Permitir o uso do Console de gerenciamento da AWS somente para contas e organizações esperadas (identidades confiáveis)
O Console de gerenciamento da AWS e o Início de Sessão da AWS são compatíveis com uma política de endpoint da VPC que controla especificamente a identidade da conta conectada.
Ao contrário de outras políticas de endpoint da VPC, a política é avaliada antes da autenticação. Como resultado, ela controla especificamente o login e o uso somente da sessão autenticada, e não de qualquer ação específica de serviço da AWS que a sessão realize. Por exemplo, quando a sessão acessa um console de serviço da AWS, como o console do Amazon EC2, essas políticas de endpoint da VPC não serão avaliadas em relação às ações do Amazon EC2 que são realizadas para exibir essa página. Em vez disso, é possível usar as políticas do IAM associadas à entidade principal conectada do IAM para controlar sua permissão para ações de serviço da AWS.
nota
As políticas de endpoint da VPC para o Console de gerenciamento da AWS e os endpoints da VPC SignIn são compatíveis somente com um subconjunto limitado de formulações de políticas. Cada Principal e Resource deve ser definido como * e Action deve ser * ou signin:*. Você controla o acesso aos endpoints da VPC usando as chaves de condição aws:PrincipalOrgId e aws:PrincipalAccount.
As políticas a seguir são recomendadas para os endpoints da VPC do console e SignIn.
Essa política de endpoint da VPC permite o login em Contas da AWS na organização especificada da AWS e bloqueia o login em qualquer outra conta.
Essa política de endpoint da VPC limita o login a uma lista de Contas da AWS específicas e bloqueia o login em qualquer outra conta.
As políticas que limitam Contas da AWS ou uma organização no Console de gerenciamento da AWS e endpoints da VPC Sign-In são avaliadas no momento do login e reavaliadas periodicamente para as sessões existentes.
