View a markdown version of this page

Controle do acesso ao console com políticas baseadas em recursos e políticas de controle de recursos - AWS Sign-In

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle do acesso ao console com políticas baseadas em recursos e políticas de controle de recursos

Importante

O acesso ao login do console está habilitado por padrão. AWS Sign-In permite acesso irrestrito ao console inicialmente. Para adicionar restrições, ative a configuração de autorização do console para sua conta ou organização. As declarações de permissão de recursos que você cria não têm efeito até que você habilite a autorização do console. Consulte Introdução ao controle de acesso ao console usando políticas de recursos.

AWS Sign-In suporta políticas baseadas em recursos e políticas de controle de recursos (RCPs) para controlar o acesso a. AWS Sign-In Use essas políticas para verificar a identidade do usuário e a localização da rede durante todo o Console de gerenciamento da AWS acesso — antes, durante e depois da autenticação. Para usuários root, essas políticas validam a localização da rede e a identidade do usuário antes do início da coleta de credenciais. As credenciais só podem ser inseridas quando o acesso se origina nas redes esperadas.

AWS Sign-In políticas baseadas em recursos:

  • Aplique a AWS contas individuais.

  • Permita que os administradores da conta restrinjam o acesso ao console com base nos parâmetros da rede e nas identidades principais.

Políticas de controle de recursos (RCPs):

  • Inscreva-se em toda a organização por meio do AWS Organizations.

  • Forneça governança centralizada em todas as contas dos membros.

Ambos os tipos de política verificam o acesso antes da autenticação. Isso impede que os diretores acessem a página de login de redes inesperadas.

Essas políticas não substituem as políticas baseadas em identidade do IAM, que continuam sendo aplicadas.

nota

Para obter a documentação completa sobre políticas de controle de recursos, incluindo configuração e gerenciamento em nível organizacional, consulte Políticas de controle de recursos no Guia do usuário do AWS Organizations. Esta seção se concentra principalmente em políticas AWS Sign-In baseadas em recursos.

AWS Sign-In políticas baseadas em recursos e RCPs se aplicam aos seguintes métodos de autenticação:

  • Console de gerenciamento da AWS— Login direto usando a página de login do console.

  • AWS IAM Identity Center — login no console usando o IAM Identity Center.

  • Provedores de identidade federados — Sign-in por meio da federação SAML ou OIDC.

  • Aplicativos integrados com AWS Sign-In — Amazon Connect, Amazon QuickSight, AWS Health Dashboard, Amazon AppStream, Amazon Lightsail, AWS IQ.

Esses controles não se aplicam ao acesso programático usando chaves de acesso (AWS SDKs ou chamadas de API assinadas com SigV4).

Como AWS Sign-In avalia políticas baseadas em recursos

AWS Sign-In avalia as políticas baseadas em recursos ou as políticas de controle de recursos (RCPs) aplicáveis em dois pontos durante o acesso ao console: antes da autenticação (a fase de pré-autenticação) e após a autenticação bem-sucedida (a fase de pós-autenticação). Cada avaliação verifica as chaves de condição definidas em sua política. As teclas disponíveis dependem da fase e da ação. Para obter detalhes, consulte Chaves de condição compatíveis.

nota

Para o login do usuário root, uma tentativa de acesso de redes inesperadas é bloqueada antes que a solicitação de senha apareça. Isso evita o envio de credenciais de redes inesperadas.

Após a autenticação, a avaliação também considera as políticas baseadas em identidade do diretor. Uma política do IAM que nega a ação de login relevante pode impedir que a sessão do console seja concedida, mesmo quando as condições da rede forem atendidas.

Ações compatíveis

AWS Sign-In as políticas de recursos (políticas baseadas em recursos e RCPs) apoiam as seguintes ações:

signin:Authenticate

Essa é uma ação somente de avaliação (não chamável) que é avaliada quando uma solicitação de login é recebida. Essa é uma verificação de pré-autenticação e acontece quando o principal insere as credenciais na página de login (usuário raiz, usuário do IAM) ou inicia o login no console usando credenciais de um provedor de identidade ou do AWS STS (usuário federado, função).

