本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 實作以身分為基礎的政策以及其他政策類型
<a name="identity-other-policy-types"></a>

您可以透過 AWS 建立政策並將其連接到 IAM 身分 （使用者、使用者群組或角色） 或 AWS 資源來管理 中的存取。此頁面說明 政策與 AWS 管理主控台 Private Access 搭配使用時的運作方式。

## 支援的 AWS 全域條件內容索引鍵
<a name="supported-global-condition-keys"></a>

AWS 管理主控台 Private Access 不支援 `aws:SourceVpce`和 `aws:VpcSourceIp` AWS 全域條件內容金鑰。使用 AWS 管理主控台 私有存取時，您可以改為在政策中使用 `aws:SourceVpc` IAM 條件。

## AWS 管理主控台 私有存取如何與 aws：SourceVpc 搭配使用
<a name="location-identity"></a>

本節說明 產生的請求 AWS 管理主控台 可採取的各種網路路徑 AWS 服務。一般而言， AWS 服務主控台會與 AWS 管理主控台 Web 伺服器代理的直接瀏覽器請求和請求混合實作 AWS 服務。這些實作可能會有所變更，且不會另行通知。如果您的安全需求包括 AWS 服務 使用 VPC 端點的存取權，我們建議您為打算從 VPC 使用的所有服務設定 VPC 端點，無論是直接或透過 AWS 管理主控台 私有存取。此外，您必須在政策中使用 `aws:SourceVpc` IAM 條件，而不是具有 AWS 管理主控台 私有存取功能的特定`aws:SourceVpce`值。本節提供不同網路路徑如何運作的詳細資訊。

使用者登入 後 AWS 管理主控台，他們會 AWS 服務 透過直接瀏覽器請求和 AWS 管理主控台 Web 伺服器代理到 AWS 伺服器的請求組合向 提出請求。例如，CloudWatch 圖形資料請求會直接從瀏覽器發出。而某些 AWS 服務主控台請求，例如 Amazon S3，是由 Web 伺服器代理至 Amazon S3。

對於直接瀏覽器請求，使用 AWS 管理主控台 Private Access 不會進行任何變更。和以前一樣，請求會透過 VPC 設定為到達 monitoring.region.amazonaws.com 的任何網路路徑來到達服務。如果 VPC 為 com.amazonaws.region.monitoring 設定了 VPC 端點，則該請求將透過 CloudWatch VPC 端點到達 CloudWatch。如果 CloudWatch 沒有適用的 VPC 端點，則該請求將透過 VPC 上的網際網路閘道到達其公用端點的 CloudWatch。透過 CloudWatch VPC 端點到達 CloudWatch 的請求將具有 IAM 條件，`aws:SourceVpc` 與 `aws:SourceVpce` 會設定為各自的值。那些透過其公有端點到達 CloudWatch 的使用者會將 `aws:SourceIp` 設為請求的來源 IP 地址。如需有關這些條件金鑰的詳細資訊，請參閱 *IAM 使用者指南*中的[全域條件金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc)。

對於 AWS 管理主控台 Web 伺服器代理的請求，例如 Amazon S3 主控台在您造訪 Amazon S3 主控台時用來列出儲存貯體的請求，網路路徑會不同。這些請求不是從您的 VPC 啟動的，因此不會使用您可能在 VPC 上為該服務設定的 VPC 端點。即使您在這種情況下擁有適用於 Amazon S3 的 VPC 端點，對 Amazon S3 列出儲存貯體的工作階段請求也不會使用 Amazon S3 VPC 端點。不過，當您搭配支援的 服務使用 AWS 管理主控台 Private Access 時，這些請求 （例如 Amazon S3) 會在其請求內容中包含 `aws:SourceVpc` 條件金鑰。`aws:SourceVpc` 條件金鑰將設定為 VPC ID，其中部署了用於登入和主控台的 AWS 管理主控台 私有存取端點。因此，如果您在以身分識別為基礎的政策中使用 `aws:SourceVpc` 限制，則必須新增託管 AWS 管理主控台 私人存取登入和主控台端點的 VPC 的 VPC ID。`aws:SourceVpce` 條件將設為各自的登入或主控台 VPC 端點 ID。

**注意**  
如果您的使用者要求存取 AWS 管理主控台 私有存取不支援的服務主控台，您必須在使用者的身分式政策中使用 `aws:SourceIP` 條件金鑰來包含您預期的公有網路地址清單 (例如您的內部部署網路範圍)。

## 不同的網路路徑如何反映在 CloudTrail 中
<a name="network-paths-cloudtrail"></a>

您產生的請求所使用的不同網路路徑 AWS 管理主控台 會反映在您的 CloudTrail 事件歷史記錄中。

對於直接瀏覽器請求，使用 AWS 管理主控台 Private Access 不會有任何變更。CloudTrail 事件將包含有關連線的詳細資料，例如用來進行服務 API 呼叫的 VPC 端點 ID。

對於 Web AWS 管理主控台 伺服器代理的請求，CloudTrail 事件不會包含任何 VPC 相關詳細資訊。不過，建立瀏覽器工作階段 AWS 登入 所需的初始請求，例如`AwsConsoleSignIn`事件類型，會在事件詳細資訊中包含 AWS 登入 VPC 端點 ID。