

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Identidades confiáveis
<a name="trusted-identities"></a><a name="account-identity"></a>

Com o acesso Console de gerenciamento da AWS privado, você pode restringir quais identidades Contas da AWS e identidades organizacionais podem ser usadas Console de gerenciamento da AWS de dentro da sua VPC. Isso impede o acesso de contas pessoais e de contas externas à sua organização.

Cada um dos Console de gerenciamento da AWS endpoints da Início de Sessão da AWS VPC oferece suporte a uma política de endpoint da VPC que controla a identidade da conta conectada. As políticas são avaliadas no momento do login e são reavaliadas periodicamente para as sessões existentes.
+ **Console de gerenciamento da AWSPolíticas de VPC endpoint** — restrinja quais identidades conectadas podem acessá-las por meio desse endpoint. Console de gerenciamento da AWS Use `Action: *` e`Principal: *`, com `aws:PrincipalOrgId` nossas chaves de `aws:PrincipalAccount` condição.
+ **Início de Sessão da AWSPolíticas de VPC endpoint (fluxo de login)** — restrinja quem pode fazer login Console de gerenciamento da AWS por meio desse endpoint, com uma avaliação separada antes e depois da validação das credenciais. **Pre-authentication**bloqueia tentativas de login antes que as credenciais sejam inseridas, usando. `signin:Authenticate` **Post-authentication**valida a sessão após a aceitação das credenciais e durante a troca do token OAuth, usando e. `signin:AuthorizeOAuth2Access` `signin:CreateOAuth2Token`
+ **Início de Sessão da AWSPolíticas de VPC endpoint (fluxo de inscrição) — Controle se o fluxo** de inscrição da AWS conta pode ser acessado de dentro da sua rede privada. Apoia a `signin:CreateAccount` ação com negação implícita.

Os exemplos a seguir mostram como restringir o acesso por conta ou organização. Aplique restrições equivalentes aos seus endpoints Console de gerenciamento da AWS e ao Início de Sessão da AWS VPC, usando o formato de política apropriado para cada endpoint.

**Topics**
+ [Console de gerenciamento da AWSExemplos de endpoints de VPC](#console-vpc-endpoint-examples)
+ [Início de Sessão da AWSExemplos de endpoints de VPC](#signin-vpc-endpoint-examples)
+ [Página de erro de acesso negado](#access-denied-error)
+ [Permitindo o login nas políticas de controle de serviços](#private-access-with-SCPs)

**nota**  
Os exemplos a seguir são políticas de referência apenas para fins ilustrativos. [Para ambientes de produção, use os exemplos abrangentes de políticas de perímetro de dados no repositório [aws- samples/data -perimeter-policy-examples](https://github.com/aws-samples/data-perimeter-policy-examples), como o perímetro de rede SCP.](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_control_policies/network_perimeter_sourcevpc_scp.json)

## Console de gerenciamento da AWSExemplos de endpoints de VPC
<a name="console-vpc-endpoint-examples"></a>

**Exemplo: permitir somente contas em sua organização**  
Essa política de Console de gerenciamento da AWS VPC endpoint permite o acesso Contas da AWS na AWS organização especificada e bloqueia qualquer outra conta.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}
```

------

**Exemplo: Permitir somente contas específicas**  
Essa política de Console de gerenciamento da AWS VPC endpoint limita o acesso a uma lista de contas específicas Contas da AWS e bloqueia qualquer outra conta.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "111122223333", "222233334444" ]
        }
      }
    }
  ]
}
```

