View a markdown version of this page

AWS Sign-In riferimento alle chiavi di condizione - AWS Sign-In

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Sign-In riferimento alle chiavi di condizione

Questa pagina elenca le chiavi di condizione che è possibile utilizzare nelle politiche AWS Sign-In basate sulle risorse e nelle politiche di controllo delle risorse (RCP) e mostra la fase di valutazione e l'azione a cui si applica ciascuna chiave. Solo signin:PrincipalArn è specifico per AWS Sign-In; le altre sono chiavi di condizione globali. AWS Per le definizioni delle chiavi globali, consulta le chiavi di contesto delle condizioni AWS globali.

Per l'elenco completo delle azioni e delle chiavi di condizione nel Service Authorization Reference, vedi Azioni, risorse e chiavi di condizione per AWS Sign-In.

Network-based chiavi di condizione

Queste chiavi di condizione controllano da dove proviene la richiesta. AWS Sign-In li valuta per tutte le AWS Sign-In azioni (signin:Authenticatesignin:AuthorizeOAuth2Access, esignin:CreateOAuth2Token) sia nelle politiche basate sulle risorse che negli RCP.

Network-based tasti di condizione
Chiave di condizione operatori Description Regole di utilizzo
aws:SourceIp IpAddress, NotIpAddress Indirizzo IP pubblico o intervallo CIDR Non presente quando una richiesta utilizza un endpoint VPC. Utilizza IfExists gli operatori quando combini con VPC-based le condizioni della stessa istruzione.
aws:SourceVpc StringEquals, StringNotEquals ID VPC () vpc-xxxxxxxx Presente solo quando una richiesta utilizza un endpoint VPC. Usalo con aws:RequestedRegion per prevenire la collisione degli ID VPC tra regioni.
aws:SourceVpce StringEquals, StringNotEquals ID endpoint VPC () vpce-xxxxxxxx Presente solo quando una richiesta utilizza un endpoint VPC.
aws:VpcSourceIp IpAddress, NotIpAddress IP privato all'interno del VPC Usa sempre il tasto di aws:VpcSourceIp condizione con i tasti di aws:SourceVpce condizione aws:SourceVpc or.
aws:RequestedRegion StringEquals, StringNotEquals Codice AWS della regione di destinazione Consigliato quando si utilizza aws:SourceVpc per prevenire la collisione tra ID VPC tra regioni. È possibile specificare più regioni.
Importante

Una singola richiesta contiene aws:SourceIp (rete pubblica) o aws:SourceVpc (endpoint VPC), non entrambi. Quando scrivi politiche deny-unless che coprono entrambi i percorsi, usa IfExists gli operatori (ad esempioNotIpAddressIfExists) o crea istruzioni separate.

Identity-based chiavi di condizione

Queste chiavi condizionali controllano chi sta effettuando la richiesta. Sono disponibili solo per le azioni successive all'autenticazione (signin:AuthorizeOAuth2Accessandsignin:CreateOAuth2Token), in cui è stata stabilita l'identità principale.

Identity-based tasti di condizione
Chiave di condizione operatori Description Esempi
aws:PrincipalArn ArnEquals, ArnLike, ArnNotEquals, StringEquals, StringLike ARN del principale IAM autenticato arn:aws:iam::123456789012:user/alice, arn:aws:iam::123456789012:role/Admin
aws:PrincipalAccount StringEquals, StringNotEquals AWS ID dell'account del principale 123456789012

Service-specific chiave di condizione: signin: PrincipalArn

La seguente chiave di condizione è specifica AWS Sign-In e non è una AWS chiave globale. È disponibile solo durante la valutazione di pre-autenticazione. Viene utilizzato signin:PrincipalArn per identificare il principale che avvia l'accesso prima del completamento dell'autenticazione. Si tratta dell'equivalente di preautenticazione diaws:PrincipalArn, disponibile solo dopo l'autenticazione.

Operatori

Operatori ARN (ArnEquals,, ArnLikeArnNotEquals,ArnNotLike) e operatori stringa (StringEquals,StringLike).

Disponibilità

AWS Sign-In include questa chiave nel contesto della richiesta durante la fase di preautenticazione (l'signin:Authenticateazione). Non è disponibile per le azioni successive all'autenticazione (signin:AuthorizeOAuth2Accessandsignin:CreateOAuth2Token).

Tipo di dati

ARN. Utilizzate gli operatori ARN anziché gli operatori di stringa.

Value type (Tipo di valore)

Single-valued.

Supportato in

Resource-based politiche e RCP.

Usa gli operatori ARN per confrontare i valori. È possibile specificare i seguenti tipi principali:

  • Account AWS utente root (arn:aws:iam::123456789012:root)

  • utente IAM (arn:aws:iam::123456789012:user/user-name)

  • Ruolo IAM (arn:aws:iam::123456789012:role/role-name)

Caso d'uso: esenta un'identità principale esclusa dalle restrizioni di rete, prevenendo il blocco e applicando comunque i controlli di rete per tutti gli altri tentativi di accesso.

Esempio: nega l'accesso di preautenticazione da reti non autorizzate, ad eccezione dell'utente root:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:Authenticate"], "Resource": "*", "Condition": { "ArnNotEquals": { "signin:PrincipalArn": "arn:aws:iam::123456789012:root" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.0/24" }, "StringEquals": { "aws:ResourceAccount": "123456789012" } } }, { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"], "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:root" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.0/24" }, "StringEquals": { "aws:ResourceAccount": "123456789012" } } } ] }

Questa politica nega l'accesso alla console dall'esterno dell'intervallo 203.0.113.0/24 IP, ad eccezione dell'utente root dell'account. L'istruzione di preautenticazione utilizza signin:PrincipalArn l'esonero dall'utente root prima del completamento dell'autenticazione. L'istruzione di post-autenticazione utilizza aws:PrincipalArn l'esenzione dello stesso principale dopo l'autenticazione, durante lo scambio di token OAuth. Per informazioni, consulta Esempi di policy.

Condiziona la disponibilità delle chiavi in base all'azione

Disponibilità delle chiavi di condizione per azione
Chiave di condizione Accesso: autenticazione accesso: AuthorizeOAuth2Access accesso: CreateOAuth2Token
aws:SourceIp
aws:SourceVpc
aws:SourceVpce
aws:VpcSourceIp
aws:RequestedRegion
aws:PrincipalArn
aws:PrincipalAccount
signin:PrincipalArn
Nota

L'signin:CreateAccountazione viene utilizzata esclusivamente nelle policy degli endpoint VPC per Console Private Access e non è disponibile per le policy basate sulle risorse o gli RCP. Non è associata alcuna chiave di condizione specifica del servizio. Vedi Console Private Access.