Teclas de condição suportadas: aws:SourceIpaws:SourceVpc,aws:SourceVpce,,aws:VpcSourceIp,aws:RequestedRegion,signin:PrincipalArn.

Principal-based as chaves de condição globais (aws:PrincipalArn,aws:PrincipalAccount) não estão disponíveis para essa ação porque a identidade do usuário ainda não foi confirmada.

signin:AuthorizeOAuth2Access

Usado para geração de código de autorização OAuth. Após a autenticação bem-sucedida, essa ação é acionada quando o sistema gera um código de autorização OAuth. Nesse ponto, o usuário é autenticado e as chaves de condição baseadas no principal estão disponíveis.

Teclas de condição suportadas: aws:SourceIpaws:SourceVpc,aws:SourceVpce,aws:VpcSourceIp,,aws:RequestedRegion,aws:PrincipalArn,aws:PrincipalAccount.

signin:CreateOAuth2Token

Essa ação de pós-autenticação é usada para criação e troca de tokens OAuth. Essa ação é acionada ao resgatar códigos de autorização para tokens de acesso, atualização de tokens ou execução de operações de troca de tokens. Principal-based chaves de condição estão disponíveis durante essa fase.

Teclas de condição suportadas: aws:SourceIpaws:SourceVpc,aws:SourceVpce,aws:VpcSourceIp,,aws:RequestedRegion,aws:PrincipalArn,aws:PrincipalAccount.

Importante

Ao criar AWS Sign-In políticas (políticas baseadas em recursos ou RCPs), cubra todas as três ações em sua política — em uma declaração de pré-autenticação signin:AuthorizeOAuth2Access e signin:Authenticate signin:CreateOAuth2Token em uma declaração de pós-autenticação. O login no console usa o OAuth 2.0, que flui pelas três ações sequencialmente. Se sua política omitir uma ação, a fase correspondente não será protegida. Para ações de política de endpoints de VPC, inclusive, signin:CreateAccount consulte Acesso privado do AWS Management Console.

Chaves de condição compatíveis

AWS Sign-In suporta as seguintes chaves de condição em políticas baseadas em recursos e políticas de controle de recursos (RCPs). Use essas chaves para controlar o acesso ao console com base na localização da rede e na identidade principal:

  • Network-based (todas as ações):aws:SourceIp,aws:SourceVpc,aws:SourceVpce,aws:VpcSourceIp,aws:RequestedRegion.

  • Identity-based (ações de pós-autenticação):aws:PrincipalArn,aws:PrincipalAccount.

  • Service-specific (somente pré-autenticação):signin:PrincipalArn.

Para ver as regras de uso detalhadas, a compatibilidade do operador, as restrições de combinação e a matriz de disponibilidade por ação, consulteAWS Sign-In referência de chaves de condição.

Introdução ao controle de acesso ao console usando políticas de recursos

Pré-requisitos

Importante

Antes de ativar a autorização do console na produção, AWS recomenda configurar pelo menos um principal excluído para manter o acesso de recuperação de emergência. Todos os diretores, incluindo o usuário root, estão sujeitos à política, a menos que sejam explicitamente excluídos. Os principais excluídos são opcionais, mas omiti-los aumenta o risco de bloqueio da conta se as condições da rede mudarem inesperadamente.

Especifique --region us-east-1 para todas as operações de gravação nas AWS Sign-In políticas. AWS replica as políticas globais desta região. As operações de leitura podem ter como alvo qualquer região.

Etapa 1: criar declarações de permissão de recursos

Crie declarações de permissão que definam seus controles de acesso. Todas as operações de gravação são necessárias --region us-east-1 (o AWS Sign-In serviço aceita alterações de política somente nesta região). Os demais parâmetros (--source-vpc,--source-ip,--requested-region,--excluded-principal) definem as condições em sua política. Por exemplo, --requested-region us-west-2 adiciona uma condição que restringe o login ao endpoint de login regional us-west-2.

