Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Implementación de políticas basadas en identidad y otros tipos de políticas

Para gestionar el acceso, debe crear políticas y adjuntarlas a las identidades de IAM (usuarios, grupos de usuarios o roles) o a los recursos. AWS AWS En esta página, se describe cómo funcionan las políticas cuando se utilizan junto con Consola de administración de AWS Private Access.

Claves de contexto de condición AWS global compatibles

Consola de administración de AWS El acceso privado no admite aws:SourceVpce ninguna clave de contexto de condición aws:VpcSourceIp AWS global. En su lugar, puede utilizar la condición de IAM aws:SourceVpc en sus políticas cuando utilice Consola de administración de AWS Private Access.

Cómo funciona Consola de administración de AWS Private Access con AWS: SourceVpc

En esta sección se describen las distintas rutas de red a las que Consola de administración de AWS pueden dirigirse las solicitudes generadas por usted Servicios de AWS. En general, las consolas de AWS servicio se implementan con una combinación de solicitudes directas del navegador y solicitudes enviadas por proxy desde los servidores Consola de administración de AWS web. Servicios de AWS Estas implementaciones están sujetas a cambios sin previo aviso. Si sus requisitos de seguridad incluyen el acceso al Servicios de AWS uso de puntos de enlace de VPC, le recomendamos que configure los puntos de enlace de VPC para todos los servicios que desee utilizar desde la VPC, ya sea directamente o mediante acceso privado. Consola de administración de AWS Además, debe utilizar la condición de aws:SourceVpc IAM en sus políticas en lugar de aws:SourceVpce valores específicos con la función de acceso privado. Consola de administración de AWS En esta sección, se proporcionan detalles sobre cómo funcionan las diferentes rutas de red.

Una vez que un usuario inicia sesión en Consola de administración de AWS, realiza las solicitudes Servicios de AWS mediante una combinación de solicitudes directas del navegador y solicitudes que los servidores Consola de administración de AWS web envían mediante proxy a AWS los servidores. Por ejemplo, las solicitudes de datos CloudWatch gráficos se realizan directamente desde el navegador. Mientras que algunas solicitudes de la consola de AWS servicio, como Amazon S3, se envían mediante proxy desde el servidor web a Amazon S3.

En el caso de las solicitudes directas desde el navegador, el uso del acceso Consola de administración de AWS privado no supone ningún cambio. Como antes, la solicitud llega al servicio a través de cualquier ruta de red para la que la VPC esté configurada para llegar a monitoring.region.amazonaws.com. Si la VPC está configurada con un punto de enlace de VPC paracom.amazonaws.region.monitoring, la solicitud llegará a través de CloudWatch ese punto de enlace de VPC. CloudWatch Si no hay ningún punto final de la VPC CloudWatch, la solicitud llegará a su punto final público, CloudWatch a través de una puerta de enlace de Internet en la VPC. Las solicitudes que lleguen a CloudWatch través del punto final de la CloudWatch VPC tendrán las condiciones de IAM aws:SourceVpc y se aws:SourceVpce establecerán en sus valores respectivos. Las que accedan CloudWatch a través de su punto final público deberán aws:SourceIp configurar la dirección IP de origen de la solicitud. Para obtener más información sobre estas claves de condición de IAM, consulte Claves de condición global en la Guía del usuario de IAM.

En el caso de las solicitudes enviadas por proxy por el servidor Consola de administración de AWS web, como la solicitud que realiza la consola Amazon S3 para incluir sus buckets cuando visita la consola Amazon S3, la ruta de red es diferente. Estas solicitudes no se inician desde la VPC y, por lo tanto, no utilizan el punto de conexión de VPC que es posible que haya configurado en la VPC para ese servicio. Incluso si, en este caso, tiene un punto de conexión de VPC para Amazon S3, la solicitud de su sesión a Amazon S3 para enumerar los buckets no utiliza el punto de conexión de VPC de Amazon S3. Sin embargo, cuando utilice el acceso Consola de administración de AWS privado con los servicios compatibles, estas solicitudes (por ejemplo, a Amazon S3) incluirán la clave de aws:SourceVpc condición en el contexto de la solicitud. La clave de aws:SourceVpc condición se establecerá en el ID de VPC en el que se implementan los puntos finales de acceso Consola de administración de AWS privado para el inicio de sesión y la consola. Por lo tanto, si utiliza restricciones aws:SourceVpc en sus políticas basadas en identidad, debe añadir el ID de esta VPC que aloja los puntos de conexión de consola y de inicio de sesión de Consola de administración de AWS Private Access. La aws:SourceVpce condición se establecerá en el punto de conexión de IDs VPC de consola o de inicio de sesión correspondiente.

Cómo se reflejan las diferentes rutas de red en CloudTrail

Las diferentes rutas de red utilizadas por las solicitudes generadas por Consola de administración de AWS usted se reflejan en su historial de CloudTrail eventos.

En el caso de las solicitudes directas desde el navegador, el uso del acceso Consola de administración de AWS privado no cambia nada. CloudTrail los eventos incluirán detalles sobre la conexión, como el ID del punto final de la VPC que se utilizó para realizar la llamada a la API del servicio.

En el caso de las solicitudes enviadas por proxy por el servidor Consola de administración de AWS web, CloudTrail los eventos no incluirán ningún detalle relacionado con la VPC. Sin embargo, las solicitudes iniciales necesarias para AWS Sign-In establecer la sesión del navegador, como el tipo de AwsConsoleSignIn evento, incluirán el ID del punto final de la AWS Sign-In VPC en los detalles del evento.