

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 值得信赖的资源
<a name="trusted-resources"></a>

借AWS 管理控制台助 Private Access，您可以将用户通过AWS 管理控制台访问的资源限制为属于您的AWS组织的资源。这些策略在中描述的基于委托人的限制的基础之上[可信身份](trusted-identities.md)；它们进一步限制了允许的委托人登录后可以访问的资源。
+ **AWS 管理控制台VPC 终端节点策略**-使用`aws:ResourceOrgID`或`aws:ResourceAccount`条件键。 `aws:ResourceOrgID`限制对特定AWS组织中资源的访问。 `aws:ResourceAccount`限制对特定AWS 账户资源的访问。

**注意**  
以下示例仅供参考，仅供参考。[对于生产环境，请使用 aws-perimeter-perimeter-polic [samples/datay-examples 存储库中的全面数据边界策略示例](https://github.com/aws-samples/data-perimeter-policy-examples)，例如资源外围 SCP。](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_control_policies/resource_perimeter_scp.json)

**示例：仅允许访问组织中的资源**  
此 AWS 管理控制台 VPC 终端节点策略用于`aws:ResourceOrgID`仅允许访问指定AWS组织中的资源。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceOrgID": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}
```

------

**示例：仅允许访问特定账户中的资源**  
此 AWS 管理控制台 VPC 终端节点策略用于`aws:ResourceAccount`仅允许访问特定列表中的资源AWS 账户。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": [ "111122223333", "222233334444" ]
        }
      }
    }
  ]
}
```

------