View a markdown version of this page

AWS サインイン条件キーリファレンス - AWS サインイン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS サインイン条件キーリファレンス

このページでは、 AWS サインインリソースベースのポリシーとリソースコントロールポリシー (RCPs) で使用できる条件キーを一覧表示し、各キーが適用される評価フェーズとアクションを示します。 AWS サインインにのみ固有signin:PrincipalArnであり、その他は AWS グローバル条件キーです。グローバルキーの定義については、AWS 「 グローバル条件コンテキストキー」を参照してください。

サービス認可リファレンスのアクションと条件キーの完全なリストについては、AWS 「サインインのアクション、リソース、および条件キー」を参照してください。

ネットワークベースの条件キー

これらの条件キーは、リクエストの送信元をチェックします。 AWS Sign-In は、リソースベースのポリシーと RCPs の両方で、すべての AWS サインインアクション (signin:Authenticatesignin:AuthorizeOAuth2Accesssignin:CreateOAuth2Token) についてそれらを評価します。

ネットワークベースの条件キー
条件キー オペレータ 説明 使用ルール
aws:SourceIp IpAddress, NotIpAddress パブリック IP アドレスまたは CIDR 範囲 リクエストが VPC エンドポイントを使用する場合には存在しません。同じステートメントで VPC ベースの条件と組み合わせる場合は、 IfExists 演算子を使用します。
aws:SourceVpc StringEquals, StringNotEquals VPC ID (vpc-xxxxxxxx) リクエストが VPC エンドポイントを使用している場合にのみ存在します。と aws:RequestedRegionを使用して、クロスリージョン VPC ID の衝突を防止します。
aws:SourceVpce StringEquals, StringNotEquals VPC エンドポイント ID (vpce-xxxxxxxx) リクエストが VPC エンドポイントを使用している場合にのみ存在します。
aws:VpcSourceIp IpAddress, NotIpAddress VPC 内のプライベート IP aws:VpcSourceIp 条件キーは必ず aws:SourceVpcまたは aws:SourceVpce条件キーとともに使用してください。
aws:RequestedRegion StringEquals, StringNotEquals ターゲット AWS リージョンコード クロスリージョン VPC ID の衝突を防ぐために を使用する場合aws:SourceVpcに推奨されます。複数のリージョンを指定できます。
重要

1 つのリクエストにはaws:SourceIp、両方ではなく、 (パブリックネットワーク) または aws:SourceVpc (VPC エンドポイント) が含まれます。両方のパスを対象とする拒否なしポリシーを記述する場合は、IfExists演算子 ( などNotIpAddressIfExists) を使用するか、個別のステートメントを作成します。

ID ベースの条件キー

これらの条件キーは、リクエストを行っているユーザーをチェックします。これらは、プリンシパル ID が確立された認証後アクション (signin:AuthorizeOAuth2Access および signin:CreateOAuth2Token) でのみ使用できます。

ID ベースの条件キー
条件キー オペレータ 説明
aws:PrincipalArn ArnEquals, ArnLike, ArnNotEquals, StringEquals, StringLike 認証された IAM プリンシパルの ARN arn:aws:iam::123456789012:user/alice, arn:aws:iam::123456789012:role/Admin
aws:PrincipalAccount StringEquals, StringNotEquals AWS プリンシパルの アカウント ID 123456789012

サービス固有の条件キー: signin:PrincipalArn

次の条件キーは AWS サインインに固有であり、グローバル AWS キーではありません。これは、認証前評価中にのみ使用できます。を使用してsignin:PrincipalArn、認証が完了する前にサインインを開始するプリンシパルを識別します。これは と同等の事前認証でありaws:PrincipalArn、認証後までは使用できません。

オペレータ

ARN 演算子 (ArnEqualsArnLikeArnNotEqualsArnNotLike) と文字列演算子 (StringEqualsStringLike)。

可用性

AWS サインインには、事前認証フェーズ ( signin:Authenticateアクション) 中のリクエストコンテキストにこのキーが含まれます。認証後のアクション (signin:AuthorizeOAuth2Access および ) では使用できませんsignin:CreateOAuth2Token

データ型

ARN。文字列演算子ではなく ARN 演算子を使用します。

値の型

単一値。

以下でサポート

リソースベースのポリシーと RCPs。

ARN 演算子を使用して値を比較します。次のプリンシパルタイプを指定できます。

  • AWS アカウント ルートユーザー (arn:aws:iam::123456789012:root)

  • IAM ユーザー (arn:aws:iam::123456789012:user/user-name)

  • IAM ロール (arn:aws:iam::123456789012:role/role-name)

ユースケース: 除外されたプリンシパル ID をネットワーク制限から除外し、他のすべてのアクセス試行に対してネットワークコントロールを適用しながらロックアウトを防止します。

例 – ルートユーザーを除き、不正なネットワークからの事前認証アクセスを拒否します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:Authenticate"], "Resource": "*", "Condition": { "ArnNotEquals": { "signin:PrincipalArn": "arn:aws:iam::123456789012:root" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.0/24" }, "StringEquals": { "aws:ResourceAccount": "123456789012" } } }, { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"], "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:root" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.0/24" }, "StringEquals": { "aws:ResourceAccount": "123456789012" } } } ] }

このポリシーは、アカウントのルートユーザーを除き、203.0.113.0/24IP 範囲外からのコンソールアクセスを拒否します。認証前ステートメントは、認証が完了する前に signin:PrincipalArn を使用してルートユーザーを除外します。認証後ステートメントはaws:PrincipalArn、OAuth トークン交換中に、認証後に を使用して同じプリンシパルを除外します。「ポリシーの例」を参照してください。

アクション別の条件キーの可用性

アクション別の条件キーの可用性
条件キー サインイン:認証 signin:AuthorizeOAuth2Access signin:CreateOAuth2Token
aws:SourceIp はい はい はい
aws:SourceVpc はい はい はい
aws:SourceVpce はい はい はい
aws:VpcSourceIp はい はい はい
aws:RequestedRegion はい はい はい
aws:PrincipalArn はい はい
aws:PrincipalAccount はい はい
signin:PrincipalArn はい
注記

signin:CreateAccount アクションはコンソールプライベートアクセスの VPC エンドポイントポリシーでのみ使用され、リソースベースのポリシーまたは RCPsでは使用できません。サービス固有の条件キーは関連付けられていません。コンソールのプライベートアクセスを参照してください。