Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Sign-In Referenz zu den Bedingungsschlüsseln
Auf dieser Seite sind die Bedingungsschlüssel aufgeführt, die Sie in AWS Sign-In ressourcenbasierten Richtlinien und Ressourcenkontrollrichtlinien (RCPs) verwenden können. Außerdem werden die Evaluierungsphase und die Aktion angezeigt, für die die einzelnen Schlüssel gelten. Nur signin:PrincipalArn ist spezifisch für AWS Sign-In; die anderen sind AWS globale Bedingungsschlüssel. Die Definitionen globaler Schlüssel finden Sie unter Kontextschlüssel für AWS globale Bedingungen.
Die vollständige Liste der Aktionen und Bedingungsschlüssel in der Service Authorization Reference finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Sign-In.
Network-based Bedingungsschlüssel
Diese Bedingungsschlüssel überprüfen, woher die Anfrage stammt. AWS Sign-In bewertet sie für alle AWS Sign-In Aktionen (signin:Authenticatesignin:AuthorizeOAuth2Access, undsignin:CreateOAuth2Token) sowohl in ressourcenbasierten Richtlinien als auch in RCPs.
| Bedingungsschlüssel | Betreiber | Description | Nutzungsregeln |
|---|---|---|---|
aws:SourceIp |
IpAddress, NotIpAddress |
Öffentliche IP-Adresse oder CIDR-Bereich | Nicht vorhanden, wenn eine Anfrage einen VPC-Endpunkt verwendet. Verwenden Sie IfExists Operatoren, wenn Sie VPC-based Bedingungen in derselben Anweisung kombinieren. |
aws:SourceVpc |
StringEquals,
StringNotEquals |
VPC-ID () vpc-xxxxxxxx |
Nur vorhanden, wenn eine Anfrage einen VPC-Endpunkt verwendet. Verwenden Sie withaws:RequestedRegion, um eine regionsübergreifende VPC-ID-Kollision zu verhindern. |
aws:SourceVpce |
StringEquals,
StringNotEquals |
VPC-Endpunkt-ID () vpce-xxxxxxxx |
Nur vorhanden, wenn eine Anfrage einen VPC-Endpunkt verwendet. |
aws:VpcSourceIp |
IpAddress, NotIpAddress |
Private IP innerhalb der VPC | Verwenden Sie immer den aws:VpcSourceIp Bedingungsschlüssel zusammen mit den aws:SourceVpce Bedingungstasten aws:SourceVpc oder. |
aws:RequestedRegion |
StringEquals,
StringNotEquals |
Code AWS der Zielregion | Wird bei Verwendung empfohlen, aws:SourceVpc um eine regionsübergreifende VPC-ID-Kollision zu verhindern. Es können mehrere Regionen angegeben werden. |
Wichtig
Eine einzelne Anfrage enthält entweder aws:SourceIp (öffentliches Netzwerk) oder aws:SourceVpc (VPC-Endpunkt), nicht beides. Verwenden Sie IfExists Operatoren (z. B.NotIpAddressIfExists) oder erstellen Sie separate Anweisungen, wenn Sie Richtlinien schreiben, die nicht für beide Pfade gelten.
Identity-based Bedingungsschlüssel
Diese Zustandsschlüssel überprüfen, wer die Anfrage stellt. Sie sind nur für Aktionen (signin:AuthorizeOAuth2Accessundsignin:CreateOAuth2Token) nach der Authentifizierung verfügbar, bei denen die Hauptidentität festgelegt wurde.
| Bedingungsschlüssel | Betreiber | Description | Beispiele |
|---|---|---|---|
aws:PrincipalArn |
ArnEquals, ArnLike,
ArnNotEquals, StringEquals,
StringLike |
ARN des authentifizierten IAM-Prinzipals | arn:aws:iam::123456789012:user/alice,
arn:aws:iam::123456789012:role/Admin |
aws:PrincipalAccount |
StringEquals,
StringNotEquals |
AWS Konto-ID des Prinzipals | 123456789012 |
Service-specific Bedingungsschlüssel: Anmeldung: PrincipalArn
Der folgende Bedingungsschlüssel ist spezifisch für AWS Sign-In und kein globaler AWS Schlüssel. Er ist nur während der Evaluierung vor der Authentifizierung verfügbar. Wird verwendetsignin:PrincipalArn, um den Prinzipal zu identifizieren, der die Anmeldung initiiert, bevor die Authentifizierung abgeschlossen ist. Dies ist das Äquivalent von vor der Authentifizierungaws:PrincipalArn, das erst nach der Authentifizierung verfügbar ist.