Exemplo — Restrinja o acesso à VPC corporativa:

aws signin put-resource-permission-statement \ --source-vpc vpc-0abc123def456789 \ --requested-region us-west-2 \ --excluded-principal "arn:aws:iam::123456789012:user/EmergencyAdmin" \ --client-token unique-request-id-12345 \ --region us-east-1

Exemplo — Restrinja o acesso a uma faixa de IP específica:

aws signin put-resource-permission-statement \ --source-ip "IP_ADDRESS" \ --excluded-principal "arn:aws:iam::123456789012:role/BreakGlassRole" \ --region us-east-1
nota

O --excluded-principal parâmetro designa um principal excluído que ignora as restrições da rede, preservando o acesso de emergência se as condições da rede mudarem.

Etapa 2: Habilitar a configuração de autorização do console

A etapa a seguir ativa a aplicação da política para o processo de login do console em sua conta ou organização. As declarações de permissão de recursos podem ser criadas a qualquer momento, mas não são avaliadas até que a autorização do console seja habilitada.

Atenção

Ativar a autorização do console pode bloquear os principais se as condições da rede estiverem configuradas incorretamente ou se uma política de controle de serviço (SCP) ou uma política de controle de recursos (RCP) existente negar as ações. AWS Sign-In Antes de habilitar a autorização do console, confirme se suas declarações de permissão estão corretas e remova ou ajuste qualquer SCP ou RCP que neguesignin:Authenticate, signin:AuthorizeOAuth2Access ou. signin:CreateOAuth2Token

Para contas autônomas:

aws signin put-console-authorization-configuration \ --target-id <your-aws-account-id> \ --region us-east-1

Para AWS Organizations:

aws signin put-console-authorization-configuration \ --target-id <your-aws-organization-id> \ --region us-east-1

Verifique a configuração:

aws signin get-console-authorization-configuration \ --target-id <your-target-id> \ --region <your-region>

Exclua a configuração de autorização do console:

aws signin delete-console-authorization-configuration \ --target-id <your-target-id> \ --region us-east-1

Etapa 3: verifique sua política

Liste todas as declarações de permissão:

aws signin list-resource-permission-statements \ --max-results 50 \ --region <your-region>

Recupere a política consolidada completa:

aws signin get-resource-policy \ --region <your-region>

O get-resource-policy comando retorna a política completa baseada em recursos composta por todas as suas declarações de permissão. Revise esta política para confirmar se ela reflete os controles de acesso pretendidos antes de testar o acesso ao console.

Disponibilidade regional

As APIs de autorização do console estão disponíveis em todas as regiões AWS comerciais. Você pode chamar essas APIs de qualquer região em que opera.

Importante

As operações de gravação (put-console-authorization-configurationput-resource-permission-statement,delete-console-authorization-configuration,,delete-resource-permission-statement) devem ser executadas na us-east-1 região. As políticas criadas em se replicam us-east-1 automaticamente globalmente. As operações de leitura (get-console-authorization-configurationlist-resource-permission-statements,,get-resource-policy) podem ser realizadas em qualquer região.

Entendendo a estrutura política

AWS Sign-In as políticas contêm duas declarações que protegem diferentes fases do fluxo de login do console:

  • Pre-authentication declaração (Ação:signin:Authenticate): avaliada quando a solicitação de login é recebida, antes da conclusão da autenticação. A chave global não aws:PrincipalArn está disponível nessa fase porque a identidade do diretor não foi confirmada. Nesta fase signin:PrincipalArn está disponível para isentar diretores específicos das restrições de rede. Network-based chaves de condição estão disponíveis para avaliação nesta fase.

  • Post-authentication declaração (Ação:signin:AuthorizeOAuth2Access,signin:CreateOAuth2Token): avaliada após a autenticação, durante a troca do token OAuth. Usa aws:PrincipalArn para isentar diretores específicos. Todas as chaves de condição baseadas em rede e identidade estão disponíveis para avaliação nesta fase.

