Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS Sign-In referencia de claves de condición
Esta página enumera las claves de condición que puede usar en las políticas AWS Sign-In basadas en recursos y en las políticas de control de recursos (RCP), y muestra la fase de evaluación y la acción a las que se aplica cada clave. Solo signin:PrincipalArn es específica de AWS Sign-In; las demás son claves de condición AWS globales. Para ver las definiciones de las claves globales, consulte las claves de contexto de las condiciones AWS globales.
Para ver la lista completa de acciones y claves de condición en la Referencia de autorización de servicio, consulte Acciones, recursos y claves de condición de AWS Sign-In.
Network-based claves de condición
Estas claves de condición comprueban el origen de la solicitud. AWS Sign-In las evalúa para todas AWS Sign-In las acciones (signin:Authenticatesignin:AuthorizeOAuth2Access, ysignin:CreateOAuth2Token) tanto en las políticas basadas en recursos como en las RCP.
| Clave de condición | Operadores | Description (Descripción) | Reglas de uso |
|---|---|---|---|
aws:SourceIp |
IpAddress, NotIpAddress |
Dirección IP pública o rango de CIDR | No está presente cuando una solicitud utiliza un punto final de VPC. Usa IfExists operadores al combinarlos con VPC-based condiciones de la misma declaración. |
aws:SourceVpc |
StringEquals,
StringNotEquals |
ID DE VPC () vpc-xxxxxxxx |
Solo está presente cuando una solicitud utiliza un punto final de VPC. Úselo con aws:RequestedRegion para evitar colisiones de ID de VPC entre regiones. |
aws:SourceVpce |
StringEquals,
StringNotEquals |
ID de punto final de VPC () vpce-xxxxxxxx |
Solo está presente cuando una solicitud utiliza un punto final de VPC. |
aws:VpcSourceIp |
IpAddress, NotIpAddress |
IP privada dentro de la VPC | Utilice siempre la clave de aws:VpcSourceIp condición junto con las claves de aws:SourceVpce condición aws:SourceVpc o. |
aws:RequestedRegion |
StringEquals,
StringNotEquals |
Código de AWS región objetivo | Se recomienda cuando se usa aws:SourceVpc para evitar colisiones de ID de VPC entre regiones. Se pueden especificar varias regiones. |
importante
Una sola solicitud contiene aws:SourceIp (red pública) o aws:SourceVpc (punto final de VPC), no ambos. Al redactar políticas de denegación a menos que cubran ambas rutas, utilice IfExists operadores (por ejemploNotIpAddressIfExists) o cree declaraciones independientes.
Identity-based claves de condición
Estas claves de condición comprueban quién hace la solicitud. Solo están disponibles para las acciones posteriores a la autenticación (signin:AuthorizeOAuth2Accessysignin:CreateOAuth2Token), en las que se ha establecido la identidad principal.
| Clave de condición | Operadores | Description (Descripción) | Ejemplos |
|---|---|---|---|
aws:PrincipalArn |
ArnEquals, ArnLike,
ArnNotEquals, StringEquals,
StringLike |
ARN del principal de IAM autenticado | arn:aws:iam::123456789012:user/alice,
arn:aws:iam::123456789012:role/Admin |
aws:PrincipalAccount |
StringEquals,
StringNotEquals |
AWS ID de cuenta del principal | 123456789012 |
Service-specific clave de condición: inicio de sesión: PrincipalArn
La siguiente clave de condición es específica AWS Sign-In y no es una AWS clave global. Solo está disponible durante la evaluación previa a la autenticación. Se utiliza signin:PrincipalArn para identificar el inicio de sesión principal antes de que se complete la autenticación. Es el equivalente a la autenticación previaaws:PrincipalArn, que no está disponible hasta después de la autenticación.
- Operadores
-
Operadores ARN (
ArnEquals,,ArnLikeArnNotEquals,ArnNotLike) y operadores de cadena (StringEquals,StringLike). - Disponibilidad.
-
AWS Sign-In incluye esta clave en el contexto de la solicitud durante la fase previa a la autenticación (la
signin:Authenticateacción). No está disponible para las acciones posteriores a la autenticación (signin:AuthorizeOAuth2Accessysignin:CreateOAuth2Token). - Tipo de datos:
-
ARN. Utilice operadores ARN en lugar de operadores de cadena.
- Tipo de valor
-
Single-valued.
- Compatible con
-
Resource-based políticas y RCP.
Utilice los operadores ARN para comparar valores. Puede especificar los siguientes tipos principales:
-
Cuenta de AWS usuario root (
arn:aws:iam::123456789012:root) -
Usuario de IAM ()
arn:aws:iam::123456789012:user/user-name -
Función de IAM ()
arn:aws:iam::123456789012:role/role-name
Caso de uso: eximir a una identidad principal excluida de las restricciones de la red, evitando el bloqueo y, al mismo tiempo, aplicando los controles de red para todos los demás intentos de acceso.
Ejemplo: denegar el acceso previo a la autenticación desde redes no autorizadas, excepto al usuario root:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:Authenticate"], "Resource": "*", "Condition": { "ArnNotEquals": { "signin:PrincipalArn": "arn:aws:iam::123456789012:root" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.0/24" }, "StringEquals": { "aws:ResourceAccount": "123456789012" } } }, { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"], "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:root" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.0/24" }, "StringEquals": { "aws:ResourceAccount": "123456789012" } } } ] }
Esta política deniega el acceso a la consola desde fuera del rango de 203.0.113.0/24 IP, excepto al usuario raíz de la cuenta. La declaración de autenticación previa se utiliza signin:PrincipalArn para eximir al usuario raíz antes de que se complete la autenticación. La declaración posterior a la autenticación se utiliza aws:PrincipalArn para eximir al mismo principal después de la autenticación, durante el intercambio del token de OAuth. Consulte Ejemplos de políticas.
Condicione la disponibilidad de la clave por acción
| Clave de condición | Iniciar sesión: autenticarse | inicio de sesión: AuthorizeOAuth2Access | iniciar sesión: CreateOAuth2Token |
|---|---|---|---|
aws:SourceIp |
Sí | Sí | Sí |
aws:SourceVpc |
Sí | Sí | Sí |
aws:SourceVpce |
Sí | Sí | Sí |
aws:VpcSourceIp |
Sí | Sí | Sí |
aws:RequestedRegion |
Sí | Sí | Sí |
aws:PrincipalArn |
– | Sí | Sí |
aws:PrincipalAccount |
– | Sí | Sí |
signin:PrincipalArn |
Sí | – | – |
nota
La signin:CreateAccount acción se usa exclusivamente en las políticas de puntos finales de la VPC para el acceso privado a la consola y no está disponible para las políticas basadas en recursos o los RCP. No está asociada a ninguna clave de condición específica del servicio. Consulte Acceso privado a la consola.