- Betreiber
-
ARN-Operatoren (
ArnEqualsArnLike,ArnNotEquals,ArnNotLike) und Zeichenkettenoperatoren (StringEquals,StringLike). - Verfügbarkeit
-
AWS Sign-In nimmt diesen Schlüssel während der Vorauthentifizierungsphase (der
signin:AuthenticateAktion) in den Anforderungskontext auf. Er ist für die Aktionen (signin:AuthorizeOAuth2Accessundsignin:CreateOAuth2Token) nach der Authentifizierung nicht verfügbar. - Datentyp
-
ARN. Verwenden Sie ARN-Operatoren anstelle von Zeichenkettenoperatoren.
- Werttyp
-
Single-valued.
- Unterstützt in
-
Resource-based Richtlinien und RCPs.
Verwenden Sie ARN-Operatoren, um Werte zu vergleichen. Sie können die folgenden Haupttypen angeben:
-
AWS-Konto Root-Benutzer (
arn:aws:iam::123456789012:root) -
IAM-Benutzer ()
arn:aws:iam::123456789012:user/user-name -
IAM-Rolle ()
arn:aws:iam::123456789012:role/role-name
Anwendungsfall: Eine ausgeschlossene Prinzipidentität von Netzwerkeinschränkungen ausnehmen, um eine Sperrung zu verhindern und gleichzeitig die Netzwerkkontrollen für alle anderen Zugriffsversuche durchzusetzen.
Beispiel — Verweigern Sie den Zugriff vor der Authentifizierung von nicht autorisierten Netzwerken aus, mit Ausnahme des Root-Benutzers:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:Authenticate"], "Resource": "*", "Condition": { "ArnNotEquals": { "signin:PrincipalArn": "arn:aws:iam::123456789012:root" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.0/24" }, "StringEquals": { "aws:ResourceAccount": "123456789012" } } }, { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"], "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:root" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.0/24" }, "StringEquals": { "aws:ResourceAccount": "123456789012" } } } ] }
Diese Richtlinie verweigert den Konsolenzugriff von außerhalb des 203.0.113.0/24 IP-Bereichs, mit Ausnahme des Root-Benutzers des Kontos. Die Vorauthentifizierungsanweisung dient signin:PrincipalArn dazu, den Root-Benutzer auszunehmen, bevor die Authentifizierung abgeschlossen ist. Die Anweisung nach der Authentifizierung dient aws:PrincipalArn dazu, denselben Prinzipal nach der Authentifizierung während des OAuth-Tokenaustauschs auszunehmen. Siehe Beispiele für Richtlinien.
Bedingte Schlüsselverfügbarkeit durch Aktion
| Bedingungsschlüssel | Anmeldung: Authentifizieren | einloggen: AuthorizeOAuth2Access | einloggen: CreateOAuth2Token |
|---|---|---|---|
aws:SourceIp |
Ja | Ja | Ja |
aws:SourceVpc |
Ja | Ja | Ja |
aws:SourceVpce |
Ja | Ja | Ja |
aws:VpcSourceIp |
Ja | Ja | Ja |
aws:RequestedRegion |
Ja | Ja | Ja |
aws:PrincipalArn |
– | Ja | Ja |
aws:PrincipalAccount |
– | Ja | Ja |
signin:PrincipalArn |
Ja | – | – |
Anmerkung
Die signin:CreateAccount Aktion wird ausschließlich in VPC-Endpunktrichtlinien für Console Private Access verwendet und ist nicht für ressourcenbasierte Richtlinien oder RCPs verfügbar. Ihr sind keine dienstspezifischen Bedingungsschlüssel zugeordnet. Siehe Privater Zugriff auf die Konsole.