Ambas as instruções são necessárias porque o login no console usa o OAuth 2.0, que flui pelas três ações sequencialmente. Uma política com apenas uma declaração deixa a outra fase desprotegida. signin:PrincipalArnoferece suporte aos tipos de usuário raiz, usuário do IAM e principal função. aws:PrincipalArnsuporta todos os tipos principais (usuário raiz, usuário do IAM, usuário federado, função).

Exemplos de políticas

Exemplo 1: RCP com perímetro de rede e principais excluídos

A política de controle de recursos (RCP) a seguir nega o Console de gerenciamento da AWS login de fora da rede corporativa em todas as contas da sua organização. Diretores excluídos designados estão isentos de acesso emergencial. Como os IDs de VPC são exclusivos somente dentro de uma região, a política inclui uma terceira declaração que fixa o VPC-based acesso à região esperada.

A EnforceNetworkPerimeterPreAuth declaração é usada signin:PrincipalArn para isentar diretores excluídos durante a fase de pré-autenticação. A EnforceNetworkPerimeterPostAuth declaração é usada aws:PrincipalArn para isentar os diretores excluídos após a autenticação. A EnforceSourceVPCRegion declaração garante que a região da solicitação corresponda à região da VPC, restringindo o acesso à região esperada para a VPC especificada.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnforceNetworkPerimeterPreAuth", "Effect": "Deny", "Principal": "*", "Action": ["signin:Authenticate"], "Resource": "*", "Condition": { "ArnNotEquals": { "signin:PrincipalArn": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root", "arn:aws:iam::777788889999:user/EmergencyUser", "arn:aws:iam::777788889999:role/OrgBreakGlassRole" ] }, "NotIpAddressIfExists": { "aws:SourceIp": "<my-corporate-cidr>" }, "StringNotEquals": { "aws:SourceVpc": "<my-vpc>" } } }, { "Sid": "EnforceNetworkPerimeterPostAuth", "Effect": "Deny", "Principal": "*", "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"], "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root", "arn:aws:iam::777788889999:user/EmergencyUser", "arn:aws:iam::777788889999:role/OrgBreakGlassRole" ] }, "NotIpAddressIfExists": { "aws:SourceIp": "<my-corporate-cidr>" }, "StringNotEquals": { "aws:SourceVpc": "<my-vpc>" } } }, { "Sid": "EnforceSourceVPCRegion", "Effect": "Deny", "Principal": "*", "Action": [ "signin:Authenticate", "signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc": "<my-vpc>" }, "StringNotEqualsIfExists": { "aws:RequestedRegion": "<my-vpc-region>" } } } ] }

Esta política:

  • Nega o acesso à página de login, a menos que a solicitação seja originada do intervalo de IP corporativo ou da VPC corporativa. As contas raiz excluídas e os usuários do IAM são isentos por meio de signin:PrincipalArn (pré-autenticação).

  • Nega a troca de tokens OAuth, a menos que seja do intervalo de IP corporativo ou VPC. Contas raiz, usuários do IAM e funções excluídos são isentos por meio de aws:PrincipalArn (chave global de pós-autenticação).

  • Se uma solicitação vier da VPC especificada, mas a região não corresponder, o acesso será negado. AWS Os IDs de VPC são exclusivos em uma região, e o mesmo ID de VPC pode existir em diferentes regiões.

  • Aplica-se globalmente em toda a sua organização da AWS quando configurado como um RCP.

Exemplo 2: Resource-based política de IP-based acesso com principal excluído

A política baseada em recursos a seguir nega o acesso ao console a todos os principais que fazem solicitações de fora do intervalo de IP especificado, com um principal excluído isento. A política contém duas declarações: uma declaração de pré-autenticação que usa a signin:PrincipalArn chave específica do serviço e uma declaração de pós-autenticação que usa a chave global. aws:PrincipalArn

