本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 实施服务控制策略和 VPC 端点策略
您可以使用服务控制策略 (SCPs) 和 VPC 终端节点策略进行 AWS 管理控制台 私有访问,以限制允许 AWS 管理控制台 从您的 VPC 及其连接的本地网络中使用的一组账户。
**Topics**
+ [
# 将 AWS 管理控制台 私有访问权限与 AWS Organizations 服务控制策略配合使用
](private-access-with-SCPs.md)
+ [
# 仅允许 AWS 管理控制台 用于预期的账户和组织(可信身份)
](account-identity.md)
# 将 AWS 管理控制台 私有访问权限与 AWS Organizations 服务控制策略配合使用
如果您的 AWS 组织正在使用允许特定服务的服务控制策略 (SCP),则必须添加`signin:*`允许的操作。之所以需要此权限,是因为 AWS 管理控制台 通过私有访问 VPC 终端节点登录会执行 IAM 授权,SCP 会在未经许可的情况下阻止该授权。例如,以下服务控制策略允许在组织中使用 Amazon EC2 和 CloudWatch 服务,包括使用 AWS 管理控制台 私有访问终端节点访问它们的时间。
```
{
"Effect": "Allow",
"Action": [
"signin:*",
"ec2:*",
"cloudwatch:*",
... Other services allowed
},
"Resource": "*"
}
```
有关的更多信息 SCPs,请参阅《*AWS Organizations 用户指南》*中的[服务控制策略 (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
# 仅允许 AWS 管理控制台 用于预期的账户和组织(可信身份)
AWS 管理控制台 并 AWS 登录 支持专门控制登录账户身份的 VPC 终端节点策略。
与其它 VPC 端点策略不同,该策略在身份验证之前进行评估。因此,它专门控制登录和使用经过身份验证的会话,而不控制会话采取的任何 AWS 特定于服务的操作。例如,当会话访问 AWS 服务控制台(例如 Amazon EC2 控制台)时,将不会根据为显示该页面而采取的 Amazon EC2 操作来评估这些 VPC 终端节点策略。相反,您可以使用与已登录的 IAM 委托人关联的 IAM 策略来控制其服务操作权限。 AWS
**注意**
AWS 管理控制台 和 VPC 终端节点的 SignIn VPC 终端节点策略仅支持有限的策略公式子集。每个 `Principal` 和 `Resource` 均应设置为 `*`,而 `Action` 应设置为 `*` 或 `signin:*`。您可以使用 `aws:PrincipalOrgId` 和 `aws:PrincipalAccount` 条件键控制对 VPC 端点的访问。
建议对控制台和 SignIn VPC 终端节点使用以下策略。
此 VPC 终端节点策略允许 AWS 账户 在指定 AWS 组织中登录并阻止登录任何其他账户。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgId": "o-xxxxxxxxxxx"
}
}
}
]
}
```
------
此 VPC 终端节点策略将登录限制为特定账户, AWS 账户 并禁止登录任何其他账户。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": [ "111122223333", "222233334444" ]
}
}
}
]
}
```
------
在登录时会对限制 AWS 账户 或组织使用 AWS 管理控制台 和登录 VPC 终端节点的策略进行评估,并定期针对现有会话进行重新评估。