

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Identitas tepercaya
<a name="trusted-identities"></a><a name="account-identity"></a>

Dengan Konsol Manajemen AWS Private Access, Anda dapat membatasi identitas mana Akun AWS dan organisasi yang dapat menggunakan Konsol Manajemen AWS dari dalam VPC Anda. Ini mencegah akses dari akun pribadi dan dari akun di luar organisasi Anda.

Titik akhir Konsol Manajemen AWS dan AWS Sign-In VPC masing-masing mendukung kebijakan titik akhir VPC yang mengontrol identitas akun yang masuk. Kebijakan dievaluasi pada saat login dan dievaluasi ulang secara berkala untuk sesi yang ada.
+ **Konsol Manajemen AWSKebijakan titik akhir VPC** — Batasi identitas masuk mana yang dapat mengakses melalui titik akhir ini. Konsol Manajemen AWS Gunakan `Action: *` dan`Principal: *`, dengan `aws:PrincipalOrgId` atau tombol `aws:PrincipalAccount` kondisi.
+ **AWS Sign-InKebijakan titik akhir VPC (alur masuk)** — Batasi siapa yang dapat masuk Konsol Manajemen AWS melalui titik akhir ini, dengan evaluasi terpisah sebelum dan sesudah kredensyal divalidasi. **Pre-authentication**memblokir upaya masuk sebelum kredensional dimasukkan, menggunakan. `signin:Authenticate` **Post-authentication**memvalidasi sesi setelah kredensil diterima dan selama pertukaran token OAuth, menggunakan dan. `signin:AuthorizeOAuth2Access` `signin:CreateOAuth2Token`
+ **AWS Sign-InKebijakan titik akhir VPC (alur pendaftaran) — Kontrol apakah alur** pendaftaran AWS akun dapat diakses dari dalam jaringan pribadi Anda. Mendukung `signin:CreateAccount` tindakan dengan penolakan implisit.

Contoh berikut menunjukkan cara membatasi akses berdasarkan akun atau organisasi. Terapkan batasan yang setara untuk titik akhir Anda Konsol Manajemen AWS dan AWS Sign-In VPC, menggunakan format kebijakan yang sesuai untuk setiap titik akhir.

**Topics**
+ [Konsol Manajemen AWSContoh titik akhir VPC](#console-vpc-endpoint-examples)
+ [AWS Sign-InContoh titik akhir VPC](#signin-vpc-endpoint-examples)
+ [Akses halaman kesalahan ditolak](#access-denied-error)
+ [Mengizinkan masuk dalam kebijakan kontrol layanan](#private-access-with-SCPs)

**catatan**  
Contoh berikut adalah kebijakan referensi untuk ilustrasi saja. [Untuk lingkungan produksi, gunakan contoh kebijakan perimeter data yang komprehensif di repositori [aws- samples/data -perimeter-policy-examples](https://github.com/aws-samples/data-perimeter-policy-examples), seperti SCP perimeter jaringan.](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_control_policies/network_perimeter_sourcevpc_scp.json)

## Konsol Manajemen AWSContoh titik akhir VPC
<a name="console-vpc-endpoint-examples"></a>

**Contoh: Izinkan hanya akun di organisasi Anda**  
Kebijakan titik akhir Konsol Manajemen AWS VPC ini memungkinkan akses untuk Akun AWS dalam AWS organisasi tertentu dan memblokir akun lainnya.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}
```

------

**Contoh: Izinkan hanya akun tertentu**  
Kebijakan titik akhir Konsol Manajemen AWS VPC ini membatasi akses ke daftar spesifik Akun AWS dan memblokir akun lainnya.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "111122223333", "222233334444" ]
        }
      }
    }
  ]
}
```

------

## AWS Sign-InContoh titik akhir VPC
<a name="signin-vpc-endpoint-examples"></a>

Titik akhir AWS Sign-In VPC memerlukan kebijakan dengan Sign-In tindakan dan kunci kondisi tertentu yang sesuai untuk setiap fase otentikasi:
+ **Pre-authentication fase** - Dievaluasi sebelum identitas pengguna ditetapkan. Hanya kunci kondisi berbasis sumber daya yang tersedia, karena informasi utama belum diketahui.
  + Tindakan yang didukung: `signin:Authenticate`
  + Kunci kondisi yang didukung: `aws:ResourceOrgId` atau `aws:ResourceAccount`
+ **Post-authentication fase** - Dievaluasi setelah otentikasi ketika layanan masuk mengeluarkan kredensi sesi. Informasi pokok lengkap tersedia.
  + Tindakan yang didukung:`signin:AuthorizeOAuth2Access`, `signin:CreateOAuth2Token`
  + Kunci kondisi yang didukung: `aws:PrincipalOrgId` atau`aws:PrincipalAccount`,`aws:ResourceOrgId`, `aws:ResourceAccount`

