Menerapkan kebijakan berbasis identitas dan jenis kebijakan lainnya - AWS Management Console
Kunci konteks kondisi AWS global yang didukungBagaimana AWS Management Console Private Access bekerja dengan aws: SourceVpcBagaimana jalur jaringan yang berbeda tercermin dalam CloudTrail

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menerapkan kebijakan berbasis identitas dan jenis kebijakan lainnya

Anda mengelola akses AWS dengan membuat kebijakan dan melampirkannya ke IAM identitas (pengguna, grup pengguna, atau peran) atau AWS sumber daya. Halaman ini menjelaskan cara kerja kebijakan saat digunakan bersama dengan Akses AWS Management Console Pribadi.

Kunci konteks kondisi AWS global yang didukung

AWS Management Console Akses Pribadi tidak mendukung aws:SourceVpce dan kunci konteks kondisi aws:VpcSourceIp AWS global. Anda dapat menggunakan aws:SourceVpc IAM kondisi dalam kebijakan Anda sebagai gantinya, saat menggunakan Akses AWS Management Console Pribadi.

Bagaimana AWS Management Console Private Access bekerja dengan aws: SourceVpc

Bagian ini menjelaskan berbagai jalur jaringan yang AWS Management Console dapat diambil oleh permintaan yang dihasilkan oleh Anda Layanan AWS. Secara umum, konsol AWS layanan diimplementasikan dengan campuran permintaan browser langsung dan permintaan yang diproksi oleh server AWS Management Console web ke. Layanan AWS Implementasi ini dapat berubah sewaktu-waktu tanpa pemberitahuan. Jika persyaratan keamanan Anda mencakup akses untuk Layanan AWS menggunakan VPC titik akhir, sebaiknya Anda mengonfigurasi VPC titik akhir untuk semua layanan yang ingin Anda gunakanVPC, baik secara langsung maupun melalui Akses AWS Management Console Pribadi. Selain itu, Anda harus menggunakan aws:SourceVpc IAM kondisi dalam kebijakan Anda daripada aws:SourceVpce nilai tertentu dengan fitur Akses AWS Management Console Pribadi. Bagian ini memberikan rincian tentang cara kerja jalur jaringan yang berbeda.

Setelah pengguna masuk ke AWS Management Console, mereka membuat permintaan Layanan AWS melalui kombinasi permintaan browser langsung dan permintaan yang diproksi oleh server AWS Management Console web ke AWS server. Misalnya, permintaan data CloudWatch grafik dibuat langsung dari browser. Sedangkan beberapa permintaan konsol AWS layanan, seperti Amazon S3, diproksi oleh server web ke Amazon S3.

Untuk permintaan browser langsung, menggunakan Akses AWS Management Console Pribadi tidak mengubah apa pun. Seperti sebelumnya, permintaan mencapai layanan melalui jalur jaringan apa pun yang VPC telah dikonfigurasi untuk dijangkaumonitoring.region.amazonaws.com. Jika VPC dikonfigurasi dengan VPC titik akhir untukcom.amazonaws.region.monitoring, permintaan akan mencapai CloudWatch melalui titik CloudWatch VPC akhir itu. Jika tidak ada VPC titik akhir untuk CloudWatch, permintaan akan mencapai CloudWatch titik akhir publiknya, melalui Internet Gateway di. VPC Permintaan yang tiba CloudWatch melalui CloudWatch VPC titik akhir akan memiliki IAM kondisi aws:SourceVpc dan aws:SourceVpce disetel ke nilainya masing-masing. Mereka yang mencapai CloudWatch melalui titik akhir publiknya akan aws:SourceIp mengatur ke alamat IP sumber permintaan. Untuk informasi selengkapnya tentang kunci IAM kondisi ini, lihat Kunci kondisi global di Panduan IAM Pengguna.

Untuk permintaan yang diproksi oleh server AWS Management Console web, seperti permintaan yang dibuat konsol Amazon S3 untuk mencantumkan bucket Anda saat Anda mengunjungi konsol Amazon S3, jalur jaringannya berbeda. Permintaan ini tidak dimulai dari Anda VPC dan oleh karena itu tidak menggunakan VPC titik akhir yang mungkin telah Anda konfigurasikan pada layanan AndaVPC. Bahkan jika Anda memiliki VPC titik akhir untuk Amazon S3 dalam kasus ini, permintaan sesi Anda ke Amazon S3 untuk membuat daftar bucket tidak menggunakan titik akhir Amazon S3. VPC Namun, saat Anda menggunakan Akses AWS Management Console Pribadi dengan layanan yang didukung, permintaan ini (misalnya, ke Amazon S3) akan menyertakan kunci aws:SourceVpc kondisi dalam konteks permintaannya. Kunci aws:SourceVpc kondisi akan disetel ke VPC ID tempat titik akhir Akses AWS Management Console Pribadi Anda untuk login dan konsol digunakan. Jadi, jika Anda menggunakan aws:SourceVpc batasan dalam kebijakan berbasis identitas, Anda harus menambahkan VPC ID ini VPC yang menghosting titik masuk dan AWS Management Console konsol Akses Pribadi. aws:SourceVpceKondisi akan diatur ke masing-masing titik masuk atau titik VPC akhir IDs konsol.

catatan

Jika pengguna Anda memerlukan akses ke konsol layanan yang tidak didukung oleh Akses AWS Management Console Pribadi, Anda harus menyertakan daftar alamat jaringan publik yang diharapkan (seperti rentang jaringan lokal) menggunakan kunci aws:SourceIP kondisi dalam kebijakan berbasis identitas pengguna.

Bagaimana jalur jaringan yang berbeda tercermin dalam CloudTrail

Jalur jaringan yang berbeda yang digunakan oleh permintaan yang dihasilkan oleh Anda AWS Management Console tercermin dalam riwayat CloudTrail acara Anda.

Untuk permintaan browser langsung, menggunakan Akses AWS Management Console Pribadi tidak mengubah apa pun. CloudTrail event akan mencakup detail tentang koneksi, seperti ID VPC endpoint yang digunakan untuk melakukan API panggilan layanan.

Untuk permintaan yang diproksi oleh server AWS Management Console web, CloudTrail acara tidak akan menyertakan detail VPC terkait. Namun, permintaan awal AWS Sign-In yang diperlukan untuk membuat sesi browser, seperti jenis AwsConsoleSignIn acara, akan menyertakan ID AWS Sign-In VPC titik akhir dalam detail acara.