Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Sign-In referensi kunci kondisi
Halaman ini mencantumkan kunci kondisi yang dapat Anda gunakan dalam kebijakan AWS Sign-In berbasis sumber daya dan kebijakan kontrol sumber daya (RCP), dan menunjukkan fase evaluasi dan tindakan yang diterapkan setiap kunci. Hanya signin:PrincipalArn khusus untuk AWS Sign-In; yang lain adalah kunci kondisi AWS global. Untuk definisi kunci global, lihat kunci konteks kondisi AWS global.
Untuk daftar lengkap tindakan dan kunci kondisi dalam Referensi Otorisasi Layanan, lihat Tindakan, sumber daya, dan kunci kondisi untuk AWS Sign-In.
Network-based kunci kondisi
Kunci kondisi ini memeriksa dari mana permintaan berasal. AWS Sign-In mengevaluasi mereka untuk semua AWS Sign-In tindakan (signin:Authenticate,signin:AuthorizeOAuth2Access, dansignin:CreateOAuth2Token) dalam kebijakan berbasis sumber daya dan RCP.
| Kunci syarat | Operator | Deskripsi | Aturan penggunaan |
|---|---|---|---|
aws:SourceIp |
IpAddress, NotIpAddress |
Alamat IP publik atau rentang CIDR | Tidak ada saat permintaan menggunakan titik akhir VPC. Gunakan IfExists operator saat menggabungkan dengan VPC-based kondisi dalam pernyataan yang sama. |
aws:SourceVpc |
StringEquals,
StringNotEquals |
ID VPC () vpc-xxxxxxxx |
Hanya hadir saat permintaan menggunakan titik akhir VPC. Gunakan dengan aws:RequestedRegion untuk mencegah tabrakan ID VPC lintas wilayah. |
aws:SourceVpce |
StringEquals,
StringNotEquals |
ID titik akhir VPC () vpce-xxxxxxxx |
Hanya hadir saat permintaan menggunakan titik akhir VPC. |
aws:VpcSourceIp |
IpAddress, NotIpAddress |
IP pribadi dalam VPC | Selalu gunakan tombol aws:VpcSourceIp kondisi dengan tombol aws:SourceVpc atau aws:SourceVpce kondisi. |
aws:RequestedRegion |
StringEquals,
StringNotEquals |
Kode AWS Wilayah Target | Direkomendasikan saat menggunakan aws:SourceVpc untuk mencegah tabrakan ID VPC lintas wilayah. Beberapa Wilayah dapat ditentukan. |
penting
Satu permintaan berisi aws:SourceIp (jaringan publik) atau aws:SourceVpc (titik akhir VPC), bukan keduanya. Saat menulis penolakan kecuali kebijakan yang mencakup kedua jalur, gunakan IfExists operator (misalnya,NotIpAddressIfExists) atau buat pernyataan terpisah.
Identity-based kunci kondisi
Kunci kondisi ini memeriksa siapa yang membuat permintaan. Mereka hanya tersedia untuk tindakan pasca-otentikasi (signin:AuthorizeOAuth2Accessdansignin:CreateOAuth2Token), di mana identitas utama telah ditetapkan.
| Kunci syarat | Operator | Deskripsi | Contoh |
|---|---|---|---|
aws:PrincipalArn |
ArnEquals, ArnLike,
ArnNotEquals, StringEquals,
StringLike |
ARN dari prinsipal IAM yang diautentikasi | arn:aws:iam::123456789012:user/alice,
arn:aws:iam::123456789012:role/Admin |
aws:PrincipalAccount |
StringEquals,
StringNotEquals |
AWS ID akun kepala sekolah | 123456789012 |
Service-specific kunci kondisi: masuk: PrincipalArn
Kunci kondisi berikut khusus untuk AWS Sign-In dan bukan AWS kunci global. Ini hanya tersedia selama evaluasi pra-otentikasi. Gunakan signin:PrincipalArn untuk mengidentifikasi prinsipal yang memulai proses masuk sebelum otentikasi selesai. Ini adalah pra-otentikasi yang setara denganaws:PrincipalArn, yang tidak tersedia sampai setelah otentikasi.
- Operator
-
Operator ARN (
ArnEquals,,ArnLikeArnNotEquals,ArnNotLike) dan operator string (StringEquals,StringLike). - Ketersediaan
-
AWS Sign-In menyertakan kunci ini dalam konteks permintaan selama fase pra-otentikasi (
signin:Authenticatetindakan). Ini tidak tersedia untuk tindakan pasca-otentikasi (signin:AuthorizeOAuth2Accessdansignin:CreateOAuth2Token). - Jenis data
-
ARN. Gunakan operator ARN daripada operator string.
- Tipe nilai
-
Single-valued.
- Didukung di
-
Resource-based kebijakan dan RCP.
Gunakan operator ARN untuk membandingkan nilai. Anda dapat menentukan jenis utama berikut:
-
Akun AWS pengguna root (
arn:aws:iam::123456789012:root) -
Pengguna IAM ()
arn:aws:iam::123456789012:user/user-name -
Peran IAM ()
arn:aws:iam::123456789012:role/role-name
Kasus penggunaan: Mengecualikan identitas utama yang dikecualikan dari pembatasan jaringan, mencegah penguncian sambil tetap menerapkan kontrol jaringan untuk semua upaya akses lainnya.
Contoh — Tolak akses pra-otentikasi dari jaringan yang tidak sah, kecuali untuk pengguna root:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:Authenticate"], "Resource": "*", "Condition": { "ArnNotEquals": { "signin:PrincipalArn": "arn:aws:iam::123456789012:root" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.0/24" }, "StringEquals": { "aws:ResourceAccount": "123456789012" } } }, { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"], "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:root" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.0/24" }, "StringEquals": { "aws:ResourceAccount": "123456789012" } } } ] }
Kebijakan ini menolak akses konsol dari luar rentang 203.0.113.0/24 IP, kecuali untuk pengguna root akun. Pernyataan pra-otentikasi digunakan signin:PrincipalArn untuk membebaskan pengguna root sebelum otentikasi selesai. Pernyataan pasca-otentikasi digunakan aws:PrincipalArn untuk mengecualikan prinsip yang sama setelah otentikasi, selama pertukaran token OAuth. Lihat Contoh kebijakan.
Kondisi ketersediaan kunci berdasarkan tindakan
| Kunci syarat | Signin:Otentikasi | masuk: AuthorizeOAuth2Access | masuk: CreateOAuth2Token |
|---|---|---|---|
aws:SourceIp |
Ya | Ya | Ya |
aws:SourceVpc |
Ya | Ya | Ya |
aws:SourceVpce |
Ya | Ya | Ya |
aws:VpcSourceIp |
Ya | Ya | Ya |
aws:RequestedRegion |
Ya | Ya | Ya |
aws:PrincipalArn |
– | Ya | Ya |
aws:PrincipalAccount |
– | Ya | Ya |
signin:PrincipalArn |
Ya | – | – |
catatan
signin:CreateAccountTindakan ini digunakan secara eksklusif dalam kebijakan titik akhir VPC untuk Akses Pribadi Konsol dan tidak tersedia untuk kebijakan atau RCP berbasis sumber daya. Tidak ada kunci kondisi khusus layanan yang terkait dengannya. Lihat Akses Pribadi Konsol.