

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# AWS Sign-In referencia de claves de condición
<a name="reference-signin-condition-keys"></a>

Esta página enumera las claves de condición que puede usar en las políticas AWS Sign-In basadas en recursos y en las políticas de control de recursos (RCP), y muestra la fase de evaluación y la acción a las que se aplica cada clave. Solo `signin:PrincipalArn` es específica de AWS Sign-In; las demás son claves de condición AWS globales. Para ver las definiciones de las claves globales, consulte las [claves de contexto de las condiciones AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).

Para ver la lista completa de acciones y claves de condición en la Referencia de autorización de servicio, consulte [Acciones, recursos y claves de condición de AWS Sign-In](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssignin.html).

## Network-based claves de condición
<a name="reference-signin-condition-keys-network"></a>

Estas claves de condición comprueban el origen de la solicitud. AWS Sign-In las evalúa para todas AWS Sign-In las acciones (`signin:Authenticate``signin:AuthorizeOAuth2Access`, y`signin:CreateOAuth2Token`) tanto en las políticas basadas en recursos como en las RCP.


**Network-based claves de condición**  

| Clave de condición | Operadores | Description (Descripción) | Reglas de uso | 
| --- | --- | --- | --- | 
| aws:SourceIp | IpAddress, NotIpAddress | Dirección IP pública o rango de CIDR | No está presente cuando una solicitud utiliza un punto final de VPC. Usa IfExists operadores al combinarlos con VPC-based condiciones de la misma declaración. | 
| aws:SourceVpc | StringEquals, StringNotEquals | ID DE VPC () vpc-xxxxxxxx | Solo está presente cuando una solicitud utiliza un punto final de VPC. Úselo con aws:RequestedRegion para evitar colisiones de ID de VPC entre regiones. | 
| aws:SourceVpce | StringEquals, StringNotEquals | ID de punto final de VPC () vpce-xxxxxxxx | Solo está presente cuando una solicitud utiliza un punto final de VPC. | 
| aws:VpcSourceIp | IpAddress, NotIpAddress | IP privada dentro de la VPC | Utilice siempre la clave de aws:VpcSourceIp condición junto con las claves de aws:SourceVpce condición aws:SourceVpc o. | 
| aws:RequestedRegion | StringEquals, StringNotEquals | Código de AWS región objetivo | Se recomienda cuando se usa aws:SourceVpc para evitar colisiones de ID de VPC entre regiones. Se pueden especificar varias regiones. | 

**importante**  
Una sola solicitud contiene `aws:SourceIp` (red pública) o `aws:SourceVpc` (punto final de VPC), no ambos. Al redactar políticas de denegación a menos que cubran ambas rutas, utilice `IfExists` operadores (por ejemplo`NotIpAddressIfExists`) o cree declaraciones independientes.

## Identity-based claves de condición
<a name="reference-signin-condition-keys-identity"></a>

Estas claves de condición comprueban quién hace la solicitud. Solo están disponibles para las acciones posteriores a la autenticación (`signin:AuthorizeOAuth2Access`y`signin:CreateOAuth2Token`), en las que se ha establecido la identidad principal.


**Identity-based claves de condición**  

| Clave de condición | Operadores | Description (Descripción) | Ejemplos | 
| --- | --- | --- | --- | 
| aws:PrincipalArn | ArnEquals, ArnLike, ArnNotEquals, StringEquals, StringLike | ARN del principal de IAM autenticado | arn:aws:iam::123456789012:user/alice, arn:aws:iam::123456789012:role/Admin | 
| aws:PrincipalAccount | StringEquals, StringNotEquals | AWS ID de cuenta del principal | 123456789012 | 

## Service-specific clave de condición: inicio de sesión: PrincipalArn
<a name="reference-signin-condition-keys-service-specific"></a>

La siguiente clave de condición es específica AWS Sign-In y no es una AWS clave global. Solo está disponible durante la evaluación previa a la autenticación. Se utiliza `signin:PrincipalArn` para identificar el inicio de sesión principal antes de que se complete la autenticación. Es el equivalente a la autenticación previa`aws:PrincipalArn`, que no está disponible hasta después de la autenticación.

Operadores  
Operadores ARN (`ArnEquals`,, `ArnLike``ArnNotEquals`,`ArnNotLike`) y operadores de cadena (`StringEquals`,`StringLike`).