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:Authenticate"], "Resource": "*", "Condition": { "ArnNotEquals": { "signin:PrincipalArn": "<excluded-principal-arn>" }, "NotIpAddress": { "aws:SourceIp": "<my-corporate-cidr>" }, "StringEquals": { "aws:ResourceAccount": "<my-aws-account-id>" } } }, { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"], "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": "<excluded-principal-arn>" }, "NotIpAddress": { "aws:SourceIp": "<my-corporate-cidr>" }, "StringEquals": { "aws:ResourceAccount": "<my-aws-account-id>" } } } ] }

Esta política:

  • Nega o acesso a todos os principais, a menos que eles se conectem a partir do intervalo de IP. <my-corporate-cidr>

  • Isenta o principal excluído das restrições de rede usando signin:PrincipalArn (pré-autenticação) e aws:PrincipalArn (pós-autenticação).

  • Aplica-se somente à conta específica em que a política baseada em recursos está configurada (identificada por<my-aws-account-id>).

Práticas recomendadas

Configurar diretores excluídos para acesso de recuperação de emergência

AWS recomenda configurar pelo menos um usuário excluído antes de aplicar as políticas de autorização do console na produção. No estágio de pré-autenticação, a chave de signin:PrincipalArn condição isenta o usuário raiz, o usuário do IAM e os responsáveis pela função. No estágio de pós-autenticação, a chave de aws:PrincipalArn condição isenta todos os tipos principais (usuário raiz, usuário do IAM, usuário federado, função).

Os principais excluídos são opcionais, mas omiti-los aumenta o risco de bloqueio da conta se as condições da rede mudarem inesperadamente ou se as políticas forem configuradas incorretamente.

Etapas de configuração principal excluídas recomendadas:

  1. Crie uma função do IAM excluída (por exemplo,BreakGlassRole).

  2. Para funções excluídas, exija MFA na política de confiança da função.

  3. Conceda à identidade excluída somente as permissões mínimas necessárias para a recuperação de emergência.

  4. Inclua o ARN principal excluído nas declarações de política de pré-autenticação (signin:PrincipalArn) e pós-autenticação (aws:PrincipalArn).

  5. Documente o procedimento de recuperação e guarde-o com segurança no exterior. AWS

  6. O teste excluiu o acesso principal periodicamente para confirmar se ele funciona quando necessário.

Mantenha os caminhos de acesso à recuperação

Além do principal excluído descrito acima, certifique-se de que métodos alternativos de acesso estejam disponíveis caso as políticas de autorização do console bloqueiem o login inesperadamente:

  • Role-based acesso programático: as políticas de autorização do console se aplicam somente ao login interativo do console. Eles não se aplicam às solicitações de API assinadas com o SigV4. Se você tiver acesso programático (por exemplo, chaves de acesso existentes, uma função entre contas), use-o para chamar signin:DeleteConsoleAuthorizationConfiguration e remover a política de restrição. As credenciais devem incluir signin:DeleteConsoleAuthorizationConfiguration permissão (incluída na política AWSSignInResourcePolicyManagement gerenciada). AWS recomenda credenciais temporárias em vez de chaves de acesso de usuário do IAM de longo prazo. Para contas de membros, os administradores da conta de gerenciamento podem assumir OrganizationAccountAccessRole na conta do membro (aws sts assume-role) a obtenção dessas credenciais temporárias.

  • AWS recuperação de suporte: mantenha o e-mail e o número de telefone da sua conta de usuário root atualizados. Se o acesso principal excluído e o acesso programático não estiverem disponíveis, o AWS Support poderá fornecer um link do portal de recuperação após a verificação da identidade. Consulte Minha conta está bloqueada depois de ativar a autorização do console o processo completo de recuperação.

Teste antes da implantação da produção

AWS recomenda que você não anexe RCPs restritivos à raiz da sua organização sem testar minuciosamente o impacto que a política tem nas contas. Em vez disso, crie uma OU para a qual você possa transferir suas contas uma de cada vez, ou pelo menos em pequenos números, para garantir que você não bloqueie inadvertidamente os usuários das principais contas.

