View a markdown version of this page

AWS Sign-In referência de chaves de condição - AWS Sign-In

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Sign-In referência de chaves de condição

Esta página lista as chaves de condição que você pode usar em políticas AWS Sign-In baseadas em recursos e políticas de controle de recursos (RCPs) e mostra a fase de avaliação e a ação às quais cada chave se aplica. Somente signin:PrincipalArn é específico para AWS Sign-In; as outras são chaves de condição AWS globais. Para obter as definições de chave global, consulte chaves de contexto de condição AWS global.

Para obter a lista completa de ações e chaves de condição na Referência de Autorização de Serviço, consulte Ações, recursos e chaves de condição para AWS Sign-In.

Network-based chaves de condição

Essas chaves de condição verificam a origem da solicitação. AWS Sign-In os avalia para todas as AWS Sign-In ações (signin:Authenticate,signin:AuthorizeOAuth2Access, esignin:CreateOAuth2Token) em políticas baseadas em recursos e RCPs.

Network-based chaves de condição
Chave de condição Operadores Description Regras de uso
aws:SourceIp IpAddress, NotIpAddress Endereço IP público ou intervalo CIDR Não está presente quando uma solicitação usa um VPC endpoint. Use IfExists operadores ao combinar com VPC-based condições na mesma declaração.
aws:SourceVpc StringEquals, StringNotEquals ID DA VPC () vpc-xxxxxxxx Presente somente quando uma solicitação usa um VPC endpoint. Use com aws:RequestedRegion para evitar a colisão de IDs de VPC entre regiões.
aws:SourceVpce StringEquals, StringNotEquals ID do endpoint VPC () vpce-xxxxxxxx Presente somente quando uma solicitação usa um VPC endpoint.
aws:VpcSourceIp IpAddress, NotIpAddress IP privado dentro da VPC Sempre use a chave de aws:VpcSourceIp condição com as chaves de aws:SourceVpce condição aws:SourceVpc ou.
aws:RequestedRegion StringEquals, StringNotEquals Código AWS da região de destino Recomendado quando usado aws:SourceVpc para evitar colisões de IDs de VPC entre regiões. Várias regiões podem ser especificadas.
Importante

Uma única solicitação contém aws:SourceIp (rede pública) ou aws:SourceVpc (VPC endpoint), não ambos. Ao escrever políticas de negação, a menos que abranjam os dois caminhos, use IfExists operadores (por exemplo,NotIpAddressIfExists) ou crie instruções separadas.

Identity-based chaves de condição

Essas chaves de condição verificam quem está fazendo a solicitação. Eles estão disponíveis somente para as ações de pós-autenticação (signin:AuthorizeOAuth2Accessesignin:CreateOAuth2Token), nas quais a identidade principal foi estabelecida.

Identity-based chaves de condição
Chave de condição Operadores Description Exemplos
aws:PrincipalArn ArnEquals, ArnLike, ArnNotEquals, StringEquals, StringLike ARN do principal autenticado do IAM arn:aws:iam::123456789012:user/alice, arn:aws:iam::123456789012:role/Admin
aws:PrincipalAccount StringEquals, StringNotEquals AWS ID da conta do principal 123456789012

Service-specific chave de condição: login: PrincipalArn

A chave de condição a seguir é específica AWS Sign-In e não é uma AWS chave global. Ele está disponível somente durante a avaliação de pré-autenticação. Use signin:PrincipalArn para identificar o principal que está iniciando o login antes que a autenticação seja concluída. Esse é o equivalente à pré-autenticação deaws:PrincipalArn, que não está disponível até depois da autenticação.

Operadores

Operadores ARN (ArnEquals,, ArnLikeArnNotEquals,ArnNotLike) e operadores de string (StringEquals,StringLike).

Disponibilidade

AWS Sign-In inclui essa chave no contexto da solicitação durante a fase de pré-autenticação (a signin:Authenticate ação). Ele não está disponível para as ações de pós-autenticação (signin:AuthorizeOAuth2Accessesignin:CreateOAuth2Token).

Tipo de dados

ARN. Use operadores ARN em vez de operadores de string.

Tipo de valor

Single-valued.

Compatível com

Resource-based políticas e RCPs.

Use operadores ARN para comparar valores. Você pode especificar os seguintes tipos principais:

  • Conta da AWS usuário root (arn:aws:iam::123456789012:root)

  • Usuário do IAM (arn:aws:iam::123456789012:user/user-name)

  • Função do IAM (arn:aws:iam::123456789012:role/role-name)

Caso de uso: isentar uma identidade principal excluída das restrições de rede, evitando o bloqueio e, ao mesmo tempo, aplicando controles de rede para todas as outras tentativas de acesso.

Exemplo — negue o acesso à pré-autenticação de redes não autorizadas, exceto para o usuário root:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:Authenticate"], "Resource": "*", "Condition": { "ArnNotEquals": { "signin:PrincipalArn": "arn:aws:iam::123456789012:root" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.0/24" }, "StringEquals": { "aws:ResourceAccount": "123456789012" } } }, { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"], "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:root" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.0/24" }, "StringEquals": { "aws:ResourceAccount": "123456789012" } } } ] }

Essa política nega o acesso ao console de fora do intervalo de 203.0.113.0/24 IP, exceto para o usuário raiz da conta. A declaração de pré-autenticação é usada signin:PrincipalArn para isentar o usuário root antes que a autenticação seja concluída. A declaração de pós-autenticação é usada aws:PrincipalArn para isentar o mesmo principal após a autenticação, durante a troca do token OAuth. Consulte Exemplos de políticas.

Disponibilidade da chave de condição por ação

Disponibilidade da chave de condição por ação
Chave de condição Login: autenticar login: AuthorizeOAuth2Access login: CreateOAuth2Token
aws:SourceIp Sim Sim Sim
aws:SourceVpc Sim Sim Sim
aws:SourceVpce Sim Sim Sim
aws:VpcSourceIp Sim Sim Sim
aws:RequestedRegion Sim Sim Sim
aws:PrincipalArn Sim Sim
aws:PrincipalAccount Sim Sim
signin:PrincipalArn Sim
nota

A signin:CreateAccount ação é usada exclusivamente nas políticas de VPC endpoint para acesso privado do console e não está disponível para políticas baseadas em recursos ou RCPs. Nenhuma chave de condição específica do serviço está associada a ele. Consulte Acesso privado do console.