实施基于身份的策略和其他策略类型 - AWS 管理控制台
支持的 AWS 全局条件上下文密钥AWS 管理控制台 私有访问权限如何与 aws 配合使用:SourceVpc不同的网络路径如何反映在 CloudTrail

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

实施基于身份的策略和其他策略类型

您可以 AWS 通过创建策略并将其附加到 IAM 身份(用户、用户组或角色)或 AWS 资源来管理中的访问权限。本页介绍策略与 AWS 管理控制台 私有访问权限配合使用时的工作原理。

支持的 AWS 全局条件上下文密钥

AWS 管理控制台 私有访问不支持aws:SourceVpceaws:VpcSourceIp AWS 全局条件上下文密钥。在使用 AWS 管理控制台 私有访问时,您可以在策略中改用 aws:SourceVpc IAM 条件。

AWS 管理控制台 私有访问权限如何与 aws 配合使用:SourceVpc

本节介绍由您生成的请求 AWS 管理控制台 可以进入的各种网络路径 AWS 服务。通常, AWS 服务控制台是通过直接浏览器请求和由 AWS 管理控制台 Web 服务器代理的请求混合实现的。 AWS 服务这些实现可能会发生变化,恕不另行通知。如果您的安全要求包括 AWS 服务 使用 VPC 终端节点进行访问,我们建议您为打算从 VPC 使用的所有服务(无论是直接使用还是通过 AWS 管理控制台 私有访问)配置 VPC 终端节点。此外,您必须在aws:SourceVpc策略中使用 IAM 条件,而不是在 AWS 管理控制台 私有访问权限功能中使用特定aws:SourceVpce值。本节提供有关不同网络路径的工作原理的详细信息。

用户登录后 AWS 管理控制台,他们 AWS 服务 通过直接浏览器请求和由 AWS 管理控制台 Web 服务器代理到服务器的请求的组合向 AWS 发出请求。例如, CloudWatch 图形数据请求是直接从浏览器发出的。而某些 AWS 服务控制台请求(例如 Amazon S3)则由 Web 服务器代理到 Amazon S3。

对于直接的浏览器请求,使用 AWS 管理控制台 私有访问权限不会有任何改变。与以前一样,请求通过 VPC 已配置为到达 monitoring.region.amazonaws.com 的任何网络路径到达服务。如果 VPC 配置了的 VPC 终端节点com.amazonaws.region.monitoring,则请求将 CloudWatch通过该 CloudWatch VPC 终端节点到达。如果没有 VPC 终端节点 CloudWatch,则请求将通过 VPC CloudWatch 上的 Internet Gateway 到达其公有终端节点。 CloudWatch 通过 CloudWatch VPC 终端节点到达的请求将具有 IAM 条件aws:SourceVpcaws:SourceVpce设置为各自的值。那些 CloudWatch 通过其公共端点到达的用户将aws:SourceIp设置为请求的源 IP 地址。有关这些 IAM 条件键的更多信息,请参阅《IAM 用户指南》中的全局条件键

对于由 AWS 管理控制台 Web 服务器代理的请求,例如 Amazon S3 控制台在您访问 Amazon S3 控制台时发出的列出您的存储桶的请求,则网络路径会有所不同。这些请求不是从您的 VPC 发起的,因此不使用您可能已在 VPC 上为该服务配置的 VPC 端点。在这种情况下,即使您具有用于 Amazon S3 的 VPC 端点,您的会话向 Amazon S3 发出的旨在列出存储桶的请求也不会使用 Amazon S3 VPC 端点。但是,当您对支持的服务使用 AWS 管理控制台 私有访问权限时,这些请求(例如,对 Amazon S3 的请求)将在其请求上下文中包含aws:SourceVpc条件密钥。aws:SourceVpc条件密钥将设置为部署用于登录和控制台的 AWS 管理控制台 私有访问终端节点的 VPC ID。因此,如果您在基于身份的策略中使用 aws:SourceVpc 限制,则必须添加用于托管 AWS 管理控制台 私有访问登录和控制台端点的此 VPC 的 VPC ID。aws:SourceVpce条件将设置为相应的登录或控制台 VPC 终端节点 IDs。

注意

如果您的用户要求访问 AWS 管理控制台 私有访问不支持的服务控制台,则必须在用户的基于身份的策略中使用 aws:SourceIP 条件键包括预期公有网络地址的列表(例如本地网络范围)。

不同的网络路径如何反映在 CloudTrail

您生成的请求使用的不同网络路径 AWS 管理控制台 会反映在您的 CloudTrail 事件历史记录中。

对于直接的浏览器请求,使用 AWS 管理控制台 私有访问权限不会有任何改变。 CloudTrail 事件将包括有关连接的详细信息,例如用于调用服务 API 的 VPC 终端节点 ID。

对于由 AWS 管理控制台 Web 服务器代理的请求, CloudTrail 事件将不包含任何与 VPC 相关的详细信息。但是,建立浏览器会话所需的初始请求(例如AwsConsoleSignIn事件类型)将在事件详细信息中包含 AWS 登录 VPC 终端节点 ID。 AWS 登录