Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS Sign-In riferimento alle chiavi di condizione
Questa pagina elenca le chiavi di condizione che è possibile utilizzare nelle politiche AWS Sign-In basate sulle risorse e nelle politiche di controllo delle risorse (RCP) e mostra la fase di valutazione e l'azione a cui si applica ciascuna chiave. Solo signin:PrincipalArn è specifico per AWS Sign-In; le altre sono chiavi di condizione globali. AWS Per le definizioni delle chiavi globali, consulta le chiavi di contesto delle condizioni AWS globali.
Per l'elenco completo delle azioni e delle chiavi di condizione nel Service Authorization Reference, vedi Azioni, risorse e chiavi di condizione per AWS Sign-In.
Network-based chiavi di condizione
Queste chiavi di condizione controllano da dove proviene la richiesta. AWS Sign-In li valuta per tutte le AWS Sign-In azioni (signin:Authenticatesignin:AuthorizeOAuth2Access, esignin:CreateOAuth2Token) sia nelle politiche basate sulle risorse che negli RCP.
| Chiave di condizione | operatori | Description | Regole di utilizzo |
|---|---|---|---|
aws:SourceIp |
IpAddress, NotIpAddress |
Indirizzo IP pubblico o intervallo CIDR | Non presente quando una richiesta utilizza un endpoint VPC. Utilizza IfExists gli operatori quando combini con VPC-based le condizioni della stessa istruzione. |
aws:SourceVpc |
StringEquals,
StringNotEquals |
ID VPC () vpc-xxxxxxxx |
Presente solo quando una richiesta utilizza un endpoint VPC. Usalo con aws:RequestedRegion per prevenire la collisione degli ID VPC tra regioni. |
aws:SourceVpce |
StringEquals,
StringNotEquals |
ID endpoint VPC () vpce-xxxxxxxx |
Presente solo quando una richiesta utilizza un endpoint VPC. |
aws:VpcSourceIp |
IpAddress, NotIpAddress |
IP privato all'interno del VPC | Usa sempre il tasto di aws:VpcSourceIp condizione con i tasti di aws:SourceVpce condizione aws:SourceVpc or. |
aws:RequestedRegion |
StringEquals,
StringNotEquals |
Codice AWS della regione di destinazione | Consigliato quando si utilizza aws:SourceVpc per prevenire la collisione tra ID VPC tra regioni. È possibile specificare più regioni. |
Importante
Una singola richiesta contiene aws:SourceIp (rete pubblica) o aws:SourceVpc (endpoint VPC), non entrambi. Quando scrivi politiche deny-unless che coprono entrambi i percorsi, usa IfExists gli operatori (ad esempioNotIpAddressIfExists) o crea istruzioni separate.
Identity-based chiavi di condizione
Queste chiavi condizionali controllano chi sta effettuando la richiesta. Sono disponibili solo per le azioni successive all'autenticazione (signin:AuthorizeOAuth2Accessandsignin:CreateOAuth2Token), in cui è stata stabilita l'identità principale.
| Chiave di condizione | operatori | Description | Esempi |
|---|---|---|---|
aws:PrincipalArn |
ArnEquals, ArnLike,
ArnNotEquals, StringEquals,
StringLike |
ARN del principale IAM autenticato | arn:aws:iam::123456789012:user/alice,
arn:aws:iam::123456789012:role/Admin |
aws:PrincipalAccount |
StringEquals,
StringNotEquals |
AWS ID dell'account del principale | 123456789012 |
Service-specific chiave di condizione: signin: PrincipalArn
La seguente chiave di condizione è specifica AWS Sign-In e non è una AWS chiave globale. È disponibile solo durante la valutazione di pre-autenticazione. Viene utilizzato signin:PrincipalArn per identificare il principale che avvia l'accesso prima del completamento dell'autenticazione. Si tratta dell'equivalente di preautenticazione diaws:PrincipalArn, disponibile solo dopo l'autenticazione.
- Operatori
-
Operatori ARN (
ArnEquals,,ArnLikeArnNotEquals,ArnNotLike) e operatori stringa (StringEquals,StringLike). - Disponibilità
-
AWS Sign-In include questa chiave nel contesto della richiesta durante la fase di preautenticazione (l'
signin:Authenticateazione). Non è disponibile per le azioni successive all'autenticazione (signin:AuthorizeOAuth2Accessandsignin:CreateOAuth2Token). - Tipo di dati
-
ARN. Utilizzate gli operatori ARN anziché gli operatori di stringa.
- Value type (Tipo di valore)
-
Single-valued.
- Supportato in
-
Resource-based politiche e RCP.
Usa gli operatori ARN per confrontare i valori. È possibile specificare i seguenti tipi principali:
-
Account AWS utente root (
arn:aws:iam::123456789012:root) -
utente IAM (
arn:aws:iam::123456789012:user/)user-name -
Ruolo IAM (
arn:aws:iam::123456789012:role/)role-name
Caso d'uso: esenta un'identità principale esclusa dalle restrizioni di rete, prevenendo il blocco e applicando comunque i controlli di rete per tutti gli altri tentativi di accesso.
Esempio: nega l'accesso di preautenticazione da reti non autorizzate, ad eccezione dell'utente root:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:Authenticate"], "Resource": "*", "Condition": { "ArnNotEquals": { "signin:PrincipalArn": "arn:aws:iam::123456789012:root" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.0/24" }, "StringEquals": { "aws:ResourceAccount": "123456789012" } } }, { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"], "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:root" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.0/24" }, "StringEquals": { "aws:ResourceAccount": "123456789012" } } } ] }
Questa politica nega l'accesso alla console dall'esterno dell'intervallo 203.0.113.0/24 IP, ad eccezione dell'utente root dell'account. L'istruzione di preautenticazione utilizza signin:PrincipalArn l'esonero dall'utente root prima del completamento dell'autenticazione. L'istruzione di post-autenticazione utilizza aws:PrincipalArn l'esenzione dello stesso principale dopo l'autenticazione, durante lo scambio di token OAuth. Per informazioni, consulta Esempi di policy.
Condiziona la disponibilità delle chiavi in base all'azione
| Chiave di condizione | Accesso: autenticazione | accesso: AuthorizeOAuth2Access | accesso: CreateOAuth2Token |
|---|---|---|---|
aws:SourceIp |
Sì | Sì | Sì |
aws:SourceVpc |
Sì | Sì | Sì |
aws:SourceVpce |
Sì | Sì | Sì |
aws:VpcSourceIp |
Sì | Sì | Sì |
aws:RequestedRegion |
Sì | Sì | Sì |
aws:PrincipalArn |
– | Sì | Sì |
aws:PrincipalAccount |
– | Sì | Sì |
signin:PrincipalArn |
Sì | – | – |
Nota
L'signin:CreateAccountazione viene utilizzata esclusivamente nelle policy degli endpoint VPC per Console Private Access e non è disponibile per le policy basate sulle risorse o gli RCP. Non è associata alcuna chiave di condizione specifica del servizio. Vedi Console Private Access.