本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 僅允許將 AWS 管理主控台 用於預期的帳戶和組織 （受信任的身分）
<a name="account-identity"></a>

AWS 管理主控台 和 AWS 登入 支援專門控制登入帳戶身分的 VPC 端點政策。

與其他 VPC 端點政策不同，政策會在身分驗證之前進行評估。因此，它會特別控制已驗證工作階段的登入和使用，而不是工作階段採取的任何 AWS 服務特定動作。例如，當工作階段存取 AWS 服務主控台時，例如 Amazon EC2 主控台，這些 VPC 端點政策將不會針對顯示該頁面所採取的 Amazon EC2 動作進行評估。反之，您可以使用與登入 IAM 主體相關聯的 IAM 政策來控制其 AWS 服務動作的許可。

**注意**  
 AWS 管理主控台 和 SignIn VPC 端點的 VPC 端點政策僅支援有限的政策配方子集。每個 `Principal` 和 `Resource` 都應設定為 `*`，而 `Action` 應設定為 `*` 或 `signin:*`。您可以使用 `aws:PrincipalOrgId` 和 `aws:PrincipalAccount` 條件金鑰控制對 VPC 端點的存取。

建議主控台和 SignIn VPC 端點使用下列政策。

此 VPC 端點政策允許在指定的 AWS 組織中登入 AWS 帳戶 ，並封鎖任何其他帳戶的登入。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}
```

------

此 VPC 端點政策會將登入限制為特定 清單， AWS 帳戶 並封鎖任何其他帳戶的登入。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "111122223333", "222233334444" ]
        }
      }
    }
  ]
}
```

------

限制 AWS 帳戶 和 AWS 管理主控台 登入 VPC 端點上組織的政策會在登入時進行評估，並定期重新評估現有工作階段。