Mise en œuvre de politiques basées sur l'identité et d'autres types de politiques

Vous gérez l'accès en AWS créant des politiques et en les associant à IAM des identités (utilisateurs, groupes d'utilisateurs ou rôles) ou à AWS des ressources. Cette page décrit le fonctionnement des politiques lorsqu'elles sont utilisées conjointement avec l'accès AWS Management Console privé.

Clés contextuelles de condition AWS globale prises en charge

AWS Management Console L'accès privé ne prend pas en charge aws:SourceVpce les clés contextuelles de condition aws:VpcSourceIp AWS globale. Vous pouvez plutôt utiliser aws:SourceVpc IAM cette condition dans vos politiques lorsque vous utilisez l'accès AWS Management Console privé.

Comment fonctionne AWS Management Console Private Access avec AWS : SourceVpc

Cette section décrit les différents chemins réseau que les demandes générées par vous AWS Management Console peuvent emprunter Services AWS. En général, les consoles de AWS service sont mises en œuvre avec un mélange de requêtes directes du navigateur et de demandes transmises par proxy aux serveurs AWS Management Console Web. Services AWS Ces implémentations sont susceptibles d'être modifiées sans préavis. Si vos exigences en matière de sécurité incluent l'accès à Services AWS l'utilisation de VPC points de terminaison, nous vous recommandons de configurer des VPC points de terminaison pour tous les services que vous souhaitez utiliserVPC, que ce soit directement ou via un accès AWS Management Console privé. En outre, vous devez utiliser la aws:SourceVpc IAM condition dans vos politiques plutôt que des aws:SourceVpce valeurs spécifiques avec la fonctionnalité d'accès AWS Management Console privé. Cette section fournit des détails sur le fonctionnement des différents chemins réseau.

Une fois qu'un utilisateur s'est connecté au AWS Management Console, il envoie des demandes Services AWS via une combinaison de demandes directes du navigateur et de demandes transmises par des serveurs AWS Management Console Web à AWS des serveurs. Par exemple, les demandes de données CloudWatch graphiques sont effectuées directement depuis le navigateur. Alors que certaines demandes de console de AWS service, telles qu'Amazon S3, sont transmises par proxy à Amazon S3 par le serveur Web.

Pour les requêtes directes du navigateur, l'utilisation de l'accès AWS Management Console privé ne change rien. Comme précédemment, la demande atteint le service via le chemin réseau qu'VPCil a configuré pour atteindremonitoring.region.amazonaws.com. Si le VPC est configuré avec un VPC point de terminaison pourcom.amazonaws.region.monitoring, la demande atteindra ce CloudWatch point de CloudWatch VPC terminaison. S'il n'existe aucun VPC point de terminaison pour CloudWatch, la demande CloudWatch atteindra son point de terminaison public, via une passerelle Internet sur leVPC. Les demandes qui arrivent CloudWatch par le biais du CloudWatch VPC point de terminaison seront soumises aux IAM conditions aws:SourceVpc et aws:SourceVpce réglées sur leurs valeurs respectives. Ceux qui accèdent CloudWatch via son point de terminaison public auront aws:SourceIp défini l'adresse IP source de la demande. Pour plus d'informations sur ces clés de IAM condition, voir Clés de condition globales dans le guide de IAM l'utilisateur.

Pour les demandes transmises par le serveur AWS Management Console Web, telles que la demande faite par la console Amazon S3 pour répertorier vos buckets lorsque vous visitez la console Amazon S3, le chemin réseau est différent. Ces demandes ne proviennent pas de vous VPC et n'utilisent donc pas le VPC point de terminaison que vous avez peut-être configuré sur votre VPC ordinateur pour ce service. Même si vous avez un VPC point de terminaison pour Amazon S3 dans ce cas, la demande de votre session adressée à Amazon S3 pour répertorier les buckets n'utilise pas le point de VPC terminaison Amazon S3. Toutefois, lorsque vous utilisez AWS Management Console Private Access avec des services pris en charge, ces demandes (par exemple, adressées à Amazon S3) incluent la clé de aws:SourceVpc condition dans leur contexte de demande. La clé de aws:SourceVpc condition sera définie sur l'VPCID où vos points de terminaison d'accès AWS Management Console privé pour la connexion et la console sont déployés. Par conséquent, si vous utilisez des aws:SourceVpc restrictions dans vos politiques basées sur l'identité, vous devez ajouter l'identifiant de l'VPCidentifiant VPC qui héberge la connexion à AWS Management Console Private Access et les points de terminaison de la console. La aws:SourceVpce condition sera définie sur le point de connexion ou de console correspondantVPC. IDs

Note

Si vos utilisateurs ont besoin d'accéder à des consoles de service qui ne sont pas prises en charge par la AWS Management Console en accès privé, vous devez inclure la liste de vos adresses réseau publiques attendues (comme la plage de votre réseau sur site) en utilisant la clé de condition aws:SourceIP dans les politiques basées sur l'identité des utilisateurs.

Comment les différents chemins réseau sont reflétés dans CloudTrail

Les différents chemins réseau utilisés par les demandes que vous avez générées AWS Management Console sont reflétés dans l'historique de vos CloudTrail événements.

Pour les requêtes directes du navigateur, l'utilisation de l'accès AWS Management Console privé ne change rien. CloudTrail les événements incluront des détails sur la connexion, tels que l'ID du point de VPC terminaison utilisé pour effectuer l'APIappel de service.

Pour les demandes transmises par proxy par le serveur AWS Management Console Web, les CloudTrail événements n'incluront aucun détail VPC connexe. Toutefois, les demandes initiales requises pour Connexion à AWS établir la session du navigateur, telles que le type d'AwsConsoleSignInévénement, incluront l'ID du Connexion à AWS VPC point de terminaison dans les détails de l'événement.