

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# AWS Sign-In Referenz zu den Bedingungsschlüsseln
<a name="reference-signin-condition-keys"></a>

Auf dieser Seite sind die Bedingungsschlüssel aufgeführt, die Sie in AWS Sign-In ressourcenbasierten Richtlinien und Ressourcenkontrollrichtlinien (RCPs) verwenden können. Außerdem werden die Evaluierungsphase und die Aktion angezeigt, für die die einzelnen Schlüssel gelten. Nur `signin:PrincipalArn` ist spezifisch für AWS Sign-In; die anderen sind AWS globale Bedingungsschlüssel. Die Definitionen globaler Schlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).

Die vollständige Liste der Aktionen und Bedingungsschlüssel in der Service Authorization Reference finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Sign-In](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssignin.html).

## Network-based Bedingungsschlüssel
<a name="reference-signin-condition-keys-network"></a>

Diese Bedingungsschlüssel überprüfen, woher die Anfrage stammt. AWS Sign-In bewertet sie für alle AWS Sign-In Aktionen (`signin:Authenticate``signin:AuthorizeOAuth2Access`, und`signin:CreateOAuth2Token`) sowohl in ressourcenbasierten Richtlinien als auch in RCPs.


**Network-based Bedingungsschlüssel**  

| Bedingungsschlüssel | Betreiber | Description | Nutzungsregeln | 
| --- | --- | --- | --- | 
| aws:SourceIp | IpAddress, NotIpAddress | Öffentliche IP-Adresse oder CIDR-Bereich | Nicht vorhanden, wenn eine Anfrage einen VPC-Endpunkt verwendet. Verwenden Sie IfExists Operatoren, wenn Sie VPC-based Bedingungen in derselben Anweisung kombinieren. | 
| aws:SourceVpc | StringEquals, StringNotEquals | VPC-ID () vpc-xxxxxxxx | Nur vorhanden, wenn eine Anfrage einen VPC-Endpunkt verwendet. Verwenden Sie withaws:RequestedRegion, um eine regionsübergreifende VPC-ID-Kollision zu verhindern. | 
| aws:SourceVpce | StringEquals, StringNotEquals | VPC-Endpunkt-ID () vpce-xxxxxxxx | Nur vorhanden, wenn eine Anfrage einen VPC-Endpunkt verwendet. | 
| aws:VpcSourceIp | IpAddress, NotIpAddress | Private IP innerhalb der VPC | Verwenden Sie immer den aws:VpcSourceIp Bedingungsschlüssel zusammen mit den aws:SourceVpce Bedingungstasten aws:SourceVpc oder. | 
| aws:RequestedRegion | StringEquals, StringNotEquals | Code AWS der Zielregion | Wird bei Verwendung empfohlen, aws:SourceVpc um eine regionsübergreifende VPC-ID-Kollision zu verhindern. Es können mehrere Regionen angegeben werden. | 

**Wichtig**  
Eine einzelne Anfrage enthält entweder `aws:SourceIp` (öffentliches Netzwerk) oder `aws:SourceVpc` (VPC-Endpunkt), nicht beides. Verwenden Sie `IfExists` Operatoren (z. B.`NotIpAddressIfExists`) oder erstellen Sie separate Anweisungen, wenn Sie Richtlinien schreiben, die nicht für beide Pfade gelten.

## Identity-based Bedingungsschlüssel
<a name="reference-signin-condition-keys-identity"></a>

Diese Zustandsschlüssel überprüfen, wer die Anfrage stellt. Sie sind nur für Aktionen (`signin:AuthorizeOAuth2Access`und`signin:CreateOAuth2Token`) nach der Authentifizierung verfügbar, bei denen die Hauptidentität festgelegt wurde.


**Identity-based Bedingungsschlüssel**  

| Bedingungsschlüssel | Betreiber | Description | Beispiele | 
| --- | --- | --- | --- | 
| aws:PrincipalArn | ArnEquals, ArnLike, ArnNotEquals, StringEquals, StringLike | ARN des authentifizierten IAM-Prinzipals | arn:aws:iam::123456789012:user/alice, arn:aws:iam::123456789012:role/Admin | 
| aws:PrincipalAccount | StringEquals, StringNotEquals | AWS Konto-ID des Prinzipals | 123456789012 | 

## Service-specific Bedingungsschlüssel: Anmeldung: PrincipalArn
<a name="reference-signin-condition-keys-service-specific"></a>

Der folgende Bedingungsschlüssel ist spezifisch für AWS Sign-In und kein globaler AWS Schlüssel. Er ist nur während der Evaluierung vor der Authentifizierung verfügbar. Wird verwendet`signin:PrincipalArn`, um den Prinzipal zu identifizieren, der die Anmeldung initiiert, bevor die Authentifizierung abgeschlossen ist. Dies ist das Äquivalent von vor der Authentifizierung`aws:PrincipalArn`, das erst nach der Authentifizierung verfügbar ist.

