Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Redes esperadas
Con el acceso Consola de administración de AWS privado, puede obligar a los usuarios a acceder Consola de administración de AWS únicamente desde redes aprobadas, como sus VPC o centros de datos locales conectados a través de o. Direct Connect AWS Site-to-Site VPN Esto impide el acceso desde ubicaciones inesperadas, incluso cuando los usuarios tienen credenciales válidas.
Para hacer cumplir estos controles de red, se utilizan tres tipos de políticas:
-
Políticas de IAM basadas en la identidad: adjuntas a las identidades (usuarios, grupos de usuarios o roles). Limite Servicios de AWS los usuarios a los que pueden acceder desde una red determinada. Se evalúa cuando la sesión autenticada llama a AWS los servicios.
-
Resource-based políticas: adjuntas a AWS recursos específicos (como cubos y AWS KMS claves de Amazon S3). Limite el acceso a esos recursos por red. Se evalúa cuando una sesión llama al recurso.
-
AWS Sign-Inpolíticas basadas en recursos (RBP) y políticas de control de recursos (RCP): limitan las redes que se pueden usar para iniciar sesión en ellas mismas. Consola de administración de AWS Se evalúa durante el flujo de inicio de sesión.
Estas políticas son complementarias y funcionan en conjunto. Las políticas de IAM basadas en la identidad y las políticas basadas en los recursos se aplican a todos los métodos de acceso, incluidos la Consola de administración de AWS AWS CLI y los SDK, y controlan a qué recursos puede acceder un director tras la autenticación. AWS Sign-In Los RBP y los RCP solo se aplican al inicio de sesión en la consola en sí; pueden impedir los intentos de inicio de sesión no autorizados, pero no restringen los recursos a los que puede acceder una sesión autenticada.
Temas
Restrinja el acceso al servicio mediante AWS: SourceVpc
Puede restringir el acceso al servicio por red mediante la clave de aws:SourceVpc condición. Funciona tanto en las políticas de IAM basadas en la identidad (asociadas a los usuarios, grupos de usuarios o roles) como en las políticas basadas en recursos (asociadas a recursos AWS como los buckets o las claves de Amazon S3). AWS KMS En el caso del acceso Consola de administración de AWS privado, aws:SourceVpc es la condición clave recomendada para restringir el acceso al servicio por la red. El siguiente ejemplo muestra una política basada en la identidad que deniega el acceso a Amazon Simple Storage Service a menos que la solicitud se origine en la VPC especificada.
CómoConsola de administración de AWSPrivate Access funciona con AWS: SourceVpce
En esta sección se describen las distintas rutas de red a las que Consola de administración de AWS pueden dirigirse las solicitudes generadas por ustedServicios de AWS. AWSlas consolas de servicio utilizan una combinación de solicitudes directas del navegador y solicitudes enviadas por proxy desde los servidores Consola de administración de AWS web. Servicios de AWS Estas implementaciones están sujetas a cambios sin previo aviso. Si sus requisitos de seguridad incluyen el acceso al Servicios de AWS uso de puntos de enlace de VPC, le recomendamos que configure los puntos de enlace de VPC para todos los servicios que desee utilizar desde la VPC, ya sea directamente desde o a través de Private Access. CLI/IDE Consola de administración de AWS Además, te recomendamos que utilices la condición de aws:SourceVpc IAM en tus políticas en lugar de aws:SourceVpce valores específicos con la función de acceso privado. Consola de administración de AWS
Una vez que un usuario inicia sesión enConsola de administración de AWS, realiza las solicitudes Servicios de AWS mediante una combinación de solicitudes directas del navegador y solicitudes que los servidores Consola de administración de AWS web envían mediante proxy a AWS los servidores. Por ejemplo, las solicitudes de datos CloudWatch gráficos se realizan directamente desde el navegador. Mientras que algunas solicitudes de la consola de AWS servicio, como Amazon S3, se envían mediante proxy desde el servidor web a Amazon S3.
En el caso de las solicitudes directas desde el navegador, el uso del acceso Consola de administración de AWS privado no supone ningún cambio. Como antes, la solicitud llega al servicio a través de cualquier ruta de red para la que la VPC esté configurada para llegar a monitoring.region.amazonaws.com. Si la VPC está configurada con un punto de enlace de VPC paracom.amazonaws.region.monitoring, la solicitud llegará a través de CloudWatch ese punto de enlace de VPC. CloudWatch Si no hay ningún punto final de la VPC CloudWatch, la solicitud llegará a su punto final público, CloudWatch a través de un Internet Gateway en la VPC. Las solicitudes que lleguen a CloudWatch través del punto final de la CloudWatch VPC tendrán las condiciones de IAM aws:SourceVpc y se aws:SourceVpce establecerán en sus valores respectivos. Las que accedan CloudWatch a través de su punto final público deberán aws:SourceIp configurar la dirección IP de origen de la solicitud. Para obtener más información sobre estas claves de condición de IAM, consulte Claves de condición global en la Guía del usuario de IAM.
En el caso de las solicitudes enviadas por proxy por el servidor Consola de administración de AWS web, como la solicitud que hace la consola Amazon S3 para incluir sus buckets cuando visita la consola Amazon S3, la ruta de red es diferente. Estas solicitudes no se inician desde su VPC, sino desde el servidor Consola de administración de AWS web y, por lo tanto, no utilizan el punto de enlace de VPC de Amazon S3 que haya configurado. Sin embargo, cuando utilice el acceso Consola de administración de AWS privado con los servicios compatibles, estas solicitudes (por ejemplo, a Amazon S3) incluirán la clave de aws:SourceVpc condición en el contexto de la solicitud. La clave de condición aws:SourceVpc se establecerá en el ID de la VPC en la que estén implementados los puntos de conexión de Consola de administración de AWS Private Access para el inicio de sesión y la consola. La aws:SourceVpce condición se establecerá en el ID de punto final de la VPC de la consola correspondiente.
nota
Si tus usuarios necesitan acceder a servicios que no son compatiblesAWS PrivateLink, debes incluir una lista de las direcciones de red pública esperadas (como el rango de redes locales) utilizando la clave de aws:SourceIp condición de las políticas basadas en la identidad de los usuarios.
Restringe el acceso a la consola medianteAWS Sign-Inpolíticas
AWS Sign-Inlas políticas basadas en recursos (RBP) se aplican a las personas. Cuentas de AWS Las políticas de control de recursos (RCP) se aplican en toda la organización. AWS Organizations Ambas deniegan el inicio de sesión en la consola cuando la solicitud no se origina en los rangos de IP o VPC especificados.
Para configurar las AWS Sign-In RBP y las RCP, consulte Controlar el acceso a la consola con políticas basadas en recursos y políticas de control de recursos en la Guía del usuario. AWS Sign-In