仅允许 AWS Management Console 用于预期的账户和组织(可信身份) - AWS Management Console

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

仅允许 AWS Management Console 用于预期的账户和组织(可信身份)

AWS Management Console 并 AWS 登录 支持专门控制登录账户身份的 VPC 终端节点策略。

与其它 VPC 端点策略不同,该策略在身份验证之前进行评估。因此,它专门控制登录和使用经过身份验证的会话,而不控制会话采取的任何 AWS 特定于服务的操作。例如,当会话访问 AWS 服务控制台(例如 Amazon 控制 EC2 台)时,将不会根据为显示该页面而采取的亚马逊 EC2 操作对这些 VPC 终端节点策略进行评估。相反,您可以使用与已登录的 IAM 委托人关联的 IAM 策略来控制其服务操作权限。 AWS

注意

AWS Management Console 和 VPC 终端节点的 SignIn VPC 终端节点策略仅支持有限的策略公式子集。每个 PrincipalResource 均应设置为 *,而 Action 应设置为 *signin:*。您可以使用 aws:PrincipalOrgIdaws:PrincipalAccount 条件键控制对 VPC 端点的访问。

对于控制台和 SignIn VPC 终端节点,建议使用以下策略。

此 VPC 终端节点策略允许 AWS 账户 在指定 AWS 组织中登录并阻止登录任何其他账户。

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}

此 VPC 终端节点策略将登录限制为特定账户, AWS 账户 并禁止登录任何其他账户。

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "111122223333", "222233334444" ]
        }
      }
    }
  ]
}

在登录时会对限制 AWS 账户 或组织使用 AWS Management Console 和登录 VPC 端点的策略进行评估,并定期针对现有会话进行重新评估。