實施服務控制策略和VPC端點策略

您可以針對 AWS Management Console 私人存取使用服務控制原則 (SCPs) 和VPC端點原則，限制允許 AWS Management Console 從您VPC及其連線的內部部署網路內使用的帳戶集。

搭配 AWS Organizations 服務控制原則使用 AWS Management Console 私人存取

如果您的 AWS 組織使用允許特定服務的服務控制策略 (SCP)，則必須新增signin:*至允許的動作。需要此權限，因為 AWS Management Console 透過私人存取VPC端點登入會執行IAM授權，在未經許可的情況下SCP封鎖這些權限。例如，以下服務控制政策允許在組織中使用 Amazon EC2 和 CloudWatch 服務，包括使用 AWS Management Console 私有存取端點存取這些服務的時間。

{
  "Effect": "Allow",
  "Action": [
    "signin:*",
    "ec2:*",
    "cloudwatch:*",
    ... Other services allowed
  },
  "Resource": "*"
}

如需有關的詳細資訊SCPs，請參閱AWS Organizations 使用指南中的服務控制策略 (SCPs)。

僅允許 AWS Management Console 使用預期的帳戶和組織 (受信任的身分)

AWS Management Console 並 AWS 登入 支援專門控制登入帳戶身分的VPC端點策略。

與其他VPC端點策略不同，該策略會在驗證之前進行評估。因此，它會特別控制已驗證工作階段的登入和使用，而不會控制工作階段採取的任何 AWS 服務特定動作。例如，當工作階段存取 AWS 服務主控台 (例如 Amazon EC2 主控台) 時，系統不會針對顯示該頁面所採取的 Amazon EC2 動作評估這些VPC端點政策。相反地，您可以使用與已登入的IAM主參與者相關聯的IAM原則來控制其對 AWS 服務動作的權限。

注意

VPC端點 AWS Management Console 和 SignIn VPC端點的端點策略僅支援有限的策略公式子集。每個 Principal 和 Resource 都應設定為 *，而 Action 應設定為 * 或 signin:*。您可以使用aws:PrincipalOrgId和aws:PrincipalAccount條件金鑰來控制VPC端點的存取。

建議主控台和 SignIn VPC端點使用下列策略。

此VPC端點策略允許在指定 AWS 組織 AWS 帳戶 中登錄並阻止登錄到任何其他帳戶。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}

此VPC端點策略將登錄限制為特定列表， AWS 帳戶 並阻止任何其他帳戶的登錄。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "111122223333", "222233334444" ]
        }
      }
    }
  ]
}

限制 AWS Management Console 和登入VPC端點 AWS 帳戶 或組織的政策會在登入時進行評估，並針對現有工作階段定期重新評估。