View a markdown version of this page

Identitas tepercaya - Konsol Manajemen AWS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Identitas tepercaya

Dengan Konsol Manajemen AWS Private Access, Anda dapat membatasi identitas mana Akun AWS dan organisasi yang dapat menggunakan Konsol Manajemen AWS dari dalam VPC Anda. Ini mencegah akses dari akun pribadi dan dari akun di luar organisasi Anda.

Titik akhir Konsol Manajemen AWS dan AWS Sign-In VPC masing-masing mendukung kebijakan titik akhir VPC yang mengontrol identitas akun yang masuk. Kebijakan dievaluasi pada saat login dan dievaluasi ulang secara berkala untuk sesi yang ada.

  • Konsol Manajemen AWSKebijakan titik akhir VPC — Batasi identitas masuk mana yang dapat mengakses melalui titik akhir ini. Konsol Manajemen AWS Gunakan Action: * danPrincipal: *, dengan aws:PrincipalOrgId atau tombol aws:PrincipalAccount kondisi.

  • AWS Sign-InKebijakan titik akhir VPC (alur masuk) — Batasi siapa yang dapat masuk Konsol Manajemen AWS melalui titik akhir ini, dengan evaluasi terpisah sebelum dan sesudah kredensyal divalidasi. Pre-authenticationmemblokir upaya masuk sebelum kredensional dimasukkan, menggunakan. signin:Authenticate Post-authenticationmemvalidasi sesi setelah kredensil diterima dan selama pertukaran token OAuth, menggunakan dan. signin:AuthorizeOAuth2Access signin:CreateOAuth2Token

  • AWS Sign-InKebijakan titik akhir VPC (alur pendaftaran) — Kontrol apakah alur pendaftaran AWS akun dapat diakses dari dalam jaringan pribadi Anda. Mendukung signin:CreateAccount tindakan dengan penolakan implisit.

Contoh berikut menunjukkan cara membatasi akses berdasarkan akun atau organisasi. Terapkan batasan yang setara untuk titik akhir Anda Konsol Manajemen AWS dan AWS Sign-In VPC, menggunakan format kebijakan yang sesuai untuk setiap titik akhir.

catatan

Contoh berikut adalah kebijakan referensi untuk ilustrasi saja. Untuk lingkungan produksi, gunakan contoh kebijakan perimeter data yang komprehensif di repositori aws- samples/data -perimeter-policy-examples, seperti SCP perimeter jaringan.

Konsol Manajemen AWSContoh titik akhir VPC

Contoh: Izinkan hanya akun di organisasi Anda

Kebijakan titik akhir Konsol Manajemen AWS VPC ini memungkinkan akses untuk Akun AWS dalam AWS organisasi tertentu dan memblokir akun lainnya.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgId": "o-xxxxxxxxxxx" } } } ] }
Contoh: Izinkan hanya akun tertentu

Kebijakan titik akhir Konsol Manajemen AWS VPC ini membatasi akses ke daftar spesifik Akun AWS dan memblokir akun lainnya.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalAccount": [ "111122223333", "222233334444" ] } } } ] }

AWS Sign-InContoh titik akhir VPC

Titik akhir AWS Sign-In VPC memerlukan kebijakan dengan Sign-In tindakan dan kunci kondisi tertentu yang sesuai untuk setiap fase otentikasi:

  • Pre-authentication fase - Dievaluasi sebelum identitas pengguna ditetapkan. Hanya kunci kondisi berbasis sumber daya yang tersedia, karena informasi utama belum diketahui.

    • Tindakan yang didukung: signin:Authenticate

    • Kunci kondisi yang didukung: aws:ResourceOrgId atau aws:ResourceAccount

  • Post-authentication fase - Dievaluasi setelah otentikasi ketika layanan masuk mengeluarkan kredensi sesi. Informasi pokok lengkap tersedia.

