Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Réseaux attendus
Avec l'accès AWS Management Console privé, vous pouvez faire en sorte que les utilisateurs n'accèdent AWS Management Console qu'à partir de réseaux approuvés, tels que vos VPC ou vos centres de données sur site connectés via Direct Connect ou. AWS Site-to-Site VPN Cela empêche l'accès depuis des emplacements inattendus, même lorsque les utilisateurs disposent d'informations d'identification valides.
Pour appliquer ces contrôles réseau, vous utilisez trois types de politiques :
-
Politiques basées sur l'identité IAM : associées aux identités (utilisateurs, groupes d'utilisateurs ou rôles). Limitez le nombre Services AWS d'utilisateurs autorisés à accéder à partir d'un réseau donné. Évalué lorsque la session authentifiée appelle des AWS services.
-
Resource-based politiques : associées à des AWS ressources spécifiques (telles que les compartiments et les AWS KMS clés Amazon S3). Limitez l'accès à ces ressources par réseau. Évalué lorsqu'une session appelle la ressource.
-
Connexion à AWSpolitiques basées sur les ressources (RBP) et politiques de contrôle des ressources (RCP) : limitez les réseaux qui peuvent être utilisés pour se connecter à eux-mêmes. AWS Management Console Évalué pendant le flux de connexion.
Ces politiques sont complémentaires et fonctionnent ensemble. Les politiques basées sur l'identité IAM et les politiques basées sur les ressources s'appliquent à toutes les méthodes d'accès, y compris la AWS Management Console AWS CLI et les SDK, et contrôlent les ressources auxquelles un principal peut accéder après authentification. Connexion à AWS Les RBP et RCP ne s'appliquent qu'à la connexion à la console elle-même : ils peuvent empêcher les tentatives de connexion non autorisées, mais ils ne limitent pas les ressources auxquelles une session authentifiée peut accéder.
Rubriques
Restreignez l'accès aux services à l'aide d'aws : SourceVpc
Vous pouvez restreindre l'accès au service par réseau à l'aide de la clé de aws:SourceVpc condition. Il fonctionne à la fois dans les politiques basées sur l'identité IAM (associées aux utilisateurs, aux groupes d'utilisateurs ou aux rôles) et dans les politiques basées sur les ressources (associées à des ressources telles AWS que les compartiments ou les clés Amazon S3). AWS KMS Pour l'accès AWS Management Console privé, aws:SourceVpc il s'agit de la clé de condition recommandée pour restreindre l'accès au service par réseau. L'exemple suivant montre une politique basée sur l'identité qui refuse l'accès à Amazon Simple Storage Service sauf si la demande provient du VPC que vous avez spécifié.
Comment ?AWS Management ConsolePrivate Access fonctionne avec AWS : SourceVpce
Cette section décrit les différents chemins réseau que les demandes générées par vous AWS Management Console peuvent emprunterServices AWS. AWSles consoles de service utilisent à la fois des requêtes directes du navigateur et des requêtes transmises par proxy aux serveurs AWS Management Console Web. Services AWS Ces implémentations sont susceptibles d'être modifiées sans préavis. Si vos exigences en matière de sécurité incluent l'accès à Services AWS l'utilisation de points de terminaison VPC, nous vous recommandons de configurer des points de terminaison VPC pour tous les services que vous avez l'intention d'utiliser depuis un VPC, que ce soit directement depuis ou via un accès privé. CLI/IDE AWS Management Console En outre, nous vous recommandons d'utiliser la condition aws:SourceVpc IAM dans vos politiques plutôt que des aws:SourceVpce valeurs spécifiques avec la fonctionnalité AWS Management Console d'accès privé.
Une fois qu'un utilisateur s'est connecté auAWS Management Console, il envoie des demandes Services AWS via une combinaison de demandes directes du navigateur et de demandes transmises par des serveurs AWS Management Console Web à AWS des serveurs. Par exemple, les demandes de données CloudWatch graphiques sont effectuées directement depuis le navigateur. Alors que certaines demandes de console de AWS service, telles qu'Amazon S3, sont transmises par proxy à Amazon S3 par le serveur Web.
Pour les requêtes directes du navigateur, l'utilisation de l'accès AWS Management Console privé ne change rien. Comme auparavant, la demande atteint le service via le chemin réseau que le VPC a configuré pour atteindre monitoring.region.amazonaws.com. Si le VPC est configuré avec un point de terminaison VPC pourcom.amazonaws.region.monitoring, la demande atteindra CloudWatch ce point de terminaison VPC. CloudWatch S'il n'existe aucun point de terminaison VPC pour CloudWatch, la demande CloudWatch atteindra son point de terminaison public, via une passerelle Internet sur le VPC. Les demandes qui arrivent via CloudWatch le point de terminaison du CloudWatch VPC seront soumises aux conditions IAM aws:SourceVpc et seront aws:SourceVpce définies sur leurs valeurs respectives. Ceux qui accèdent CloudWatch via son point de terminaison public auront aws:SourceIp défini l'adresse IP source de la demande. Pour plus d'informations sur ces clés de condition IAM, consultez Clés de condition globales dans le Guide de l'utilisateur IAM.
Pour les demandes transmises par le serveur AWS Management Console Web, telles que la demande faite par la console Amazon S3 pour répertorier vos buckets lorsque vous visitez la console Amazon S3, le chemin réseau est différent. Ces demandes ne sont pas initiées depuis votre VPC, mais depuis le serveur AWS Management Console Web, et n'utilisent donc pas le point de terminaison Amazon S3 VPC que vous avez peut-être configuré. Toutefois, lorsque vous utilisez AWS Management Console Private Access avec des services pris en charge, ces demandes (par exemple, adressées à Amazon S3) incluent la clé de aws:SourceVpc condition dans leur contexte de demande. La clé de condition aws:SourceVpc est définie sur l'ID du VPC sur lequel vos points de terminaison d'accès privé AWS Management Console pour la connexion et la console sont déployés. La aws:SourceVpce condition sera définie sur l'ID de point de terminaison VPC de console correspondant.
Note
Si vos utilisateurs ont besoin d'accéder à des services qui ne sont pas pris en charge parAWS PrivateLink, vous devez inclure une liste des adresses réseau publiques attendues (telles que votre plage réseau sur site) à l'aide de la clé de aws:SourceIp condition dans les politiques basées sur l'identité des utilisateurs.
Limitez l'accès à la console en utilisantConnexion à AWSpolitiques
Connexion à AWSles politiques basées sur les ressources (RBP) s'appliquent aux individus. Comptes AWS Les politiques de contrôle des ressources (RCP) s'appliquent à l'ensemble de l'organisation. AWS Organizations Les deux refusent la connexion à la console lorsque la demande ne provient pas des plages d'adresses IP ou des VPC que vous avez spécifiés.
Pour configurer les Connexion à AWS RBP et les RCP, consultez la section Contrôle de l'accès à la console à l'aide de politiques basées sur les ressources et de politiques de contrôle des ressources dans le Guide de l'utilisateur. Connexion à AWS