Betreiber  
ARN-Operatoren (`ArnEquals``ArnLike`,`ArnNotEquals`,`ArnNotLike`) und Zeichenkettenoperatoren (`StringEquals`,`StringLike`).

Verfügbarkeit  
AWS Sign-In nimmt diesen Schlüssel während der Vorauthentifizierungsphase (der `signin:Authenticate` Aktion) in den Anforderungskontext auf. Er ist für die Aktionen (`signin:AuthorizeOAuth2Access`und`signin:CreateOAuth2Token`) nach der Authentifizierung nicht verfügbar.

Datentyp  
ARN. Verwenden Sie ARN-Operatoren anstelle von Zeichenkettenoperatoren.

Werttyp  
Single-valued.

Unterstützt in  
Resource-based Richtlinien und RCPs.

Verwenden Sie ARN-Operatoren, um Werte zu vergleichen. Sie können die folgenden Haupttypen angeben:
+ AWS-Konto Root-Benutzer (`arn:aws:iam::123456789012:root`)
+ IAM-Benutzer () `arn:aws:iam::123456789012:user/{{user-name}}`
+ IAM-Rolle () `arn:aws:iam::123456789012:role/{{role-name}}`

**Anwendungsfall:** Eine ausgeschlossene Prinzipidentität von Netzwerkeinschränkungen ausnehmen, um eine Sperrung zu verhindern und gleichzeitig die Netzwerkkontrollen für alle anderen Zugriffsversuche durchzusetzen.

**Beispiel — Verweigern Sie den Zugriff vor der Authentifizierung von nicht autorisierten Netzwerken aus, mit Ausnahme des Root-Benutzers:**

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": { "AWS": "*" },
      "Action": ["signin:Authenticate"],
      "Resource": "*",
      "Condition": {
        "ArnNotEquals": {
          "signin:PrincipalArn": "arn:aws:iam::123456789012:root"
        },
        "NotIpAddress": {
          "aws:SourceIp": "203.0.113.0/24"
        },
        "StringEquals": {
          "aws:ResourceAccount": "123456789012"
        }
      }
    },
    {
      "Effect": "Deny",
      "Principal": { "AWS": "*" },
      "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"],
      "Resource": "*",
      "Condition": {
        "ArnNotEquals": {
          "aws:PrincipalArn": "arn:aws:iam::123456789012:root"
        },
        "NotIpAddress": {
          "aws:SourceIp": "203.0.113.0/24"
        },
        "StringEquals": {
          "aws:ResourceAccount": "123456789012"
        }
      }
    }
  ]
}
```

Diese Richtlinie verweigert den Konsolenzugriff von außerhalb des `203.0.113.0/24` IP-Bereichs, mit Ausnahme des Root-Benutzers des Kontos. Die Vorauthentifizierungsanweisung dient `signin:PrincipalArn` dazu, den Root-Benutzer auszunehmen, bevor die Authentifizierung abgeschlossen ist. Die Anweisung nach der Authentifizierung dient `aws:PrincipalArn` dazu, denselben Prinzipal nach der Authentifizierung während des OAuth-Tokenaustauschs auszunehmen. Siehe [Beispiele für Richtlinien](console-access-control.md#console-access-control-policy-examples).

## Bedingte Schlüsselverfügbarkeit durch Aktion
<a name="reference-signin-condition-keys-availability"></a>


**Verfügbarkeit von Zustandsschlüsseln nach Aktion**  

| Bedingungsschlüssel | Anmeldung: Authentifizieren | einloggen: AuthorizeOAuth2Access | einloggen: CreateOAuth2Token | 
| --- | --- | --- | --- | 
| aws:SourceIp | Ja | Ja | Ja | 
| aws:SourceVpc | Ja | Ja | Ja | 
| aws:SourceVpce | Ja | Ja | Ja | 
| aws:VpcSourceIp | Ja | Ja | Ja | 
| aws:RequestedRegion | Ja | Ja | Ja | 
| aws:PrincipalArn | – | Ja | Ja | 
| aws:PrincipalAccount | – | Ja | Ja | 
| signin:PrincipalArn | Ja | – | – | 

**Anmerkung**  
Die `signin:CreateAccount` Aktion wird ausschließlich in VPC-Endpunktrichtlinien für Console Private Access verwendet und ist nicht für ressourcenbasierte Richtlinien oder RCPs verfügbar. Ihr sind keine dienstspezifischen Bedingungsschlüssel zugeordnet. Siehe [Privater Zugriff auf die Konsole](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/console-private-access.html).

## Ähnliche Informationen
<a name="reference-signin-condition-keys-related"></a>
+ [Steuerung des Konsolenzugriffs mit ressourcenbasierten Richtlinien und Richtlinien zur Ressourcensteuerung](console-access-control.md)
+ [AWS-Managementkonsole Privater Zugriff](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/console-private-access.html)
+ [AWS Globale Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Sign-In](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssignin.html)