View a markdown version of this page

Identidades confiáveis - Console de gerenciamento da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Identidades confiáveis

Com o acesso Console de gerenciamento da AWS privado, você pode restringir quais identidades Contas da AWS e identidades organizacionais podem ser usadas Console de gerenciamento da AWS de dentro da sua VPC. Isso impede o acesso de contas pessoais e de contas externas à sua organização.

Cada um dos Console de gerenciamento da AWS endpoints da Início de Sessão da AWS VPC oferece suporte a uma política de endpoint da VPC que controla a identidade da conta conectada. As políticas são avaliadas no momento do login e são reavaliadas periodicamente para as sessões existentes.

  • Console de gerenciamento da AWSPolíticas de VPC endpoint — restrinja quais identidades conectadas podem acessá-las por meio desse endpoint. Console de gerenciamento da AWS Use Action: * ePrincipal: *, com aws:PrincipalOrgId nossas chaves de aws:PrincipalAccount condição.

  • Início de Sessão da AWSPolíticas de VPC endpoint (fluxo de login) — restrinja quem pode fazer login Console de gerenciamento da AWS por meio desse endpoint, com uma avaliação separada antes e depois da validação das credenciais. Pre-authenticationbloqueia tentativas de login antes que as credenciais sejam inseridas, usando. signin:Authenticate Post-authenticationvalida a sessão após a aceitação das credenciais e durante a troca do token OAuth, usando e. signin:AuthorizeOAuth2Access signin:CreateOAuth2Token

  • Início de Sessão da AWSPolíticas de VPC endpoint (fluxo de inscrição) — Controle se o fluxo de inscrição da AWS conta pode ser acessado de dentro da sua rede privada. Apoia a signin:CreateAccount ação com negação implícita.

Os exemplos a seguir mostram como restringir o acesso por conta ou organização. Aplique restrições equivalentes aos seus endpoints Console de gerenciamento da AWS e ao Início de Sessão da AWS VPC, usando o formato de política apropriado para cada endpoint.

nota

Os exemplos a seguir são políticas de referência apenas para fins ilustrativos. Para ambientes de produção, use os exemplos abrangentes de políticas de perímetro de dados no repositório aws- samples/data -perimeter-policy-examples, como o perímetro de rede SCP.

Console de gerenciamento da AWSExemplos de endpoints de VPC

Exemplo: permitir somente contas em sua organização

Essa política de Console de gerenciamento da AWS VPC endpoint permite o acesso Contas da AWS na AWS organização especificada e bloqueia qualquer outra conta.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgId": "o-xxxxxxxxxxx" } } } ] }
Exemplo: Permitir somente contas específicas

Essa política de Console de gerenciamento da AWS VPC endpoint limita o acesso a uma lista de contas específicas Contas da AWS e bloqueia qualquer outra conta.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalAccount": [ "111122223333", "222233334444" ] } } } ] }

Início de Sessão da AWSExemplos de endpoints de VPC

O Início de Sessão da AWS VPC endpoint exige políticas com Sign-In ações específicas e chaves de condição apropriadas para cada fase de autenticação:

  • Pre-authentication fase — Avaliada antes que a identidade do usuário seja estabelecida. Somente chaves de condição baseadas em recursos estão disponíveis, porque as informações principais ainda não são conhecidas.

    • Ação apoiada: signin:Authenticate

    • Teclas de condição suportadas: aws:ResourceOrgId ou aws:ResourceAccount

  • Post-authentication fase — avaliada após a autenticação, quando o serviço de login emite as credenciais da sessão. Informações principais completas estão disponíveis.

    • Ações apoiadas:signin:AuthorizeOAuth2Access, signin:CreateOAuth2Token

    • Teclas de condição suportadas: aws:PrincipalOrgId ou aws:PrincipalAccountaws:ResourceOrgId, aws:ResourceAccount

Exemplo: Permitir login somente para contas em sua organização

Essa política de Início de Sessão da AWS VPC endpoint usa declarações específicas de ação para permitir o login na AWS organização especificada nas fases de Contas da AWS pré-autenticação e pós-autenticação.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "PreAuthOrgRestriction", "Effect": "Allow", "Principal": "*", "Action": "signin:Authenticate", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceOrgID": "o-xxxxxxxxxxx" } } }, { "Sid": "PostAuthOrgRestriction", "Effect": "Allow", "Principal": "*", "Action": [ "signin:AuthorizeOAuth2Access", "signin:CreateOAuth2Token" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgId": "o-xxxxxxxxxxx" } } } ] }
Exemplo: Permitir login somente para contas específicas

Essa política de Início de Sessão da AWS VPC endpoint usa declarações específicas de ação para limitar o login a uma lista de itens específicos nas fases de pré-autenticação e Contas da AWS pós-autenticação.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "PreAuthAccountRestriction", "Effect": "Allow", "Principal": "*", "Action": "signin:Authenticate", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": [ "123456789012", "210987654321" ] } } }, { "Sid": "PostAuthAccountRestriction", "Effect": "Allow", "Principal": "*", "Action": [ "signin:AuthorizeOAuth2Access", "signin:CreateOAuth2Token" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalAccount": [ "123456789012", "210987654321" ] } } } ] }
Controle dos fluxos de cadastro de contas

A signin:CreateAccount ação controla se o fluxo de inscrição da AWS conta pode ser acessado de dentro da sua rede privada. Essa ação usa um principal anônimo (não existe nenhuma conta durante a inscrição) e não suporta chaves de condição.

Ao usar o formato de política de endpoint Início de Sessão da AWS VPC, o fluxo de inscrição é bloqueado pela negação implícita, a menos que você permita explicitamente. Se sua organização exigir a inscrição de uma conta de dentro da rede privada, adicione a seguinte declaração à sua política de Início de Sessão da AWS VPC endpoint:

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "AllowAccountSignup", "Effect": "Allow", "Principal": "*", "Action": "signin:CreateAccount", "Resource": "*" } ] }

Página de erro de acesso negado

Se você se conectar com uma identidade que não pertence à sua conta, verá o erro “Sua conta não tem permissão para usar o AWS Management Console Private Access”. A captura de tela a seguir mostra a página de erro de acesso negado.

A página de erro com uma mensagem que indica que você não tem permissão para usar o Acesso Console de gerenciamento da AWS Privado.

Permitindo o login nas políticas de controle de serviços

Se sua AWS organização estiver usando uma política de controle de serviços (SCP) que permite serviços específicos, você deve adicionar signin:* às ações permitidas. Essa permissão é necessária porque o login em um endpoint VPC Console de gerenciamento da AWS de acesso privado executa uma autorização do IAM que o SCP bloqueia sem a permissão. Como exemplo, a política de controle de serviços a seguir permite que o Amazon EC2 e CloudWatch os serviços sejam usados na organização, inclusive quando eles são acessados usando um endpoint de acesso Console de gerenciamento da AWS privado.

{ "Effect": "Allow", "Action": [ "signin:*", "ec2:*", "cloudwatch:*", ... Other services allowed }, "Resource": "*" }

Para ter mais informações sobre SCPs, consulte Políticas de controle de serviço no Guia do usuário do AWS Organizations.