As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Identidades confiáveis
Com o acesso Console de gerenciamento da AWS privado, você pode restringir quais identidades Contas da AWS e identidades organizacionais podem ser usadas Console de gerenciamento da AWS de dentro da sua VPC. Isso impede o acesso de contas pessoais e de contas externas à sua organização.
Cada um dos Console de gerenciamento da AWS endpoints da Início de Sessão da AWS VPC oferece suporte a uma política de endpoint da VPC que controla a identidade da conta conectada. As políticas são avaliadas no momento do login e são reavaliadas periodicamente para as sessões existentes.
-
Console de gerenciamento da AWSPolíticas de VPC endpoint — restrinja quais identidades conectadas podem acessá-las por meio desse endpoint. Console de gerenciamento da AWS Use
Action: *ePrincipal: *, comaws:PrincipalOrgIdnossas chaves deaws:PrincipalAccountcondição. -
Início de Sessão da AWSPolíticas de VPC endpoint (fluxo de login) — restrinja quem pode fazer login Console de gerenciamento da AWS por meio desse endpoint, com uma avaliação separada antes e depois da validação das credenciais. Pre-authenticationbloqueia tentativas de login antes que as credenciais sejam inseridas, usando.
signin:AuthenticatePost-authenticationvalida a sessão após a aceitação das credenciais e durante a troca do token OAuth, usando e.signin:AuthorizeOAuth2Accesssignin:CreateOAuth2Token -
Início de Sessão da AWSPolíticas de VPC endpoint (fluxo de inscrição) — Controle se o fluxo de inscrição da AWS conta pode ser acessado de dentro da sua rede privada. Apoia a
signin:CreateAccountação com negação implícita.
Os exemplos a seguir mostram como restringir o acesso por conta ou organização. Aplique restrições equivalentes aos seus endpoints Console de gerenciamento da AWS e ao Início de Sessão da AWS VPC, usando o formato de política apropriado para cada endpoint.
Tópicos
nota
Console de gerenciamento da AWSExemplos de endpoints de VPC
Exemplo: permitir somente contas em sua organização
Essa política de Console de gerenciamento da AWS VPC endpoint permite o acesso Contas da AWS na AWS organização especificada e bloqueia qualquer outra conta.
Exemplo: Permitir somente contas específicas
Essa política de Console de gerenciamento da AWS VPC endpoint limita o acesso a uma lista de contas específicas Contas da AWS e bloqueia qualquer outra conta.
Início de Sessão da AWSExemplos de endpoints de VPC
O Início de Sessão da AWS VPC endpoint exige políticas com Sign-In ações específicas e chaves de condição apropriadas para cada fase de autenticação:
-
Pre-authentication fase — Avaliada antes que a identidade do usuário seja estabelecida. Somente chaves de condição baseadas em recursos estão disponíveis, porque as informações principais ainda não são conhecidas.
-
Ação apoiada:
signin:Authenticate -
Teclas de condição suportadas:
aws:ResourceOrgIdouaws:ResourceAccount
-
-
Post-authentication fase — avaliada após a autenticação, quando o serviço de login emite as credenciais da sessão. Informações principais completas estão disponíveis.
-
Ações apoiadas:
signin:AuthorizeOAuth2Access,signin:CreateOAuth2Token -
Teclas de condição suportadas:
aws:PrincipalOrgIdouaws:PrincipalAccountaws:ResourceOrgId,aws:ResourceAccount
-
Exemplo: Permitir login somente para contas em sua organização
Essa política de Início de Sessão da AWS VPC endpoint usa declarações específicas de ação para permitir o login na AWS organização especificada nas fases de Contas da AWS pré-autenticação e pós-autenticação.
Exemplo: Permitir login somente para contas específicas
Essa política de Início de Sessão da AWS VPC endpoint usa declarações específicas de ação para limitar o login a uma lista de itens específicos nas fases de pré-autenticação e Contas da AWS pós-autenticação.
Controle dos fluxos de cadastro de contas
A signin:CreateAccount ação controla se o fluxo de inscrição da AWS conta pode ser acessado de dentro da sua rede privada. Essa ação usa um principal anônimo (não existe nenhuma conta durante a inscrição) e não suporta chaves de condição.
Ao usar o formato de política de endpoint Início de Sessão da AWS VPC, o fluxo de inscrição é bloqueado pela negação implícita, a menos que você permita explicitamente. Se sua organização exigir a inscrição de uma conta de dentro da rede privada, adicione a seguinte declaração à sua política de Início de Sessão da AWS VPC endpoint:
Página de erro de acesso negado
Se você se conectar com uma identidade que não pertence à sua conta, verá o erro “Sua conta não tem permissão para usar o AWS Management Console Private Access”. A captura de tela a seguir mostra a página de erro de acesso negado.
Permitindo o login nas políticas de controle de serviços
Se sua AWS organização estiver usando uma política de controle de serviços (SCP) que permite serviços específicos, você deve adicionar signin:* às ações permitidas. Essa permissão é necessária porque o login em um endpoint VPC Console de gerenciamento da AWS de acesso privado executa uma autorização do IAM que o SCP bloqueia sem a permissão. Como exemplo, a política de controle de serviços a seguir permite que o Amazon EC2 e CloudWatch os serviços sejam usados na organização, inclusive quando eles são acessados usando um endpoint de acesso Console de gerenciamento da AWS privado.
{ "Effect": "Allow", "Action": [ "signin:*", "ec2:*", "cloudwatch:*", ... Other services allowed }, "Resource": "*" }
Para ter mais informações sobre SCPs, consulte Políticas de controle de serviço no Guia do usuário do AWS Organizations.