOAuth2Token -
Kunci kondisi yang didukung:
aws:PrincipalOrgIdatauaws:PrincipalAccount,aws:ResourceOrgId,aws:ResourceAccount
-
Contoh: Izinkan login hanya untuk akun di organisasi Anda
Kebijakan titik akhir AWS Sign-In VPC ini menggunakan pernyataan khusus tindakan untuk memungkinkan login di AWS organisasi tertentu pada fase pra-otentikasi dan Akun AWS pasca-otentikasi.
Contoh: Izinkan masuk hanya untuk akun tertentu
Kebijakan titik akhir AWS Sign-In VPC ini menggunakan pernyataan khusus tindakan untuk membatasi proses masuk ke daftar spesifik Akun AWS pada fase pra-otentikasi dan pasca-otentikasi.
Mengontrol alur pendaftaran akun
signin:CreateAccountTindakan mengontrol apakah alur pendaftaran AWS akun dapat diakses dari dalam jaringan pribadi Anda. Tindakan ini menggunakan prinsipal anonim (tidak ada akun selama pendaftaran) dan tidak mendukung kunci kondisi.
Saat menggunakan format kebijakan titik akhir AWS Sign-In VPC, alur pendaftaran diblokir oleh penolakan implisit kecuali Anda mengizinkannya secara eksplisit. Jika organisasi Anda memerlukan pendaftaran akun dari dalam jaringan pribadi, tambahkan pernyataan berikut ke kebijakan titik akhir AWS Sign-In VPC Anda:
Akses halaman kesalahan ditolak
Jika Anda terhubung dengan identitas yang bukan milik akun Anda, Anda akan melihat kesalahan “Akun Anda tidak memiliki izin untuk menggunakan AWS Management Console Private Access”. Tangkapan layar berikut menunjukkan halaman kesalahan akses ditolak.
Mengizinkan masuk dalam kebijakan kontrol layanan
Jika AWS organisasi Anda menggunakan kebijakan kontrol layanan (SCP) yang memungkinkan layanan tertentu, Anda signin:* harus menambahkan tindakan yang diizinkan. Izin ini diperlukan karena masuk ke Konsol Manajemen AWS melalui titik akhir VPC Akses Pribadi melakukan otorisasi IAM yang diblokir SCP tanpa izin. Sebagai contoh, kebijakan kontrol layanan berikut memungkinkan Amazon EC2 dan CloudWatch layanan untuk digunakan dalam organisasi, termasuk saat diakses menggunakan titik akhir Akses Konsol Manajemen AWS Pribadi.
{ "Effect": "Allow", "Action": [ "signin:*", "ec2:*", "cloudwatch:*", ... Other services allowed }, "Resource": "*" }
Untuk informasi selengkapnya tentang SCP, lihat Kebijakan kontrol layanan (SCP) dalam Panduan Pengguna AWS Organizations.