Fluxo de trabalho de teste:

  1. Crie uma única declaração de permissão com suas restrições de rede primária.

  2. Ative a autorização do console em uma conta que não seja de produção.

  3. Teste o acesso ao console de redes permitidas e negadas.

  4. Analise CloudTrail os registros da Amazon para confirmar o comportamento de avaliação de políticas.

  5. Teste o acesso usando seu diretor excluído.

  6. Expanda gradualmente para redes e contas adicionais.

  7. Monitore antes de aplicar as contas de produção.

Design com defesa em profundidade

Use políticas AWS Sign-In baseadas em recursos e políticas de controle de recursos como uma camada dentro de uma estratégia de segurança mais ampla. AWS Sign-In as políticas restringem o acesso ao console com base na localização da rede e na identidade principal. Combine-as com outros tipos de políticas para criar controles de acesso abrangentes:

  • AWS Sign-In políticas (políticas baseadas em recursos e RCPs): restrinja o acesso ao console com base na localização da rede e na identidade principal antes, durante e depois da autenticação.

  • Políticas do IAM: controle quais ações os usuários podem realizar após o login.

  • Políticas de controle de serviços (SCPs): aplique barreiras de permissão em toda a organização em todos os diretores.

  • Políticas de VPC endpoint: controle quais serviços e contas podem ser acessados por meio de VPC endpoints.

Monitore e audite continuamente

AWS CloudTrail registra automaticamente todas as avaliações AWS Sign-In de políticas e alterações de configuração. Veja esses CloudTrail eventos no histórico de eventos por até 90 dias. Para uma retenção mais longa, entregue eventos para o Amazon S3 criando uma trilha (consulte Criação de uma trilha). Para alertas em tempo real, crie EventBridge regras da Amazon que correspondam aos AWS Sign-In eventos, configure sua trilha para ser entregue a um grupo de CloudWatch registros de registros para alarmes baseados em filtros métricos ou encaminhe eventos para sua solução SIEM existente.

Casos de uso

Aplicação do perímetro de rede

Restrinja o acesso ao console a VPCs corporativas ou intervalos de IP aprovados. Use políticas baseadas em recursos para contas individuais ou políticas de controle de recursos (RCPs) para fiscalização em toda a organização, a fim de garantir que os usuários só possam entrar em locais de rede confiáveis, impedindo o acesso não autorizado de redes públicas ou não confiáveis.

Cenário de exemplo: uma empresa exige que todo o acesso ao console seja originado de sua rede corporativa ou de AWS VPCs aprovadas. Eles configuram uma política baseada em recursos para uma única conta, ou um RCP em toda a organização, que nega o acesso de todas as outras redes e, ao mesmo tempo, mantém o acesso de recuperação de emergência para administradores de emergência.

Requisitos de conformidade

Atenda aos requisitos normativos para controles de acesso baseados em rede. Muitas estruturas de conformidade exigem que as organizações restrinjam o acesso a sistemas confidenciais com base na localização da rede. AWS Sign-In as políticas fornecem controles auditáveis e aplicáveis que demonstram conformidade com esses requisitos.

Exemplo de cenário: uma empresa de serviços financeiros deve cumprir os regulamentos que exigem acesso ao console somente a partir de redes aprovadas. Eles usam RCPs para impor restrições de rede em toda a organização e manter AWS CloudTrail registros como evidência de conformidade.

Multi-account governança

Implemente políticas consistentes de acesso ao console em toda a AWS Organizations. Use RCPs para impor restrições de rede padrão em todas as contas dos membros, garantindo uma postura de segurança consistente sem exigir configuração individual em nível de conta.

Cenário de exemplo: uma empresa com mais de 100 AWS contas usa RCPs para aplicar uma política que exige que todo o acesso ao console seja originado de VPC endpoints dentro de sua organização, confirmando controles de rede consistentes em todas as contas.

Third-party controle de acesso

Conceda acesso temporário ao console a parceiros ou prestadores de serviços de redes específicas. As organizações podem criar acesso ao console por tempo limitado e restrito à rede para terceiros sem comprometer a postura geral de segurança.

