使用 亚马逊云科技 管理控制台私有访问权限访问账户

作者: 苏雷什·塞缪尔 | 202

亚马逊云科技 管理控制台私有访问 是一项高级安全功能,可帮助您控制 亚马逊云科技 管理控制台 的访问权限 。在这篇文章中,我将向您展示此功能的工作原理,分享当前的限制,并提供可用于自动部署 的 亚马逊云科技 CloudFormation 模板。当您想要限制用户从您的网络中登录未知的 亚马逊云科技 账户时,亚马逊云科技 管理控制台私有访问非常有用。使用此功能,当流量来自您的网络内部时,您可以将控制台的访问权限限制为一组特定的已知帐户。

对于企业客户,用户通常从连接到公司网络的设备直接或通过虚拟专用网络 (VPN) 访问控制台。通过与控制台的网络连接,用户可以使用有效凭据对帐户进行身份验证,包括第三方帐户和个人帐户。对于具有严格网络访问控制的企业客户,此功能提供了一种控制可以从本地网络访问哪些帐户的方法。

亚马逊云科技 管理控制台私有访问的工作原理

亚马逊云科技 P rivateLink 现在支持 亚马逊云科技 管理控制台,这意味着您可以在您的 VPC 中为控制台创建虚拟私有云 (VPC) 终端节点。然后,您可以使用 DNS 转发有条件地将用户的浏览器流量从本地路由到 VPC 终端节点,并定义允许或拒绝访问特定账户、组织或组织单位 (OU) 的端点策略。要私下访问终端,您必须通过 亚马逊云科技 Di rect Connect 或 亚马逊云科技 点 对点 VP N 在本地和 亚马逊云科技 之间建立混合网络连接

当您有条件地将对区域 aws.amazon.com 的 DNS 查询从本地转发到 VPC 内的 亚马逊 Route 53 解析器入站终端节点时,路由 53 会首选 aws.amazon.com 的私有托管区域来解决查询。私有托管区域使集中管理 亚马逊云科技 美国东部(弗吉尼亚北部)区域(us -east-1 )以及其他区域的控制台记录变得容易

为控制台配置 VPC 终端节点

要为控制台配置 VPC 终端节点,您必须完成以下步骤:

  1. 在美国东部(弗吉尼亚北部)地区的 VPC 中为控制台和登录服务创建接口 VPC 终端节点。对其他所需区域重复此操作。您必须在美国东部(弗吉尼亚北部)区域创建 VPC 终端节点,因为控制台的默认 DNS 名称会解析为该区域。指定端点策略中应允许或拒绝的账户、组织或 OU。有关如何创建接口 VPC 终端节点的说明,请参阅 使用接口 VPC 终端节点 访问 亚马逊云科技 服务
  2. 在 VPC 中创建 Route 53 解析器入站终端节点,并记下该终端节点弹性网络接口的 IP 地址。将本地控制台的 DNS 查询转发到这些 IP 地址。有关如何配置 Route 53 解析器的说明,请参阅 R oute 53 解析器 入门
  3. 创建一个 Route 53 私有托管区域,其中包含控制台和登录子域的记录。有关所需记录的完整列表,请参阅 AW S 管理控制台的 DNS 配置和 亚马逊云科技 登录 。然后将私有托管区域与具有解析器入站终端节点的同一 VPC 相关联。有关如何创建私有托管区域的说明,请参阅 创建私有托管区域
  4. 有条件地将 aws.amazon.com 的 DNS 查询转发到解析器入站终端节点的 IP 地址。

如何访问美国东部(弗吉尼亚北部)以外的区域

要使用 亚马逊云科技 管理控制台私有访问权限访问其他支持区域的控制台,请完成以下步骤:

  1. 在该区域的 VPC 中创建控制台并登录 VPC 终端节点。
  2. 私有托管区域中为 .console.aws.amazon.com 和 .signin.aws.amazon.com 创建资源记录,其值以该区域中相应的 VPC 终端节点为目标。 替换为区域代码(例如 us-west-2 )。

为了提高灵活性,您还可以在美国东部(弗吉尼亚北部)区域(us-east - 1)以外的其他区域配置第二个 Resolver 入站终端节点。本地 DNS 解析器可以使用这两个端点对私有托管区域进行弹性 DNS 解析。

