As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Implementação de políticas de controle de serviços e políticas de endpoint da VPC
Você pode usar políticas de controle de serviço (SCPs) e políticas de VPC endpoint para acesso Console de gerenciamento da AWS privado para limitar o conjunto de contas que têm permissão para usá-las de dentro Console de gerenciamento da AWS de sua VPC e de suas redes locais conectadas.
**Topics**
+ [Usando o acesso Console de gerenciamento da AWS privado com políticas AWS Organizations de controle de serviços](private-access-with-SCPs.md)
+ [Permitir o Console de gerenciamento da AWS uso somente para contas e organizações esperadas (identidades confiáveis)](account-identity.md)
# Usando o acesso Console de gerenciamento da AWS privado com políticas AWS Organizations de controle de serviços
Se sua AWS organização estiver usando uma política de controle de serviços (SCP) que permite serviços específicos, você deve adicionar `signin:*` às ações permitidas. Essa permissão é necessária porque o login em um endpoint VPC Console de gerenciamento da AWS de acesso privado executa uma autorização do IAM que o SCP bloqueia sem a permissão. Como exemplo, a política de controle de serviços a seguir permite que o Amazon EC2 e CloudWatch os serviços sejam usados na organização, inclusive quando eles são acessados usando um endpoint de acesso Console de gerenciamento da AWS privado.
```
{
"Effect": "Allow",
"Action": [
"signin:*",
"ec2:*",
"cloudwatch:*",
... Other services allowed
},
"Resource": "*"
}
```
Para obter mais informações sobre SCPs, consulte [Políticas de controle de serviço (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia AWS Organizations do usuário*.
# Permitir o Console de gerenciamento da AWS uso somente para contas e organizações esperadas (identidades confiáveis)
Console de gerenciamento da AWS e Início de Sessão da AWS ofereça suporte a uma política de VPC endpoint que controla especificamente a identidade da conta conectada.
Ao contrário de outras políticas de endpoint da VPC, a política é avaliada antes da autenticação. Como resultado, ele controla especificamente o login e o uso somente da sessão autenticada, e não as ações AWS específicas do serviço que a sessão realiza. Por exemplo, quando a sessão acessa um console de AWS serviço, como o console do Amazon EC2, essas políticas de VPC endpoint não serão avaliadas em relação às ações do Amazon EC2 que são tomadas para exibir essa página. Em vez disso, você pode usar as políticas do IAM associadas ao IAM Principal conectado para controlar sua permissão para AWS ações de serviço.
**nota**
As políticas de VPC endpoints para e Console de gerenciamento da AWS SignIn VPC endpoints oferecem suporte apenas a um subconjunto limitado de formulações de políticas. Cada `Principal` e `Resource` deve ser definido como `*` e `Action` deve ser `*` ou `signin:*`. Você controla o acesso aos endpoints da VPC usando as chaves de condição `aws:PrincipalOrgId` e `aws:PrincipalAccount`.
As políticas a seguir são recomendadas para os endpoints do console e da SignIn VPC.
Essa política de VPC endpoint permite o login na AWS organização especificada e bloqueia o login Contas da AWS em qualquer outra conta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgId": "o-xxxxxxxxxxx"
}
}
}
]
}
```
------
Essa política de VPC endpoint limita o login a uma lista específica Contas da AWS e bloqueia o login em qualquer outra conta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": [ "111122223333", "222233334444" ]
}
}
}
]
}
```
------
As políticas que limitam Contas da AWS nossa organização nos endpoints VPC de login Console de gerenciamento da AWS e login são avaliadas no momento do login e são reavaliadas periodicamente para as sessões existentes.