Cenário de exemplo: uma empresa precisa conceder a uma empresa de consultoria acesso temporário ao console. Eles criam uma política baseada em recursos que permite o acesso somente a partir dos intervalos de IP conhecidos da empresa de consultoria e somente às funções do IAM atribuídas aos consultores.

Restrinja o acesso do console a diretores específicos

Permita que somente um conjunto definido de diretores faça login no Console de gerenciamento da AWS e negue todos os outros, independentemente da localização da rede. Isso é útil para clientes que não estão usando VPC endpoints e desejam restrições de console com base em identidade. Os diretores que têm o login negado no console mantêm seu acesso programático; AWS Sign-In as políticas restringem somente o login no console, e somente os diretores isentos podem entrar.

Cenário de exemplo: uma empresa deseja que somente seus administradores usem o console. Eles configuram um RCP que nega o login no console para todos os principais, exceto os ARNs principais do administrador. Uma função de instância do Amazon EC2 com credenciais válidas não pode entrar no console, porque não é um principal isento, embora mantenha suas permissões programáticas. Isso aborda o caso comum de uso de credenciais de função de instância para login no console.

Solução de problemas de controle de acesso ao console

Não consigo entrar devido às condições da rede nas políticas baseadas em Sign-in recursos

Você pode ver uma das seguintes mensagens de erro quando o acesso é negado por uma AWS Sign-In política:

  • “Suas informações de autenticação estão incorretas. Por favor, tente novamente.” (negação de pré-autenticação por política baseada em recursos)

  • “Falha na autenticação Solicitação inválida” (negação de pré-autenticação pelo RCP)

  • “Falha na autenticação: para acessar esta conta, entre em uma rede diferente ou entre em contato com seu administrador para obter mais informações” (negação pós-autenticação)

Se você encontrar algum desses erros e achar que seu acesso deve ser permitido, entre em contato com o AWS administrador. Eles podem revisar CloudTrail os registros de ConsoleLogin eventos com errorMessage “Autorização negada por causa de uma política baseada em recursos” ou “Autorização negada por causa de uma política de controle de recursos” para identificar qual declaração de política negou acesso.

Causas possíveis:

  • Seu endereço IP de origem não está no intervalo CIDR permitido.

  • Você não está conectado à VPC ou ao VPC endpoint necessários.

  • Você está acessando um endpoint de login regional que não corresponde à região esperada na política.

  • Seu ARN principal não está listado corretamente nos diretores excluídos da apólice.

  • A política foi atualizada recentemente e a mudança ainda não foi replicada globalmente.

Resolução:

  • Verifique se você está conectado à sua rede corporativa ou VPN.

  • Confirme se você está acessando por meio do VPC endpoint correto se as restrições baseadas no VPC endpoint estiverem configuradas.

  • Entre em contato com o AWS administrador para verificar a configuração da política e confirmar quais redes estão autorizadas.

  • Se você estiver configurado como principal excluído, verifique se o ARN principal está configurado corretamente na lista de principais excluídos.

  • Se as alterações de política foram feitas recentemente, aguarde alguns minutos até que a replicação global seja concluída.

Para administradores que diagnosticam esse problema:

  • Analise AWS CloudTrail os registros de eventos de avaliação de políticas para identificar qual declaração de política negou acesso.

  • Use aws signin get-resource-policy para revisar a configuração atual da política.

  • Verifique se o local da rede do usuário corresponde às condições da política.

  • Confirme se os principais excluídos estão configurados corretamente se o usuário precisar ser isento das restrições de rede.

Minha conta está bloqueada depois de ativar a autorização do console

Se você configurou a autorização do console e não consegue mais acessar sua conta, talvez não tenha configurado os principais excluídos antes de aplicar a política.

Há vários caminhos para recuperar o acesso, dependendo do tipo de conta e das credenciais disponíveis.

