實作以身分為基礎的政策以及其他政策類型 - AWS Management Console
支援的 AWS 全域條件上下文鍵AWS Management Console 私人訪問如何與 aws 配合使用:SourceVpc如何反映不同的網路路徑 CloudTrail

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

實作以身分為基礎的政策以及其他政策類型

您可以 AWS 透過建立原則並將其附加至IAM身分識別 (使用者、使用者群組或角色) 或 AWS 資源來管理中的存取。本頁說明原則與 AWS Management Console 私人存取一起使用時的運作方式。

支援的 AWS 全域條件上下文鍵

AWS Management Console 私有訪問不支持aws:SourceVpceaws:VpcSourceIp AWS 全局條件上下文鍵。使用 AWS Management Console 私人存取時,您可以改用原則中的aws:SourceVpcIAM條件。

AWS Management Console 私人訪問如何與 aws 配合使用:SourceVpc

本節說明您所產生之要求 AWS Management Console 可以採取的各種網路路徑 AWS 服務。一般而言, AWS 服務主控台是以 AWS Management Console Web 伺服器代理的直接瀏覽器要求和要求混合來實作。 AWS 服務這些實作可能會有所變更,且不會另行通知。如果您的安全性需求包括存取 AWS 服務 使用VPC端點,建議您為要從中VPC使用的所有服務 (無論是直接或透過 AWS Management Console 私人存取) 設定VPC端點。此外,您必須在政策中使用aws:SourceVpcIAM條件,而不是使用「 AWS Management Console 私人存取」功能的特定aws:SourceVpce值。本節提供不同網路路徑如何運作的詳細資訊。

使用者登入之後 AWS Management Console,他們會 AWS 服務 透過直接瀏覽器要求和由 AWS Management Console 網頁伺服器代理到伺服器的要求的組合來 AWS 發出要求。例如, CloudWatch 圖形資料要求是直接從瀏覽器發出。有些 AWS 服務主控台請求 (例如 Amazon S3) 是由網路伺服器代理至 Amazon S3。

對於直接瀏覽器請求,使用 AWS Management Console 私人訪問不會改變任何內容。與以前一樣,請求通過配置要訪問的任何網絡路徑到達服務monitoring.region.amazonaws.com。VPC如果使VPC用的VPC端點設定com.amazonaws.region.monitoring,則要求將 CloudWatch透過該 CloudWatch VPC端點到達。如果沒VPC CloudWatch有用於的端點,請求將通 CloudWatch 過VPC. CloudWatch 透過 CloudWatch VPC端點方式到達的要求將具有IAM條件aws:SourceVpcaws:SourceVpce設定為其各自的值。 CloudWatch 透過其公用端點到達的使用者將會aws:SourceIp設定為要求的來源 IP 位址。如需有關這些IAM條件索引鍵的詳細資訊,請參閱《IAM使用指南》中的全域條件索引鍵

對於 AWS Management Console Web 伺服器代理的請求 (例如 Amazon S3 主控台在您造訪 Amazon S3 主控台時,Amazon S3 主控台發出的請求),網路路徑會有所不同。這些請求不是從您發起的VPC,因此不會使用您可能在該服務上配置的VPCVPC端點。即使在這種情況下,您的工作階段向 Amazon S3 列出儲存貯體的請求也不會使用 Amazon S3 VPC 端點。VPC但是,當您將 AWS Management Console 私有存取與支援的服務搭配使用時,這些請求 (例如,對 Amazon S3) 會在其請求內容中包含aws:SourceVpc條件金鑰。aws:SourceVpc條件密鑰將設置為用於登錄和控制台的 AWS Management Console 私人訪問端點部署的 VPC ID。因此VPC,如果您在基於身份的策略中使用aws:SourceVpc限制,則必須添加託管 AWS Management Console 私人訪問登錄和控制台端點的 VPC ID。aws:SourceVpce條件將設定為相應的登入或主控台VPC端點IDs。

注意

如果您的使用者要求存取 AWS Management Console 私有存取不支援的服務主控台,您必須在使用者的身分式政策中使用 aws:SourceIP 條件金鑰來包含您預期的公有網路地址清單 (例如您的內部部署網路範圍)。

如何反映不同的網路路徑 CloudTrail

由您產生的要求所使用的不同網路路徑會反映 AWS Management Console 在您的 CloudTrail 事件歷史記錄中。

對於直接瀏覽器請求,使用 AWS Management Console 私人訪問不會改變任何內容。 CloudTrail 事件將包含有關連線的詳細資料,例如用來進行服務API呼叫的VPC端點識別碼。

對於由 AWS Management Console Web 伺服器代理的要求, CloudTrail 事件將不會包含任何VPC相關詳細資料。不過,建立瀏覽器工作階段 (例如AwsConsoleSignIn事件類型) 所需的初始要求會在事件詳細資料中包含 AWS 登入 VPC端點識別碼。 AWS 登入