

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# AWS Sign-In riferimento alle chiavi di condizione
<a name="reference-signin-condition-keys"></a>

Questa pagina elenca le chiavi di condizione che è possibile utilizzare nelle politiche AWS Sign-In basate sulle risorse e nelle politiche di controllo delle risorse (RCP) e mostra la fase di valutazione e l'azione a cui si applica ciascuna chiave. Solo `signin:PrincipalArn` è specifico per AWS Sign-In; le altre sono chiavi di condizione globali. AWS Per le definizioni delle chiavi globali, consulta le [chiavi di contesto delle condizioni AWS globali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).

Per l'elenco completo delle azioni e delle chiavi di condizione nel Service Authorization Reference, vedi [Azioni, risorse e chiavi di condizione per AWS Sign-In](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssignin.html).

## Network-based chiavi di condizione
<a name="reference-signin-condition-keys-network"></a>

Queste chiavi di condizione controllano da dove proviene la richiesta. AWS Sign-In li valuta per tutte le AWS Sign-In azioni (`signin:Authenticate``signin:AuthorizeOAuth2Access`, e`signin:CreateOAuth2Token`) sia nelle politiche basate sulle risorse che negli RCP.


**Network-based tasti di condizione**  

| Chiave di condizione | operatori | Description | Regole di utilizzo | 
| --- | --- | --- | --- | 
| aws:SourceIp | IpAddress, NotIpAddress | Indirizzo IP pubblico o intervallo CIDR | Non presente quando una richiesta utilizza un endpoint VPC. Utilizza IfExists gli operatori quando combini con VPC-based le condizioni della stessa istruzione. | 
| aws:SourceVpc | StringEquals, StringNotEquals | ID VPC () vpc-xxxxxxxx | Presente solo quando una richiesta utilizza un endpoint VPC. Usalo con aws:RequestedRegion per prevenire la collisione degli ID VPC tra regioni. | 
| aws:SourceVpce | StringEquals, StringNotEquals | ID endpoint VPC () vpce-xxxxxxxx | Presente solo quando una richiesta utilizza un endpoint VPC. | 
| aws:VpcSourceIp | IpAddress, NotIpAddress | IP privato all'interno del VPC | Usa sempre il tasto di aws:VpcSourceIp condizione con i tasti di aws:SourceVpce condizione aws:SourceVpc or. | 
| aws:RequestedRegion | StringEquals, StringNotEquals | Codice AWS della regione di destinazione | Consigliato quando si utilizza aws:SourceVpc per prevenire la collisione tra ID VPC tra regioni. È possibile specificare più regioni. | 

**Importante**  
Una singola richiesta contiene `aws:SourceIp` (rete pubblica) o `aws:SourceVpc` (endpoint VPC), non entrambi. Quando scrivi politiche deny-unless che coprono entrambi i percorsi, usa `IfExists` gli operatori (ad esempio`NotIpAddressIfExists`) o crea istruzioni separate.

## Identity-based chiavi di condizione
<a name="reference-signin-condition-keys-identity"></a>

Queste chiavi condizionali controllano chi sta effettuando la richiesta. Sono disponibili solo per le azioni successive all'autenticazione (`signin:AuthorizeOAuth2Access`and`signin:CreateOAuth2Token`), in cui è stata stabilita l'identità principale.


**Identity-based tasti di condizione**  

| Chiave di condizione | operatori | Description | Esempi | 
| --- | --- | --- | --- | 
| aws:PrincipalArn | ArnEquals, ArnLike, ArnNotEquals, StringEquals, StringLike | ARN del principale IAM autenticato | arn:aws:iam::123456789012:user/alice, arn:aws:iam::123456789012:role/Admin | 
| aws:PrincipalAccount | StringEquals, StringNotEquals | AWS ID dell'account del principale | 123456789012 | 

## Service-specific chiave di condizione: signin: PrincipalArn
<a name="reference-signin-condition-keys-service-specific"></a>

La seguente chiave di condizione è specifica AWS Sign-In e non è una AWS chiave globale. È disponibile solo durante la valutazione di pre-autenticazione. Viene utilizzato `signin:PrincipalArn` per identificare il principale che avvia l'accesso prima del completamento dell'autenticazione. Si tratta dell'equivalente di preautenticazione di`aws:PrincipalArn`, disponibile solo dopo l'autenticazione.

