本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 仅允许 AWS 管理控制台 用于预期的账户和组织（可信身份）
<a name="account-identity"></a>

AWS 管理控制台 并 AWS 登录 支持专门控制登录账户身份的 VPC 终端节点策略。

与其它 VPC 端点策略不同，该策略在身份验证之前进行评估。因此，它专门控制登录和使用经过身份验证的会话，而不控制会话采取的任何 AWS 特定于服务的操作。例如，当会话访问 AWS 服务控制台（例如 Amazon EC2 控制台）时，将不会根据为显示该页面而采取的 Amazon EC2 操作来评估这些 VPC 终端节点策略。相反，您可以使用与已登录的 IAM 委托人关联的 IAM 策略来控制其服务操作权限。 AWS 

**注意**  
 AWS 管理控制台 和 VPC 终端节点的 SignIn VPC 终端节点策略仅支持有限的策略公式子集。每个 `Principal` 和 `Resource` 均应设置为 `*`，而 `Action` 应设置为 `*` 或 `signin:*`。您可以使用 `aws:PrincipalOrgId` 和 `aws:PrincipalAccount` 条件键控制对 VPC 端点的访问。

建议对控制台和 SignIn VPC 终端节点使用以下策略。

此 VPC 终端节点策略允许 AWS 账户 在指定 AWS 组织中登录并阻止登录任何其他账户。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}
```

------

此 VPC 终端节点策略将登录限制为特定账户， AWS 账户 并禁止登录任何其他账户。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "111122223333", "222233334444" ]
        }
      }
    }
  ]
}
```

------

在登录时会对限制 AWS 账户 或组织使用 AWS 管理控制台 和登录 VPC 终端节点的策略进行评估，并定期针对现有会话进行重新评估。