View a markdown version of this page

AWS Sign-In référence des clés de condition - AWS Sign-In

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Sign-In référence des clés de condition

Cette page répertorie les clés de condition que vous pouvez utiliser dans les politiques AWS Sign-In basées sur les ressources et les politiques de contrôle des ressources (RCP), et indique la phase d'évaluation et les actions auxquelles chaque clé s'applique. Seule signin:PrincipalArn est spécifique à AWS Sign-In ; les autres sont des clés de condition AWS globales. Pour les définitions des clés globales, voir les clés contextuelles des conditions AWS globales.

Pour obtenir la liste complète des actions et des clés de condition dans la référence d'autorisation de service, voir Actions, ressources et clés de condition pour AWS Sign-In.

Network-based clés de condition

Ces clés de condition vérifient l'origine de la demande. AWS Sign-In les évalue pour toutes les AWS Sign-In actions (signin:Authenticate,signin:AuthorizeOAuth2Access, etsignin:CreateOAuth2Token) dans les politiques basées sur les ressources et les RCP.

Network-based clés de condition
Clé de condition Opérateurs Description Règles d'utilisation
aws:SourceIp IpAddress, NotIpAddress Adresse IP publique ou plage d'adresses CIDR Absent lorsqu'une demande utilise un point de terminaison VPC. Utilisez des IfExists opérateurs lorsque vous combinez VPC-based des conditions dans la même instruction.
aws:SourceVpc StringEquals, StringNotEquals ID VPC () vpc-xxxxxxxx Présent uniquement lorsqu'une demande utilise un point de terminaison VPC. Utilisez avec aws:RequestedRegion pour éviter toute collision d'identifiants VPC entre régions.
aws:SourceVpce StringEquals, StringNotEquals ID de point de terminaison VPC () vpce-xxxxxxxx Présent uniquement lorsqu'une demande utilise un point de terminaison VPC.
aws:VpcSourceIp IpAddress, NotIpAddress IP privée au sein du VPC Utilisez toujours la clé de aws:VpcSourceIp condition avec les clés de aws:SourceVpce condition aws:SourceVpc ou.
aws:RequestedRegion StringEquals, StringNotEquals Code de AWS région cible Recommandé lors de l'utilisation aws:SourceVpc pour éviter les collisions d'identifiants VPC entre régions. Plusieurs régions peuvent être spécifiées.
Important

Une seule demande contient soit aws:SourceIp (réseau public) soit aws:SourceVpc (point de terminaison VPC), mais pas les deux. Lorsque vous rédigez des politiques de refus couvrant les deux chemins, utilisez des IfExists opérateurs (par exempleNotIpAddressIfExists) ou créez des instructions distinctes.

Identity-based clés de condition

Ces clés de condition vérifient qui fait la demande. Ils ne sont disponibles que pour les actions post-authentification (signin:AuthorizeOAuth2Accessetsignin:CreateOAuth2Token), pour lesquelles l'identité principale a été établie.

Identity-based clés de condition
Clé de condition Opérateurs Description Exemples
aws:PrincipalArn ArnEquals, ArnLike, ArnNotEquals, StringEquals, StringLike ARN du principal IAM authentifié arn:aws:iam::123456789012:user/alice, arn:aws:iam::123456789012:role/Admin
aws:PrincipalAccount StringEquals, StringNotEquals AWS numéro de compte du mandant 123456789012

Service-specific clé de condition : connexion : PrincipalArn

La clé de condition suivante est spécifique à la clé globale AWS Sign-In et n'est pas une AWS clé globale. Il n'est disponible que lors de l'évaluation préalable à l'authentification. signin:PrincipalArnÀ utiliser pour identifier le principal initiateur de la connexion avant la fin de l'authentification. Il s'agit de l'équivalent de pré-authentification deaws:PrincipalArn, qui n'est disponible qu'après l'authentification.

Opérateurs

Opérateurs ARN (ArnEquals,ArnLike,ArnNotEquals,ArnNotLike) et opérateurs de chaîne (StringEquals,StringLike).

Disponibilité

AWS Sign-In inclut cette clé dans le contexte de la demande pendant la phase de pré-authentification (l'signin:Authenticateaction). Il n'est pas disponible pour les actions post-authentification (signin:AuthorizeOAuth2Accessetsignin:CreateOAuth2Token).

Type de données

ARN. Utilisez des opérateurs ARN plutôt que des opérateurs de chaîne.

Type de la valeur

Single-valued.

Pris en charge dans

Resource-based politiques et RCP.

Utilisez les opérateurs ARN pour comparer les valeurs. Vous pouvez spécifier les types principaux suivants :

  • Compte AWS utilisateur root (arn:aws:iam::123456789012:root)

  • Utilisateur IAM () arn:aws:iam::123456789012:user/user-name

  • Rôle IAM () arn:aws:iam::123456789012:role/role-name

Cas d'utilisation : exemptez une identité principale exclue des restrictions du réseau, empêchant ainsi le verrouillage tout en appliquant les contrôles réseau pour toutes les autres tentatives d'accès.

Exemple — Refuser l'accès préalable à l'authentification depuis des réseaux non autorisés, sauf pour l'utilisateur root :

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:Authenticate"], "Resource": "*", "Condition": { "ArnNotEquals": { "signin:PrincipalArn": "arn:aws:iam::123456789012:root" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.0/24" }, "StringEquals": { "aws:ResourceAccount": "123456789012" } } }, { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"], "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:root" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.0/24" }, "StringEquals": { "aws:ResourceAccount": "123456789012" } } } ] }

Cette politique interdit l'accès à la console depuis l'extérieur de la plage d'203.0.113.0/24adresses IP, sauf pour l'utilisateur root du compte. L'instruction de pré-authentification est utilisée signin:PrincipalArn pour exempter l'utilisateur root avant la fin de l'authentification. L'instruction de post-authentification est utilisée aws:PrincipalArn pour exempter le même principal après authentification, lors de l'échange de jetons OAuth. Consultez Exemples de politiques.

Disponibilité de la clé de condition par action

Disponibilité de la clé de condition par action
Clé de condition Se connecter : authentifier connexion : AuthorizeOAuth2Access connexion : CreateOAuth2Token
aws:SourceIp Oui Oui Oui
aws:SourceVpc Oui Oui Oui
aws:SourceVpce Oui Oui Oui
aws:VpcSourceIp Oui Oui Oui
aws:RequestedRegion Oui Oui Oui
aws:PrincipalArn Oui Oui
aws:PrincipalAccount Oui Oui
signin:PrincipalArn Oui
Note

L'signin:CreateAccountaction est utilisée exclusivement dans les politiques de point de terminaison VPC pour l'accès privé à la console et n'est pas disponible pour les politiques basées sur les ressources ou les RCP. Aucune clé de condition spécifique au service n'y est associée. Voir Accès privé à la console.