View a markdown version of this page

AWS Sign-In Referenz zu den Bedingungsschlüsseln - AWS Sign-In

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Sign-In Referenz zu den Bedingungsschlüsseln

Auf dieser Seite sind die Bedingungsschlüssel aufgeführt, die Sie in AWS Sign-In ressourcenbasierten Richtlinien und Ressourcenkontrollrichtlinien (RCPs) verwenden können. Außerdem werden die Evaluierungsphase und die Aktion angezeigt, für die die einzelnen Schlüssel gelten. Nur signin:PrincipalArn ist spezifisch für AWS Sign-In; die anderen sind AWS globale Bedingungsschlüssel. Die Definitionen globaler Schlüssel finden Sie unter Kontextschlüssel für AWS globale Bedingungen.

Die vollständige Liste der Aktionen und Bedingungsschlüssel in der Service Authorization Reference finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Sign-In.

Network-based Bedingungsschlüssel

Diese Bedingungsschlüssel überprüfen, woher die Anfrage stammt. AWS Sign-In bewertet sie für alle AWS Sign-In Aktionen (signin:Authenticatesignin:AuthorizeOAuth2Access, undsignin:CreateOAuth2Token) sowohl in ressourcenbasierten Richtlinien als auch in RCPs.

Network-based Bedingungsschlüssel
Bedingungsschlüssel Betreiber Description Nutzungsregeln
aws:SourceIp IpAddress, NotIpAddress Öffentliche IP-Adresse oder CIDR-Bereich Nicht vorhanden, wenn eine Anfrage einen VPC-Endpunkt verwendet. Verwenden Sie IfExists Operatoren, wenn Sie VPC-based Bedingungen in derselben Anweisung kombinieren.
aws:SourceVpc StringEquals, StringNotEquals VPC-ID () vpc-xxxxxxxx Nur vorhanden, wenn eine Anfrage einen VPC-Endpunkt verwendet. Verwenden Sie withaws:RequestedRegion, um eine regionsübergreifende VPC-ID-Kollision zu verhindern.
aws:SourceVpce StringEquals, StringNotEquals VPC-Endpunkt-ID () vpce-xxxxxxxx Nur vorhanden, wenn eine Anfrage einen VPC-Endpunkt verwendet.
aws:VpcSourceIp IpAddress, NotIpAddress Private IP innerhalb der VPC Verwenden Sie immer den aws:VpcSourceIp Bedingungsschlüssel zusammen mit den aws:SourceVpce Bedingungstasten aws:SourceVpc oder.
aws:RequestedRegion StringEquals, StringNotEquals Code AWS der Zielregion Wird bei Verwendung empfohlen, aws:SourceVpc um eine regionsübergreifende VPC-ID-Kollision zu verhindern. Es können mehrere Regionen angegeben werden.
Wichtig

Eine einzelne Anfrage enthält entweder aws:SourceIp (öffentliches Netzwerk) oder aws:SourceVpc (VPC-Endpunkt), nicht beides. Verwenden Sie IfExists Operatoren (z. B.NotIpAddressIfExists) oder erstellen Sie separate Anweisungen, wenn Sie Richtlinien schreiben, die nicht für beide Pfade gelten.

Identity-based Bedingungsschlüssel

Diese Zustandsschlüssel überprüfen, wer die Anfrage stellt. Sie sind nur für Aktionen (signin:AuthorizeOAuth2Accessundsignin:CreateOAuth2Token) nach der Authentifizierung verfügbar, bei denen die Hauptidentität festgelegt wurde.

Identity-based Bedingungsschlüssel
Bedingungsschlüssel Betreiber Description Beispiele
aws:PrincipalArn ArnEquals, ArnLike, ArnNotEquals, StringEquals, StringLike ARN des authentifizierten IAM-Prinzipals arn:aws:iam::123456789012:user/alice, arn:aws:iam::123456789012:role/Admin
aws:PrincipalAccount StringEquals, StringNotEquals AWS Konto-ID des Prinzipals 123456789012

Service-specific Bedingungsschlüssel: Anmeldung: PrincipalArn

Der folgende Bedingungsschlüssel ist spezifisch für AWS Sign-In und kein globaler AWS Schlüssel. Er ist nur während der Evaluierung vor der Authentifizierung verfügbar. Wird verwendetsignin:PrincipalArn, um den Prinzipal zu identifizieren, der die Anmeldung initiiert, bevor die Authentifizierung abgeschlossen ist. Dies ist das Äquivalent von vor der Authentifizierungaws:PrincipalArn, das erst nach der Authentifizierung verfügbar ist.