Disponibilidad.  
AWS Sign-In incluye esta clave en el contexto de la solicitud durante la fase previa a la autenticación (la `signin:Authenticate` acción). No está disponible para las acciones posteriores a la autenticación (`signin:AuthorizeOAuth2Access`y`signin:CreateOAuth2Token`).

Tipo de datos:  
ARN. Utilice operadores ARN en lugar de operadores de cadena.

Tipo de valor  
Single-valued.

Compatible con  
Resource-based políticas y RCP.

Utilice los operadores ARN para comparar valores. Puede especificar los siguientes tipos principales:
+ Cuenta de AWS usuario root (`arn:aws:iam::123456789012:root`)
+ Usuario de IAM () `arn:aws:iam::123456789012:user/{{user-name}}`
+ Función de IAM () `arn:aws:iam::123456789012:role/{{role-name}}`

**Caso de uso:** eximir a una identidad principal excluida de las restricciones de la red, evitando el bloqueo y, al mismo tiempo, aplicando los controles de red para todos los demás intentos de acceso.

**Ejemplo: denegar el acceso previo a la autenticación desde redes no autorizadas, excepto al usuario root:**

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": { "AWS": "*" },
      "Action": ["signin:Authenticate"],
      "Resource": "*",
      "Condition": {
        "ArnNotEquals": {
          "signin:PrincipalArn": "arn:aws:iam::123456789012:root"
        },
        "NotIpAddress": {
          "aws:SourceIp": "203.0.113.0/24"
        },
        "StringEquals": {
          "aws:ResourceAccount": "123456789012"
        }
      }
    },
    {
      "Effect": "Deny",
      "Principal": { "AWS": "*" },
      "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"],
      "Resource": "*",
      "Condition": {
        "ArnNotEquals": {
          "aws:PrincipalArn": "arn:aws:iam::123456789012:root"
        },
        "NotIpAddress": {
          "aws:SourceIp": "203.0.113.0/24"
        },
        "StringEquals": {
          "aws:ResourceAccount": "123456789012"
        }
      }
    }
  ]
}
```

Esta política deniega el acceso a la consola desde fuera del rango de `203.0.113.0/24` IP, excepto al usuario raíz de la cuenta. La declaración de autenticación previa se utiliza `signin:PrincipalArn` para eximir al usuario raíz antes de que se complete la autenticación. La declaración posterior a la autenticación se utiliza `aws:PrincipalArn` para eximir al mismo principal después de la autenticación, durante el intercambio del token de OAuth. Consulte [Ejemplos de políticas](console-access-control.md#console-access-control-policy-examples).

## Condicione la disponibilidad de la clave por acción
<a name="reference-signin-condition-keys-availability"></a>


**Condicione la disponibilidad de las claves por acción**  

| Clave de condición | Iniciar sesión: autenticarse | inicio de sesión: AuthorizeOAuth2Access | iniciar sesión: CreateOAuth2Token | 
| --- | --- | --- | --- | 
| aws:SourceIp | Sí | Sí | Sí | 
| aws:SourceVpc | Sí | Sí | Sí | 
| aws:SourceVpce | Sí | Sí | Sí | 
| aws:VpcSourceIp | Sí | Sí | Sí | 
| aws:RequestedRegion | Sí | Sí | Sí | 
| aws:PrincipalArn | – | Sí | Sí | 
| aws:PrincipalAccount | – | Sí | Sí | 
| signin:PrincipalArn | Sí | – | – | 

**nota**  
La `signin:CreateAccount` acción se usa exclusivamente en las políticas de puntos finales de la VPC para el acceso privado a la consola y no está disponible para las políticas basadas en recursos o los RCP. No está asociada a ninguna clave de condición específica del servicio. Consulte Acceso [privado a la consola](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/console-private-access.html).

## Información relacionada
<a name="reference-signin-condition-keys-related"></a>
+ [Control del acceso a la consola con políticas basadas en recursos y políticas de control de recursos](console-access-control.md)
+ [Consola de administración de AWS Acceso privado](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/console-private-access.html)
+ [Claves de contexto de condición global de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [Claves de condiciones, recursos y acciones para AWS Sign-In](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssignin.html)