예상 계정 및 조직(신뢰할 수 있는 ID)에만 AWS Management 콘솔 사용 허용 - AWS Management 콘솔

예상 계정 및 조직(신뢰할 수 있는 ID)에만 AWS Management 콘솔 사용 허용

AWS Management 콘솔 및 AWS 로그인는 로그인한 계정의 ID를 구체적으로 제어하는 VPC 엔드포인트 정책을 지원합니다.

다른 VPC 엔드포인트 정책과 달리, 이 정책은 인증 전에 평가됩니다. 따라서 인증된 세션의 로그인 및 사용만 특별히 제어하며, 세션에서 수행하는 AWS 서비스별 작업은 제어하지 않습니다. 예를 들어, 세션이 Amazon EC2 콘솔 같은 AWS 서비스 콘솔에 액세스할 경우 이러한 VPC 엔드포인트 정책은 해당 페이지를 표시하기 위해 수행된 Amazon EC2 작업을 기준으로 평가되지 않습니다. 그 대신, 로그인한 IAM 보안 주체와 관련된 IAM 정책을 사용하여 AWS 서비스 작업에 대한 권한을 제어할 수 있습니다.

참고

AWS Management 콘솔 및 로그인 VPC 엔드포인트에 대한 VPC 엔드포인트 정책은 정책 구성의 제한된 하위 집합만 지원합니다. 모든 Principal 및 Resource는 *로 설정해야 하며 Action은 * 또는 signin:* 중 하나여야 합니다. aws:PrincipalOrgIdaws:PrincipalAccount 조건 키를 사용하여 VPC 엔드포인트에 대한 액세스를 제어할 수 있습니다.

콘솔 및 로그인 VPC 엔드포인트 양쪽 모두에 권장되는 정책은 다음과 같습니다.

이 VPC 엔드포인트 정책은 지정된 AWS 조직의 AWS 계정에 대한 로그인을 허용하고, 다른 계정에 대한 로그인을 차단합니다.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}

이 VPC 엔드포인트 정책은 지정된 조직의 특정 AWS 계정 계정 목록에 대한 로그인을 제한하고, 다른 계정에 대한 로그인을 차단합니다.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "111122223333", "222233334444" ]
        }
      }
    }
  ]
}

AWS Management 콘솔 및 로그인 VPC 엔드포인트에서 AWS 계정 계정 또는 조직을 제한하는 정책은 로그인 시 평가되며, 기존 세션에 대해 주기적으로 재평가됩니다.