自动部署 亚马逊云科技 管理控制台私有访问权限

我创建了一 个 亚马逊云科技 CloudFormation 模板,您可以使用该模板在美国东部(弗吉尼亚北部)区域(us-east - 1)部署所需的资源。要获取模板,请前往 console-endpoint -use1.yaml 。CloudFormation 堆栈部署所需的 VPC 端点、Route 53 解析器入站端点和带有所需记录的私有托管区域。

注意 :默认终端节点策略允许所有账户。有关带有限制访问条件的示例策略,请参阅 仅 允许预期的账户和组织使用 亚马逊云科技 管理控制台(可信身份)

我还创建了一个 CloudFormation 模板,您可以使用该模板在需要私密访问控制台的其他地区部署所需的资源。要获取模板,请前往 console-endpoint -nonuse1.yaml

成本注意事项

配置 亚马逊云科技 管理控制台私有访问权限时,将产生费用。您可以使用以下信息来估算这些费用:

  • PrivateLink 定价 基 于 VPC 终端节点保持预置状态的小时数。在美国东部(弗吉尼亚北部)区域,这是每个可用区每个 VPC 终端节点 0.01 美元(美元/小时)。
  • 在美国东部(弗吉尼亚北部)区域,通过 VPC 终端节点处理的每 GB 数据的数据处理费用为 0.01 美元。
  • Route 53 解析器入站端点按每小时 IP(弹性网络接口)收费。在美国东部(弗吉尼亚北部)区域,每个 IP 地址每小时 0.125 美元。请参阅 53 号公路的定价
  • 对入站终端节点的 DNS 查询按每百万次查询 0.40 美元收费。
  • Route 53 托管区域的费用为每个托管区域每月 0.50 美元。为了允许测试,亚马逊云科技 不会就您在创建后的 12 小时内删除的托管区域向您收费。

基于这种定价模型,在美国东部(弗吉尼亚北部)区域的两个可用区配置 亚马逊云科技 管理控制台私有访问权限的成本约为部署资源每月 212.20 美元。DNS 查询和数据处理费用是根据实际使用情况额外收取的。您还可以应用此定价模型来帮助估算在其他支持区域进行配置的成本。Route 53 是一项全球服务,因此您只需在美国东部(弗吉尼亚北部)区域创建一次私有托管区域和资源。

限制和注意事项

在开始使用 亚马逊云科技 管理控制台私有访问之前,请务必查看以下限制和注意事项:

  • 有关支持的区域和服务的列表,请参阅 支持的 亚马逊云科技 区域、服务控制台和功能
  • 您可以使用此功能通过将 DNS 查询转发到 VPC 终端节点来限制客户网络对特定账户的访问。此功能不会阻止用户使用不在公司网络上的设备上使用控制台的公共端点直接从互联网访问控制台。
  • 此功能目前不支持以下子域名,也无法通过私密访问进行访问:
    • docs.aws.amazon.com
    • health.aws.amazon.com
    • status.aws.amazon.com
  • 用户完成身份验证并以私有访问权限访问控制台后,当他们导航到单个服务控制台(例如 亚马逊弹性计算云 (Amazon EC2))时 ,他们必须与服务的 API 终端节点(例如 ec2.ama zonaws.com)建立网络连接。这是控制台进行诸如 ec2: DescribeInstances 之类的 API 调用以在服务控制台中显示资源详细信息所必需的。

结论

在这篇博客文章中,我概述了如何通过 亚马逊云科技 管理控制台私有访问配置控制台以限制从本地访问 亚马逊云科技 账户、该功能的工作原理以及如何将其配置为多个区域。我还提供了 CloudFormation 模板,您可以使用这些模板来自动配置此功能。最后,我分享了有关成本和一些限制的信息,在配置控制台的私有访问权限之前,你应该考虑这些限制。

有关如何设置和测试 亚马逊云科技 管理控制台私有访问和参考架构的更多信息,请参阅 试用 亚马逊云科技 管理控制台私有访问 。有关最新的 CloudFormation 模板,请参阅 aws-management-console-private acces s-Autom ation Git

如果您对这篇文章有反馈,请在下面的 评论 部分提交评论。如果你对这篇文章有疑问,请在 re : Post 上开始一个新话题。

想了解更多 亚马逊云科技 安全新闻?请关注我们。

Suresh Samuel

苏雷什·塞缪尔·

苏雷什是 亚马逊云科技 的高级技术客户经理。他帮助金融服务行业的客户在 亚马逊云科技 上开展业务。不工作时,可以发现他在德克萨斯州拍摄鸟类或和孩子们一起出去玩。