    • Tindakan yang didukung:signin:AuthorizeOAuth2Access, signin:CreateOAuth2Token

    • Kunci kondisi yang didukung: aws:PrincipalOrgId atauaws:PrincipalAccount,aws:ResourceOrgId, aws:ResourceAccount

Contoh: Izinkan login hanya untuk akun di organisasi Anda

Kebijakan titik akhir AWS Sign-In VPC ini menggunakan pernyataan khusus tindakan untuk memungkinkan login di AWS organisasi tertentu pada fase pra-otentikasi dan Akun AWS pasca-otentikasi.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "PreAuthOrgRestriction", "Effect": "Allow", "Principal": "*", "Action": "signin:Authenticate", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceOrgID": "o-xxxxxxxxxxx" } } }, { "Sid": "PostAuthOrgRestriction", "Effect": "Allow", "Principal": "*", "Action": [ "signin:AuthorizeOAuth2Access", "signin:CreateOAuth2Token" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgId": "o-xxxxxxxxxxx" } } } ] }
Contoh: Izinkan masuk hanya untuk akun tertentu

Kebijakan titik akhir AWS Sign-In VPC ini menggunakan pernyataan khusus tindakan untuk membatasi proses masuk ke daftar spesifik Akun AWS pada fase pra-otentikasi dan pasca-otentikasi.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "PreAuthAccountRestriction", "Effect": "Allow", "Principal": "*", "Action": "signin:Authenticate", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": [ "123456789012", "210987654321" ] } } }, { "Sid": "PostAuthAccountRestriction", "Effect": "Allow", "Principal": "*", "Action": [ "signin:AuthorizeOAuth2Access", "signin:CreateOAuth2Token" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalAccount": [ "123456789012", "210987654321" ] } } } ] }
Mengontrol alur pendaftaran akun

signin:CreateAccountTindakan mengontrol apakah alur pendaftaran AWS akun dapat diakses dari dalam jaringan pribadi Anda. Tindakan ini menggunakan prinsipal anonim (tidak ada akun selama pendaftaran) dan tidak mendukung kunci kondisi.

Saat menggunakan format kebijakan titik akhir AWS Sign-In VPC, alur pendaftaran diblokir oleh penolakan implisit kecuali Anda mengizinkannya secara eksplisit. Jika organisasi Anda memerlukan pendaftaran akun dari dalam jaringan pribadi, tambahkan pernyataan berikut ke kebijakan titik akhir AWS Sign-In VPC Anda:

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "AllowAccountSignup", "Effect": "Allow", "Principal": "*", "Action": "signin:CreateAccount", "Resource": "*" } ] }

Akses halaman kesalahan ditolak

Jika Anda terhubung dengan identitas yang bukan milik akun Anda, Anda akan melihat kesalahan “Akun Anda tidak memiliki izin untuk menggunakan AWS Management Console Private Access”. Tangkapan layar berikut menunjukkan halaman kesalahan akses ditolak.

Halaman kesalahan dengan pesan yang menunjukkan bahwa Anda tidak memiliki izin untuk menggunakan Akses Konsol Manajemen AWS Pribadi.

Mengizinkan masuk dalam kebijakan kontrol layanan

Jika AWS organisasi Anda menggunakan kebijakan kontrol layanan (SCP) yang memungkinkan layanan tertentu, Anda signin:* harus menambahkan tindakan yang diizinkan. Izin ini diperlukan karena masuk ke Konsol Manajemen AWS melalui titik akhir VPC Akses Pribadi melakukan otorisasi IAM yang diblokir SCP tanpa izin. Sebagai contoh, kebijakan kontrol layanan berikut memungkinkan Amazon EC2 dan CloudWatch layanan untuk digunakan dalam organisasi, termasuk saat diakses menggunakan titik akhir Akses Konsol Manajemen AWS Pribadi.

{ "Effect": "Allow", "Action": [ "signin:*", "ec2:*", "cloudwatch:*", ... Other services allowed }, "Resource": "*" }

Untuk informasi selengkapnya tentang SCP, lihat Kebijakan kontrol layanan (SCP) dalam Panduan Pengguna AWS Organizations.