Implementación de políticas basadas en identidad y otros tipos de políticas

El acceso se gestiona AWS creando políticas y asociándolas a IAM identidades (usuarios, grupos de usuarios o roles) o recursos. AWS En esta página, se describe cómo funcionan las políticas cuando se utilizan junto con el acceso AWS Management Console privado.

Claves de contexto de condición AWS global compatibles

AWS Management Console El acceso privado no admite aws:SourceVpce ninguna clave de contexto de condición aws:VpcSourceIp AWS global. En su lugar, puede utilizar la aws:SourceVpc IAM condición en sus políticas cuando utilice el acceso AWS Management Console privado.

Cómo funciona AWS Management Console Private Access con AWS: SourceVpc

En esta sección se describen las distintas rutas de red a las que AWS Management Console pueden dirigirse las solicitudes generadas por usted Servicios de AWS. En general, las consolas de AWS servicio se implementan con una combinación de solicitudes directas del navegador y solicitudes enviadas por proxy desde los servidores AWS Management Console web. Servicios de AWS Estas implementaciones están sujetas a cambios sin previo aviso. Si sus requisitos de seguridad incluyen el acceso Servicios de AWS mediante VPC puntos finales, le recomendamos que configure los VPC puntos finales para todos los servicios desde los que piensa utilizarVPC, ya sea directamente o mediante AWS Management Console acceso privado. Además, debe utilizar la aws:SourceVpc IAM condición en sus políticas en lugar de aws:SourceVpce valores específicos con la función de acceso AWS Management Console privado. En esta sección, se proporcionan detalles sobre cómo funcionan las diferentes rutas de red.

Una vez que un usuario inicia sesión en AWS Management Console, realiza las solicitudes Servicios de AWS mediante una combinación de solicitudes directas del navegador y solicitudes que los servidores AWS Management Console web envían mediante proxy a los AWS servidores. Por ejemplo, las solicitudes de datos CloudWatch gráficos se realizan directamente desde el navegador. Mientras que algunas solicitudes de la consola de AWS servicio, como Amazon S3, se envían mediante proxy desde el servidor web a Amazon S3.

En el caso de las solicitudes directas desde el navegador, el uso del acceso AWS Management Console privado no supone ningún cambio. Como antes, la solicitud llega al servicio a través de la ruta de red a la VPC que esté configuradamonitoring.region.amazonaws.com. Si VPC está configurado con un VPC punto final paracom.amazonaws.region.monitoring, la solicitud llegará CloudWatch a través de ese CloudWatch VPC punto final. Si no hay un VPC punto final para CloudWatch, la solicitud llegará a su punto final público, CloudWatch a través de una puerta de enlace de Internet en elVPC. Las solicitudes que CloudWatch lleguen a través del CloudWatch VPC punto final tendrán las IAM condiciones aws:SourceVpc y se aws:SourceVpce establecerán en sus valores respectivos. Las que accedan CloudWatch a través de su punto final público deberán aws:SourceIp configurar la dirección IP de origen de la solicitud. Para obtener más información sobre estas claves de IAM condición, consulte las claves de condición globales en la Guía del IAM usuario.

En el caso de las solicitudes que el servidor AWS Management Console web envía mediante proxy, como la solicitud que hace la consola Amazon S3 para incluir sus buckets cuando visita la consola Amazon S3, la ruta de red es diferente. Estas solicitudes no se inician desde usted VPC y, por lo tanto, no utilizan el VPC punto de conexión que haya configurado en su servidor VPC para ese servicio. Incluso si tiene un VPC punto de enlace para Amazon S3 en este caso, la solicitud de su sesión a Amazon S3 para que publique los buckets no utiliza el VPC punto de enlace de Amazon S3. Sin embargo, cuando utilice el acceso AWS Management Console privado con los servicios compatibles, estas solicitudes (por ejemplo, a Amazon S3) incluirán la clave de aws:SourceVpc condición en el contexto de la solicitud. La clave de aws:SourceVpc condición se establecerá en el VPC ID en el que estén desplegados los puntos de conexión de acceso AWS Management Console privado para el inicio de sesión y la consola. Por lo tanto, si utiliza aws:SourceVpc restricciones en sus políticas basadas en la identidad, debe añadir el VPC ID de la VPC que se alojan los puntos de conexión de acceso AWS Management Console privado y los puntos de conexión de la consola. La aws:SourceVpce condición se establecerá en el punto de inicio de sesión o de consola correspondiente. VPC IDs

nota

Si los usuarios requieren acceso a las consolas de servicio que no son compatibles con AWS Management Console Private Access, debe incluir una lista de las direcciones de red pública esperadas (como el rango de redes en las instalaciones) mediante la clave de condición aws:SourceIP en las políticas basadas en identidades de los usuarios.

Cómo se reflejan las diferentes rutas de red en CloudTrail

Las diferentes rutas de red utilizadas por las solicitudes generadas por AWS Management Console usted se reflejan en su historial de CloudTrail eventos.

En el caso de las solicitudes directas desde el navegador, el uso del acceso AWS Management Console privado no cambia nada. CloudTrail los eventos incluirán detalles sobre la conexión, como el ID del VPC punto final que se utilizó para realizar la API llamada de servicio.

En el caso de las solicitudes enviadas por proxy desde el servidor AWS Management Console web, CloudTrail los eventos no incluirán ningún detalle VPC relacionado. Sin embargo, las solicitudes iniciales necesarias para establecer la sesión del navegador, como el tipo de AwsConsoleSignIn evento, incluirán el ID del AWS Sign-In VPC punto final en los detalles del evento. AWS Sign-In