View a markdown version of this page

AWS Sign-In referensi kunci kondisi - AWS Sign-In

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Sign-In referensi kunci kondisi

Halaman ini mencantumkan kunci kondisi yang dapat Anda gunakan dalam kebijakan AWS Sign-In berbasis sumber daya dan kebijakan kontrol sumber daya (RCP), dan menunjukkan fase evaluasi dan tindakan yang diterapkan setiap kunci. Hanya signin:PrincipalArn khusus untuk AWS Sign-In; yang lain adalah kunci kondisi AWS global. Untuk definisi kunci global, lihat kunci konteks kondisi AWS global.

Untuk daftar lengkap tindakan dan kunci kondisi dalam Referensi Otorisasi Layanan, lihat Tindakan, sumber daya, dan kunci kondisi untuk AWS Sign-In.

Network-based kunci kondisi

Kunci kondisi ini memeriksa dari mana permintaan berasal. AWS Sign-In mengevaluasi mereka untuk semua AWS Sign-In tindakan (signin:Authenticate,signin:AuthorizeOAuth2Access, dansignin:CreateOAuth2Token) dalam kebijakan berbasis sumber daya dan RCP.

Network-based kunci kondisi
Kunci syarat Operator Deskripsi Aturan penggunaan
aws:SourceIp IpAddress, NotIpAddress Alamat IP publik atau rentang CIDR Tidak ada saat permintaan menggunakan titik akhir VPC. Gunakan IfExists operator saat menggabungkan dengan VPC-based kondisi dalam pernyataan yang sama.
aws:SourceVpc StringEquals, StringNotEquals ID VPC () vpc-xxxxxxxx Hanya hadir saat permintaan menggunakan titik akhir VPC. Gunakan dengan aws:RequestedRegion untuk mencegah tabrakan ID VPC lintas wilayah.
aws:SourceVpce StringEquals, StringNotEquals ID titik akhir VPC () vpce-xxxxxxxx Hanya hadir saat permintaan menggunakan titik akhir VPC.
aws:VpcSourceIp IpAddress, NotIpAddress IP pribadi dalam VPC Selalu gunakan tombol aws:VpcSourceIp kondisi dengan tombol aws:SourceVpc atau aws:SourceVpce kondisi.
aws:RequestedRegion StringEquals, StringNotEquals Kode AWS Wilayah Target Direkomendasikan saat menggunakan aws:SourceVpc untuk mencegah tabrakan ID VPC lintas wilayah. Beberapa Wilayah dapat ditentukan.
penting

Satu permintaan berisi aws:SourceIp (jaringan publik) atau aws:SourceVpc (titik akhir VPC), bukan keduanya. Saat menulis penolakan kecuali kebijakan yang mencakup kedua jalur, gunakan IfExists operator (misalnya,NotIpAddressIfExists) atau buat pernyataan terpisah.

Identity-based kunci kondisi

Kunci kondisi ini memeriksa siapa yang membuat permintaan. Mereka hanya tersedia untuk tindakan pasca-otentikasi (signin:AuthorizeOAuth2Accessdansignin:CreateOAuth2Token), di mana identitas utama telah ditetapkan.

Identity-based kunci kondisi
Kunci syarat Operator Deskripsi Contoh
aws:PrincipalArn ArnEquals, ArnLike, ArnNotEquals, StringEquals, StringLike ARN dari prinsipal IAM yang diautentikasi arn:aws:iam::123456789012:user/alice, arn:aws:iam::123456789012:role/Admin
aws:PrincipalAccount StringEquals, StringNotEquals AWS ID akun kepala sekolah 123456789012

Service-specific kunci kondisi: masuk: PrincipalArn

Kunci kondisi berikut khusus untuk AWS Sign-In dan bukan AWS kunci global. Ini hanya tersedia selama evaluasi pra-otentikasi. Gunakan signin:PrincipalArn untuk mengidentifikasi prinsipal yang memulai proses masuk sebelum otentikasi selesai. Ini adalah pra-otentikasi yang setara denganaws:PrincipalArn, yang tidak tersedia sampai setelah otentikasi.

Operator

Operator ARN (ArnEquals,, ArnLikeArnNotEquals,ArnNotLike) dan operator string (StringEquals,StringLike).

Ketersediaan

AWS Sign-In menyertakan kunci ini dalam konteks permintaan selama fase pra-otentikasi (signin:Authenticatetindakan). Ini tidak tersedia untuk tindakan pasca-otentikasi (signin:AuthorizeOAuth2Accessdansignin:CreateOAuth2Token).

Jenis data

ARN. Gunakan operator ARN daripada operator string.

Tipe nilai

Single-valued.

Didukung di

Resource-based kebijakan dan RCP.

Gunakan operator ARN untuk membandingkan nilai. Anda dapat menentukan jenis utama berikut:

  • Akun AWS pengguna root (arn:aws:iam::123456789012:root)

  • Pengguna IAM () arn:aws:iam::123456789012:user/user-name

  • Peran IAM () arn:aws:iam::123456789012:role/role-name

Kasus penggunaan: Mengecualikan identitas utama yang dikecualikan dari pembatasan jaringan, mencegah penguncian sambil tetap menerapkan kontrol jaringan untuk semua upaya akses lainnya.

Contoh — Tolak akses pra-otentikasi dari jaringan yang tidak sah, kecuali untuk pengguna root:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:Authenticate"], "Resource": "*", "Condition": { "ArnNotEquals": { "signin:PrincipalArn": "arn:aws:iam::123456789012:root" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.0/24" }, "StringEquals": { "aws:ResourceAccount": "123456789012" } } }, { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"], "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:root" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.0/24" }, "StringEquals": { "aws:ResourceAccount": "123456789012" } } } ] }

Kebijakan ini menolak akses konsol dari luar rentang 203.0.113.0/24 IP, kecuali untuk pengguna root akun. Pernyataan pra-otentikasi digunakan signin:PrincipalArn untuk membebaskan pengguna root sebelum otentikasi selesai. Pernyataan pasca-otentikasi digunakan aws:PrincipalArn untuk mengecualikan prinsip yang sama setelah otentikasi, selama pertukaran token OAuth. Lihat Contoh kebijakan.

Kondisi ketersediaan kunci berdasarkan tindakan

Kondisi ketersediaan kunci berdasarkan tindakan
Kunci syarat Signin:Otentikasi masuk: AuthorizeOAuth2Access masuk: CreateOAuth2Token
aws:SourceIp Ya Ya Ya
aws:SourceVpc Ya Ya Ya
aws:SourceVpce Ya Ya Ya
aws:VpcSourceIp Ya Ya Ya
aws:RequestedRegion Ya Ya Ya
aws:PrincipalArn Ya Ya
aws:PrincipalAccount Ya Ya
signin:PrincipalArn Ya
catatan

signin:CreateAccountTindakan ini digunakan secara eksklusif dalam kebijakan titik akhir VPC untuk Akses Pribadi Konsol dan tidak tersedia untuk kebijakan atau RCP berbasis sumber daya. Tidak ada kunci kondisi khusus layanan yang terkait dengannya. Lihat Akses Pribadi Konsol.