**Contoh: Izinkan login hanya untuk akun di organisasi Anda**  
Kebijakan titik akhir AWS Sign-In VPC ini menggunakan pernyataan khusus tindakan untuk memungkinkan login di AWS organisasi tertentu pada fase pra-otentikasi dan Akun AWS pasca-otentikasi.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreAuthOrgRestriction",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "signin:Authenticate",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceOrgID": "o-xxxxxxxxxxx"
        }
      }
    },
    {
      "Sid": "PostAuthOrgRestriction",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "signin:AuthorizeOAuth2Access",
        "signin:CreateOAuth2Token"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}
```

------

**Contoh: Izinkan masuk hanya untuk akun tertentu**  
Kebijakan titik akhir AWS Sign-In VPC ini menggunakan pernyataan khusus tindakan untuk membatasi proses masuk ke daftar spesifik Akun AWS pada fase pra-otentikasi dan pasca-otentikasi.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreAuthAccountRestriction",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "signin:Authenticate",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": [ "123456789012", "210987654321" ]
        }
      }
    },
    {
      "Sid": "PostAuthAccountRestriction",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "signin:AuthorizeOAuth2Access",
        "signin:CreateOAuth2Token"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "123456789012", "210987654321" ]
        }
      }
    }
  ]
}
```

------

**Mengontrol alur pendaftaran akun**  
`signin:CreateAccount`Tindakan mengontrol apakah alur pendaftaran AWS akun dapat diakses dari dalam jaringan pribadi Anda. Tindakan ini menggunakan prinsipal anonim (tidak ada akun selama pendaftaran) dan tidak mendukung kunci kondisi.

Saat menggunakan format kebijakan titik akhir AWS Sign-In VPC, alur pendaftaran diblokir oleh penolakan implisit kecuali Anda mengizinkannya secara eksplisit. Jika organisasi Anda memerlukan pendaftaran akun dari dalam jaringan pribadi, tambahkan pernyataan berikut ke kebijakan titik akhir AWS Sign-In VPC Anda:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccountSignup",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "signin:CreateAccount",
      "Resource": "*"
    }
  ]
}
```

------

## Akses halaman kesalahan ditolak
<a name="access-denied-error"></a>

Jika Anda terhubung dengan identitas yang bukan milik akun Anda, Anda akan melihat kesalahan “Akun Anda tidak memiliki izin untuk menggunakan AWS Management Console Private Access”. Tangkapan layar berikut menunjukkan halaman kesalahan akses ditolak.

![Halaman kesalahan dengan pesan yang menunjukkan bahwa Anda tidak memiliki izin untuk menggunakan Akses Konsol Manajemen AWS Pribadi.](http://docs.aws.amazon.com/id_id/awsconsolehelpdocs/latest/gsg/images/console-private-access-denied.png)


## Mengizinkan masuk dalam kebijakan kontrol layanan
<a name="private-access-with-SCPs"></a>

Jika AWS organisasi Anda menggunakan kebijakan kontrol layanan (SCP) yang memungkinkan layanan tertentu, Anda `signin:*` harus menambahkan tindakan yang diizinkan. Izin ini diperlukan karena masuk ke Konsol Manajemen AWS melalui titik akhir VPC Akses Pribadi melakukan otorisasi IAM yang diblokir SCP tanpa izin. Sebagai contoh, kebijakan kontrol layanan berikut memungkinkan Amazon EC2 dan CloudWatch layanan untuk digunakan dalam organisasi, termasuk saat diakses menggunakan titik akhir Akses Konsol Manajemen AWS Pribadi.

```
{
  "Effect": "Allow",
  "Action": [
    "signin:*",
    "ec2:*",
    "cloudwatch:*",
    ... Other services allowed
  },
  "Resource": "*"
}
```

Untuk informasi selengkapnya tentang SCP, lihat [Kebijakan kontrol layanan (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations*.