Betreiber

ARN-Operatoren (ArnEqualsArnLike,ArnNotEquals,ArnNotLike) und Zeichenkettenoperatoren (StringEquals,StringLike).

Verfügbarkeit

AWS Sign-In nimmt diesen Schlüssel während der Vorauthentifizierungsphase (der signin:Authenticate Aktion) in den Anforderungskontext auf. Er ist für die Aktionen (signin:AuthorizeOAuth2Accessundsignin:CreateOAuth2Token) nach der Authentifizierung nicht verfügbar.

Datentyp

ARN. Verwenden Sie ARN-Operatoren anstelle von Zeichenkettenoperatoren.

Werttyp

Single-valued.

Unterstützt in

Resource-based Richtlinien und RCPs.

Verwenden Sie ARN-Operatoren, um Werte zu vergleichen. Sie können die folgenden Haupttypen angeben:

  • AWS-Konto Root-Benutzer (arn:aws:iam::123456789012:root)

  • IAM-Benutzer () arn:aws:iam::123456789012:user/user-name

  • IAM-Rolle () arn:aws:iam::123456789012:role/role-name

Anwendungsfall: Eine ausgeschlossene Prinzipidentität von Netzwerkeinschränkungen ausnehmen, um eine Sperrung zu verhindern und gleichzeitig die Netzwerkkontrollen für alle anderen Zugriffsversuche durchzusetzen.

Beispiel — Verweigern Sie den Zugriff vor der Authentifizierung von nicht autorisierten Netzwerken aus, mit Ausnahme des Root-Benutzers:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:Authenticate"], "Resource": "*", "Condition": { "ArnNotEquals": { "signin:PrincipalArn": "arn:aws:iam::123456789012:root" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.0/24" }, "StringEquals": { "aws:ResourceAccount": "123456789012" } } }, { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"], "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:root" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.0/24" }, "StringEquals": { "aws:ResourceAccount": "123456789012" } } } ] }

Diese Richtlinie verweigert den Konsolenzugriff von außerhalb des 203.0.113.0/24 IP-Bereichs, mit Ausnahme des Root-Benutzers des Kontos. Die Vorauthentifizierungsanweisung dient signin:PrincipalArn dazu, den Root-Benutzer auszunehmen, bevor die Authentifizierung abgeschlossen ist. Die Anweisung nach der Authentifizierung dient aws:PrincipalArn dazu, denselben Prinzipal nach der Authentifizierung während des OAuth-Tokenaustauschs auszunehmen. Siehe Beispiele für Richtlinien.

Bedingte Schlüsselverfügbarkeit durch Aktion

Verfügbarkeit von Zustandsschlüsseln nach Aktion
Bedingungsschlüssel Anmeldung: Authentifizieren einloggen: AuthorizeOAuth2Access einloggen: CreateOAuth2Token
aws:SourceIp Ja Ja Ja
aws:SourceVpc Ja Ja Ja
aws:SourceVpce Ja Ja Ja
aws:VpcSourceIp Ja Ja Ja
aws:RequestedRegion Ja Ja Ja
aws:PrincipalArn Ja Ja
aws:PrincipalAccount Ja Ja
signin:PrincipalArn Ja
Anmerkung

Die signin:CreateAccount Aktion wird ausschließlich in VPC-Endpunktrichtlinien für Console Private Access verwendet und ist nicht für ressourcenbasierte Richtlinien oder RCPs verfügbar. Ihr sind keine dienstspezifischen Bedingungsschlüssel zugeordnet. Siehe Privater Zugriff auf die Konsole.