Opção 1: usar acesso programático (AWS CLI ou SDK)

As políticas de autorização do console se aplicam somente ao login interativo do console. Eles não se aplicam às solicitações de API assinadas com o SigV4. Se você tiver acesso programático (por exemplo, chaves de acesso existentes, uma função entre contas), use-o para chamar signin:DeleteConsoleAuthorizationConfiguration e remover a política de restrição. As credenciais que você usa devem ter permissão para ligarsignin:DeleteConsoleAuthorizationConfiguration. A política AWSSignInResourcePolicyManagement gerenciada inclui essa permissão. AWS recomenda credenciais temporárias em vez de chaves de acesso de usuário do IAM de longo prazo. Para contas de membros, os administradores da conta de gerenciamento podem assumir OrganizationAccountAccessRole na conta do membro a obtenção de credenciais temporárias. Essa função não é criada automaticamente em contas que foram convidadas a participar da organização.

aws signin delete-console-authorization-configuration \ --target-id <your-aws-account-id> \ --region us-east-1

Ou exclua declarações de permissão específicas:

# First, list statements to get the statement ID aws signin list-resource-permission-statements \ --region us-east-1 # Then delete the problematic statement aws signin delete-resource-permission-statement \ --statement-id <statement-id> \ --region us-east-1

Opção 2: Entre em contato com o AWS Support

Se você não tiver acesso programático e não puder usar o OrganizationAccountAccessRole para acessar a conta, entre em contato com o AWS Support para iniciar o processo de recuperação do bloqueio.

O processo de recuperação funciona da seguinte forma:

  1. Se você não conseguir resolver o problema usando as opções acima, abra um caso de suporte no AWS Support Center. AWS O Support verificará sua identidade antes de examinar sua conta. Os métodos de verificação podem incluir a confirmação do endereço de e-mail da conta do usuário raiz, a resposta a uma chamada de verificação por telefone ou a resposta a perguntas de segurança da conta.

  2. AWS O Support confirma que o problema de acesso ao console é causado por um bloqueio de política baseado em recursos.

  3. AWS Support compartilha um link do portal de recuperação. Use esse link para fazer login com um diretor do IAM na conta que tem signin:DeleteConsoleAuthorizationConfiguration permissão. Essa permissão permite que o diretor exclua a configuração de autorização do console que está causando o bloqueio.

Importante

O portal de recuperação remove toda a configuração de autorização do console da conta, incluindo todas as declarações de permissão de recursos. O portal de recuperação não permite a reconfiguração de políticas baseadas em AWS Sign-In recursos.

O link do portal de recuperação expira 72 horas após o AWS Support compartilhá-lo. Se você não concluir a recuperação dentro dessa janela, entre em contato com o AWS Support para reiniciar o processo.

Depois de recuperar o acesso:

  • Revise e atualize suas declarações de permissão de recursos para incluir diretores excluídos configurados corretamente.

  • Teste o acesso ao console a partir das redes esperadas antes de reativar a autorização do console.

  • Documente seus procedimentos de recuperação para futura referência.

As alterações que eu faço nem sempre ficam imediatamente visíveis

As mudanças nas políticas se replicam globalmente, mas a replicação pode levar alguns minutos.

Resolução:

  • Aguarde alguns minutos depois de fazer alterações na política para que a replicação global seja concluída.

  • Verifique suas alterações usando o get-resource-policy comando:

aws signin get-resource-policy --region <your-region>
  • Verifique AWS CloudTrail os registros dos eventos de avaliação da política para confirmar se a nova política está sendo avaliada.

  • Confirme se você está usando a região correta para suas operações (as operações de gravação devem ser usadasus-east-1).

  • Se estiver usando condições baseadas em endpoints de VPC, verifique se as políticas de endpoint de VPC também estão configuradas corretamente.

Problemas comuns de replicação de políticas:

  • Página de login em cache: os navegadores podem armazenar em cache a página de login. Limpe o cache do navegador ou use uma janela anônima para testar as alterações na política.

  • Declarações conflitantes: se você tiver várias declarações de permissão, confirme se elas não estão em conflito umas com as outras. Use get-resource-policy para revisar a política consolidada.

  • Políticas de endpoint de VPC: as políticas funcionam em conjunto com AWS Sign-In as políticas de endpoint de VPC. Ambos devem permitir o acesso desejado.