AWS マネジメントコンソール が、想定されるアカウントと組織 (信頼できる ID) のみ使用するのを許可する - AWS マネジメントコンソール

AWS マネジメントコンソール が、想定されるアカウントと組織 (信頼できる ID) のみ使用するのを許可する

AWS マネジメントコンソール および AWS サインイン は、サインインしているアカウントの ID に特化して管理する VPC エンドポイントポリシーをサポートしています。

他の VPC エンドポイントポリシーとは異なり、このポリシーは認証前に評価されます。そのため、ログインと認証されたセッションの使用のみに特化して制御され、セッションで実行される AWS サービス固有のアクションは制御されません。たとえば、セッションが Amazon EC2 コンソールなどの AWS サービスコンソールにアクセスする場合、これらの VPC エンドポイントポリシーは、そのページを表示するために実行される Amazon EC2 アクションに対して評価されません。代わりに、サインインしている IAM プリンシパルに関連付けられた IAM ポリシーを使用して、AWS サービスアクションのアクセス許可を制御できます。

注記

AWS マネジメントコンソール の VPC エンドポイントと SignIn VPC エンドポイントは、ポリシー策定の一部しかサポートしません。各 Principal と Resource は * に設定する必要があります。また、Action は * または signin:* のいずれかにする必要があります。VPC エンドポイントへのアクセスを制御するには、aws:PrincipalOrgId および aws:PrincipalAccount 条件キーを使用します。

以下のポリシーは、コンソールエンドポイントと SignIn VPC エンドポイントの両方に推奨されています。

この VPC エンドポイントポリシーは、指定された AWS 組織の AWS アカウントへのサインインを許可し、他のアカウントへのサインインをブロックします。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}

この VPC エンドポイントポリシーでは、特定の AWS アカウント へのサインインが制限され、その他のアカウントへのサインインはブロックされます。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "111122223333", "222233334444" ]
        }
      }
    }
  ]
}

AWS アカウント、または AWS マネジメントコンソールおよびサインイン VPC エンドポイント上の組織を制限するポリシーは、サインイン時に評価され、さらに既存のセッションについて定期的に再評価されます。