------

## Início de Sessão da AWSExemplos de endpoints de VPC
<a name="signin-vpc-endpoint-examples"></a>

O Início de Sessão da AWS VPC endpoint exige políticas com Sign-In ações específicas e chaves de condição apropriadas para cada fase de autenticação:
+ **Pre-authentication fase** — Avaliada antes que a identidade do usuário seja estabelecida. Somente chaves de condição baseadas em recursos estão disponíveis, porque as informações principais ainda não são conhecidas.
  + Ação apoiada: `signin:Authenticate`
  + Teclas de condição suportadas: `aws:ResourceOrgId` ou `aws:ResourceAccount`
+ **Post-authentication fase** — avaliada após a autenticação, quando o serviço de login emite as credenciais da sessão. Informações principais completas estão disponíveis.
  + Ações apoiadas:`signin:AuthorizeOAuth2Access`, `signin:CreateOAuth2Token`
  + Teclas de condição suportadas: `aws:PrincipalOrgId` ou `aws:PrincipalAccount``aws:ResourceOrgId`, `aws:ResourceAccount`

**Exemplo: Permitir login somente para contas em sua organização**  
Essa política de Início de Sessão da AWS VPC endpoint usa declarações específicas de ação para permitir o login na AWS organização especificada nas fases de Contas da AWS pré-autenticação e pós-autenticação.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreAuthOrgRestriction",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "signin:Authenticate",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceOrgID": "o-xxxxxxxxxxx"
        }
      }
    },
    {
      "Sid": "PostAuthOrgRestriction",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "signin:AuthorizeOAuth2Access",
        "signin:CreateOAuth2Token"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}
```

------

**Exemplo: Permitir login somente para contas específicas**  
Essa política de Início de Sessão da AWS VPC endpoint usa declarações específicas de ação para limitar o login a uma lista de itens específicos nas fases de pré-autenticação e Contas da AWS pós-autenticação.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreAuthAccountRestriction",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "signin:Authenticate",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": [ "123456789012", "210987654321" ]
        }
      }
    },
    {
      "Sid": "PostAuthAccountRestriction",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "signin:AuthorizeOAuth2Access",
        "signin:CreateOAuth2Token"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "123456789012", "210987654321" ]
        }
      }
    }
  ]
}
```

------

**Controle dos fluxos de cadastro de contas**  
A `signin:CreateAccount` ação controla se o fluxo de inscrição da AWS conta pode ser acessado de dentro da sua rede privada. Essa ação usa um principal anônimo (não existe nenhuma conta durante a inscrição) e não suporta chaves de condição.

Ao usar o formato de política de endpoint Início de Sessão da AWS VPC, o fluxo de inscrição é bloqueado pela negação implícita, a menos que você permita explicitamente. Se sua organização exigir a inscrição de uma conta de dentro da rede privada, adicione a seguinte declaração à sua política de Início de Sessão da AWS VPC endpoint:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccountSignup",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "signin:CreateAccount",
      "Resource": "*"
    }
  ]
}
```

------

## Página de erro de acesso negado
<a name="access-denied-error"></a>

Se você se conectar com uma identidade que não pertence à sua conta, verá o erro “Sua conta não tem permissão para usar o AWS Management Console Private Access”. A captura de tela a seguir mostra a página de erro de acesso negado.

![A página de erro com uma mensagem que indica que você não tem permissão para usar o Acesso Console de gerenciamento da AWS Privado.](http://docs.aws.amazon.com/pt_br/awsconsolehelpdocs/latest/gsg/images/console-private-access-denied.png)


## Permitindo o login nas políticas de controle de serviços
<a name="private-access-with-SCPs"></a>

Se sua AWS organização estiver usando uma política de controle de serviços (SCP) que permite serviços específicos, você deve adicionar `signin:*` às ações permitidas. Essa permissão é necessária porque o login em um endpoint VPC Console de gerenciamento da AWS de acesso privado executa uma autorização do IAM que o SCP bloqueia sem a permissão. Como exemplo, a política de controle de serviços a seguir permite que o Amazon EC2 e CloudWatch os serviços sejam usados na organização, inclusive quando eles são acessados usando um endpoint de acesso Console de gerenciamento da AWS privado.

```
{
  "Effect": "Allow",
  "Action": [
    "signin:*",
    "ec2:*",
    "cloudwatch:*",
    ... Other services allowed
  },
  "Resource": "*"
}
```

Para ter mais informações sobre SCPs, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations*.