Operatori  
Operatori ARN (`ArnEquals`,, `ArnLike``ArnNotEquals`,`ArnNotLike`) e operatori stringa (`StringEquals`,`StringLike`).

Disponibilità  
AWS Sign-In include questa chiave nel contesto della richiesta durante la fase di preautenticazione (l'`signin:Authenticate`azione). Non è disponibile per le azioni successive all'autenticazione (`signin:AuthorizeOAuth2Access`and`signin:CreateOAuth2Token`).

Tipo di dati  
ARN. Utilizzate gli operatori ARN anziché gli operatori di stringa.

Value type (Tipo di valore)  
Single-valued.

Supportato in  
Resource-based politiche e RCP.

Usa gli operatori ARN per confrontare i valori. È possibile specificare i seguenti tipi principali:
+ Account AWS utente root (`arn:aws:iam::123456789012:root`)
+ utente IAM (`arn:aws:iam::123456789012:user/{{user-name}}`)
+ Ruolo IAM (`arn:aws:iam::123456789012:role/{{role-name}}`)

**Caso d'uso:** esenta un'identità principale esclusa dalle restrizioni di rete, prevenendo il blocco e applicando comunque i controlli di rete per tutti gli altri tentativi di accesso.

**Esempio: nega l'accesso di preautenticazione da reti non autorizzate, ad eccezione dell'utente root:**

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": { "AWS": "*" },
      "Action": ["signin:Authenticate"],
      "Resource": "*",
      "Condition": {
        "ArnNotEquals": {
          "signin:PrincipalArn": "arn:aws:iam::123456789012:root"
        },
        "NotIpAddress": {
          "aws:SourceIp": "203.0.113.0/24"
        },
        "StringEquals": {
          "aws:ResourceAccount": "123456789012"
        }
      }
    },
    {
      "Effect": "Deny",
      "Principal": { "AWS": "*" },
      "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"],
      "Resource": "*",
      "Condition": {
        "ArnNotEquals": {
          "aws:PrincipalArn": "arn:aws:iam::123456789012:root"
        },
        "NotIpAddress": {
          "aws:SourceIp": "203.0.113.0/24"
        },
        "StringEquals": {
          "aws:ResourceAccount": "123456789012"
        }
      }
    }
  ]
}
```

Questa politica nega l'accesso alla console dall'esterno dell'intervallo `203.0.113.0/24` IP, ad eccezione dell'utente root dell'account. L'istruzione di preautenticazione utilizza `signin:PrincipalArn` l'esonero dall'utente root prima del completamento dell'autenticazione. L'istruzione di post-autenticazione utilizza `aws:PrincipalArn` l'esenzione dello stesso principale dopo l'autenticazione, durante lo scambio di token OAuth. Per informazioni, consulta [Esempi di policy](console-access-control.md#console-access-control-policy-examples).

## Condiziona la disponibilità delle chiavi in base all'azione
<a name="reference-signin-condition-keys-availability"></a>


**Disponibilità delle chiavi di condizione per azione**  

| Chiave di condizione | Accesso: autenticazione | accesso: AuthorizeOAuth2Access | accesso: CreateOAuth2Token | 
| --- | --- | --- | --- | 
| aws:SourceIp | Sì  | Sì | Sì | 
| aws:SourceVpc | Sì | Sì | Sì | 
| aws:SourceVpce | Sì | Sì | Sì | 
| aws:VpcSourceIp | Sì | Sì | Sì | 
| aws:RequestedRegion | Sì | Sì | Sì | 
| aws:PrincipalArn | – | Sì | Sì | 
| aws:PrincipalAccount | – | Sì | Sì | 
| signin:PrincipalArn | Sì | – | – | 

**Nota**  
L'`signin:CreateAccount`azione viene utilizzata esclusivamente nelle policy degli endpoint VPC per Console Private Access e non è disponibile per le policy basate sulle risorse o gli RCP. Non è associata alcuna chiave di condizione specifica del servizio. Vedi [Console Private Access](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/console-private-access.html).

## Informazioni correlate
<a name="reference-signin-condition-keys-related"></a>
+ [Controllo dell'accesso alla console con policy basate sulle risorse e policy di controllo delle risorse](console-access-control.md)
+ [Console di gestione AWS Accesso privato](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/console-private-access.html)
+ [Chiavi di contesto delle condizioni globali di AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [Azioni, risorse e chiavi di condizione per AWS Sign-In](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssignin.html)