本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 实施基于身份的策略和其他策略类型
<a name="identity-other-policy-types"></a>

您可以 AWS 通过创建策略并将其附加到 IAM 身份（用户、用户组或角色）或 AWS 资源来管理中的访问权限。本页介绍策略与 AWS 管理控制台 私有访问权限配合使用时的工作原理。

## 支持的 AWS 全局条件上下文密钥
<a name="supported-global-condition-keys"></a>

AWS 管理控制台 私有访问不支持`aws:SourceVpce`和`aws:VpcSourceIp` AWS 全局条件上下文密钥。在使用 AWS 管理控制台 私有访问时，您可以在策略中改用 `aws:SourceVpc` IAM 条件。

## AWS 管理控制台 私有访问权限如何与 aws 配合使用：SourceVpc
<a name="location-identity"></a>

本节介绍由您生成的请求 AWS 管理控制台 可以进入的各种网络路径 AWS 服务。通常， AWS 服务控制台是通过直接浏览器请求和由 AWS 管理控制台 Web 服务器代理的请求混合实现的。 AWS 服务这些实现可能会发生变化，恕不另行通知。如果您的安全要求包括 AWS 服务 使用 VPC 终端节点进行访问，我们建议您为打算从 VPC 使用的所有服务（无论是直接使用还是通过 AWS 管理控制台 私有访问）配置 VPC 终端节点。此外，您必须在`aws:SourceVpc`策略中使用 IAM 条件，而不是在 AWS 管理控制台 私有访问权限功能中使用特定`aws:SourceVpce`值。本节提供有关不同网络路径的工作原理的详细信息。

用户登录后 AWS 管理控制台，他们 AWS 服务 通过直接浏览器请求和由 AWS 管理控制台 Web 服务器代理到服务器的请求的组合向 AWS 发出请求。例如， CloudWatch 图形数据请求是直接从浏览器发出的。而某些 AWS 服务控制台请求（例如 Amazon S3）则由 Web 服务器代理到 Amazon S3。

对于直接的浏览器请求，使用 AWS 管理控制台 私有访问权限不会有任何改变。与以前一样，请求通过 VPC 已配置为到达 monitoring.region.amazonaws.com 的任何网络路径到达服务。如果 VPC 配置了的 VPC 终端节点com.amazonaws.region.monitoring，则请求将 CloudWatch通过该 CloudWatch VPC 终端节点到达。如果没有 VPC 终端节点 CloudWatch，则请求将通过 VPC CloudWatch 上的 Internet Gateway 到达其公有终端节点。 CloudWatch 通过 CloudWatch VPC 终端节点到达的请求将具有 IAM 条件`aws:SourceVpc`并`aws:SourceVpce`设置为各自的值。那些 CloudWatch 通过其公共端点到达的用户将`aws:SourceIp`设置为请求的源 IP 地址。有关这些 IAM 条件键的更多信息，请参阅《IAM 用户指南》**中的[全局条件键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc)。

对于由 AWS 管理控制台 Web 服务器代理的请求，例如 Amazon S3 控制台在您访问 Amazon S3 控制台时发出的列出您的存储桶的请求，则网络路径会有所不同。这些请求不是从您的 VPC 发起的，因此不使用您可能已在 VPC 上为该服务配置的 VPC 端点。在这种情况下，即使您具有用于 Amazon S3 的 VPC 端点，您的会话向 Amazon S3 发出的旨在列出存储桶的请求也不会使用 Amazon S3 VPC 端点。但是，当您对支持的服务使用 AWS 管理控制台 私有访问权限时，这些请求（例如，对 Amazon S3 的请求）将在其请求上下文中包含`aws:SourceVpc`条件密钥。`aws:SourceVpc`条件密钥将设置为部署用于登录和控制台的 AWS 管理控制台 私有访问终端节点的 VPC ID。因此，如果您在基于身份的策略中使用 `aws:SourceVpc` 限制，则必须添加用于托管 AWS 管理控制台 私有访问登录和控制台端点的此 VPC 的 VPC ID。`aws:SourceVpce`条件将设置为相应的登录或控制台 VPC 终端节点 IDs。

**注意**  
如果您的用户要求访问 AWS 管理控制台 私有访问不支持的服务控制台，则必须在用户的基于身份的策略中使用 `aws:SourceIP` 条件键包括预期公有网络地址的列表（例如本地网络范围）。

## 不同的网络路径如何反映在 CloudTrail
<a name="network-paths-cloudtrail"></a>

您生成的请求使用的不同网络路径 AWS 管理控制台 会反映在您的 CloudTrail 事件历史记录中。

对于直接的浏览器请求，使用 AWS 管理控制台 私有访问权限不会有任何改变。 CloudTrail 事件将包括有关连接的详细信息，例如用于调用服务 API 的 VPC 终端节点 ID。

对于由 AWS 管理控制台 Web 服务器代理的请求， CloudTrail 事件将不包含任何与 VPC 相关的详细信息。但是，建立浏览器会话所需的初始请求（例如`AwsConsoleSignIn`事件类型）将在事件详细信息中包含 AWS 登录 VPC 终端节点 ID。 AWS 登录