本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
更新防火牆和閘道以允許存取 AWS 存取入口網站
AWS 存取入口網站可讓使用者單一登入存取所有您 AWS 帳戶 和最常用的雲端應用程式,例如 Office 365、Concur、Salesforce 等。您只需選擇入口網站中的 AWS 帳戶 或 應用程式圖示,即可快速啟動多個應用程式。
注意
AWS 受管應用程式與 IAM Identity Center 整合,並將其用於身分驗證和目錄服務,但可能不會使用 AWS 存取入口網站進行應用程式存取。
如果您使用新一代防火牆 (NGFW) 或安全 Web Gateway (SWG) 等 Web 內容篩選解決方案來篩選特定 AWS 網域或 URL 端點的存取,則必須允許列出與 AWS 存取入口網站相關聯的網域和 URL 端點。
下列清單提供 IPv4 和雙堆疊網域,以及要新增至 Web 內容篩選解決方案允許清單的 URL 端點。
IPv4 允許清單
-
[Directory ID or alias].awsapps.com -
[Identity Center instance ID].[Region].portal.amazonaws.com -
*.aws.dev -
*.awsstatic.com -
*.console.aws.a2z.com -
oidc.[Region].amazonaws.com -
*.sso.amazonaws.com -
*.sso.[Region].amazonaws.com -
*.sso-portal.[Region].amazonaws.com -
[Region].prod.pr.panorama.console.api.aws/panoramaroute -
[Region].signin.aws -
[Region].signin.aws.amazon.com -
signin.aws.amazon.com -
*.cloudfront.net -
opfcaptcha-prod.s3.amazonaws.com
雙堆疊允許清單
-
[Identity Center instance ID].portal.[Region].app.aws -
*.aws.dev -
*.awsstatic.com -
*.console.aws.a2z.com -
oidc.[Region].api.aws -
sso.[Region].api.aws -
portal.sso.[Region].api.aws -
[Region].sso.signin.aws -
[Region].signin.aws.amazon.com -
signin.aws.amazon.com -
*.cloudfront.net -
cdn.us-east-1.threat-mitigation.aws.amazon.com -
us-east-1.threat-mitigation.aws.amazon.com -
amcs-captcha-prod-us-east-1.s3.dualstack.us-east-1.amazonaws.com
合併允許清單 (IPv4 + 具有回溯相容性的雙堆疊)
-
[Directory ID or alias].awsapps.com -
[Identity Center instance ID].[Region].portal.amazonaws.com -
[Identity Centers instance ID].portal.[Region].app.aws -
*.aws.dev -
*.awsstatic.com -
*.console.aws.a2z.com -
oidc.[Region].amazonaws.com -
oidc.[Region].api.aws -
*.sso.amazonaws.com -
*.sso.[Region].amazonaws.com -
sso.[Region].api.aws -
*.sso-portal.[Region].amazonaws.com -
portal.sso.[Region].api.aws -
[Region].prod.pr.panorama.console.api.aws/panoramaroute -
[Region].signin.aws -
[Region].sso.signin.aws -
[Region].signin.aws.amazon.com -
signin.aws.amazon.com -
*.cloudfront.net -
opfcaptcha-prod.s3.amazonaws.com -
cdn.us-east-1.threat-mitigation.aws.amazon.com -
us-east-1.threat-mitigation.aws.amazon.com -
amcs-captcha-prod-us-east-1.s3.dualstack.us-east-1.amazonaws.com
允許列出網域和 URL 端點的考量事項
除了 AWS 存取入口網站的允許清單要求之外,您使用的其他服務和應用程式可能需要網域的允許清單。
-
若要從存取入口網站 AWS 存取 AWS 帳戶 AWS 管理主控台、 和 IAM Identity Center 主控台,您必須允許列出其他網域。如需 AWS 管理主控台 網域清單,請參閱AWS 管理主控台 《 入門指南》中的故障診斷。
-
若要從 AWS 存取入口網站存取 AWS 受管應用程式,您必須允許列出其各自的網域。如需指引,請參閱個別的服務文件。
-
如果您使用外部軟體,例如外部 IdPs(例如 Okta和 Microsoft Entra ID),則需要將其網域包含在允許清單中。
