Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Sign-In référence des clés de condition
Cette page répertorie les clés de condition que vous pouvez utiliser dans les politiques AWS Sign-In basées sur les ressources et les politiques de contrôle des ressources (RCP), et indique la phase d'évaluation et les actions auxquelles chaque clé s'applique. Seule signin:PrincipalArn est spécifique à AWS Sign-In ; les autres sont des clés de condition AWS globales. Pour les définitions des clés globales, voir les clés contextuelles des conditions AWS globales.
Pour obtenir la liste complète des actions et des clés de condition dans la référence d'autorisation de service, voir Actions, ressources et clés de condition pour AWS Sign-In.
Network-based clés de condition
Ces clés de condition vérifient l'origine de la demande. AWS Sign-In les évalue pour toutes les AWS Sign-In actions (signin:Authenticate,signin:AuthorizeOAuth2Access, etsignin:CreateOAuth2Token) dans les politiques basées sur les ressources et les RCP.
| Clé de condition | Opérateurs | Description | Règles d'utilisation |
|---|---|---|---|
aws:SourceIp |
IpAddress, NotIpAddress |
Adresse IP publique ou plage d'adresses CIDR | Absent lorsqu'une demande utilise un point de terminaison VPC. Utilisez des IfExists opérateurs lorsque vous combinez VPC-based des conditions dans la même instruction. |
aws:SourceVpc |
StringEquals,
StringNotEquals |
ID VPC () vpc-xxxxxxxx |
Présent uniquement lorsqu'une demande utilise un point de terminaison VPC. Utilisez avec aws:RequestedRegion pour éviter toute collision d'identifiants VPC entre régions. |
aws:SourceVpce |
StringEquals,
StringNotEquals |
ID de point de terminaison VPC () vpce-xxxxxxxx |
Présent uniquement lorsqu'une demande utilise un point de terminaison VPC. |
aws:VpcSourceIp |
IpAddress, NotIpAddress |
IP privée au sein du VPC | Utilisez toujours la clé de aws:VpcSourceIp condition avec les clés de aws:SourceVpce condition aws:SourceVpc ou. |
aws:RequestedRegion |
StringEquals,
StringNotEquals |
Code de AWS région cible | Recommandé lors de l'utilisation aws:SourceVpc pour éviter les collisions d'identifiants VPC entre régions. Plusieurs régions peuvent être spécifiées. |
Important
Une seule demande contient soit aws:SourceIp (réseau public) soit aws:SourceVpc (point de terminaison VPC), mais pas les deux. Lorsque vous rédigez des politiques de refus couvrant les deux chemins, utilisez des IfExists opérateurs (par exempleNotIpAddressIfExists) ou créez des instructions distinctes.
Identity-based clés de condition
Ces clés de condition vérifient qui fait la demande. Ils ne sont disponibles que pour les actions post-authentification (signin:AuthorizeOAuth2Accessetsignin:CreateOAuth2Token), pour lesquelles l'identité principale a été établie.
| Clé de condition | Opérateurs | Description | Exemples |
|---|---|---|---|
aws:PrincipalArn |
ArnEquals, ArnLike,
ArnNotEquals, StringEquals,
StringLike |
ARN du principal IAM authentifié | arn:aws:iam::123456789012:user/alice,
arn:aws:iam::123456789012:role/Admin |
aws:PrincipalAccount |
StringEquals,
StringNotEquals |
AWS numéro de compte du mandant | 123456789012 |
Service-specific clé de condition : connexion : PrincipalArn
La clé de condition suivante est spécifique à la clé globale AWS Sign-In et n'est pas une AWS clé globale. Il n'est disponible que lors de l'évaluation préalable à l'authentification. signin:PrincipalArnÀ utiliser pour identifier le principal initiateur de la connexion avant la fin de l'authentification. Il s'agit de l'équivalent de pré-authentification deaws:PrincipalArn, qui n'est disponible qu'après l'authentification.
- Opérateurs
-
Opérateurs ARN (
ArnEquals,ArnLike,ArnNotEquals,ArnNotLike) et opérateurs de chaîne (StringEquals,StringLike). - Disponibilité
-
AWS Sign-In inclut cette clé dans le contexte de la demande pendant la phase de pré-authentification (l'
signin:Authenticateaction). Il n'est pas disponible pour les actions post-authentification (signin:AuthorizeOAuth2Accessetsignin:CreateOAuth2Token). - Type de données
-
ARN. Utilisez des opérateurs ARN plutôt que des opérateurs de chaîne.
- Type de la valeur
-
Single-valued.
- Pris en charge dans
-
Resource-based politiques et RCP.
Utilisez les opérateurs ARN pour comparer les valeurs. Vous pouvez spécifier les types principaux suivants :
-
Compte AWS utilisateur root (
arn:aws:iam::123456789012:root) -
Utilisateur IAM ()
arn:aws:iam::123456789012:user/user-name -
Rôle IAM ()
arn:aws:iam::123456789012:role/role-name
Cas d'utilisation : exemptez une identité principale exclue des restrictions du réseau, empêchant ainsi le verrouillage tout en appliquant les contrôles réseau pour toutes les autres tentatives d'accès.
Exemple — Refuser l'accès préalable à l'authentification depuis des réseaux non autorisés, sauf pour l'utilisateur root :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:Authenticate"], "Resource": "*", "Condition": { "ArnNotEquals": { "signin:PrincipalArn": "arn:aws:iam::123456789012:root" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.0/24" }, "StringEquals": { "aws:ResourceAccount": "123456789012" } } }, { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"], "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:root" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.0/24" }, "StringEquals": { "aws:ResourceAccount": "123456789012" } } } ] }
Cette politique interdit l'accès à la console depuis l'extérieur de la plage d'203.0.113.0/24adresses IP, sauf pour l'utilisateur root du compte. L'instruction de pré-authentification est utilisée signin:PrincipalArn pour exempter l'utilisateur root avant la fin de l'authentification. L'instruction de post-authentification est utilisée aws:PrincipalArn pour exempter le même principal après authentification, lors de l'échange de jetons OAuth. Consultez Exemples de politiques.
Disponibilité de la clé de condition par action
| Clé de condition | Se connecter : authentifier | connexion : AuthorizeOAuth2Access | connexion : CreateOAuth2Token |
|---|---|---|---|
aws:SourceIp |
Oui | Oui | Oui |
aws:SourceVpc |
Oui | Oui | Oui |
aws:SourceVpce |
Oui | Oui | Oui |
aws:VpcSourceIp |
Oui | Oui | Oui |
aws:RequestedRegion |
Oui | Oui | Oui |
aws:PrincipalArn |
– | Oui | Oui |
aws:PrincipalAccount |
– | Oui | Oui |
signin:PrincipalArn |
Oui | – | – |
Note
L'signin:CreateAccountaction est utilisée exclusivement dans les politiques de point de terminaison VPC pour l'accès privé à la console et n'est pas disponible pour les politiques basées sur les ressources ou les RCP. Aucune clé de condition spécifique au service n'y est associée. Voir Accès privé à la console.