As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS Sign-In referência de chaves de condição
Esta página lista as chaves de condição que você pode usar em políticas AWS Sign-In baseadas em recursos e políticas de controle de recursos (RCPs) e mostra a fase de avaliação e a ação às quais cada chave se aplica. Somente signin:PrincipalArn é específico para AWS Sign-In; as outras são chaves de condição AWS globais. Para obter as definições de chave global, consulte chaves de contexto de condição AWS global.
Para obter a lista completa de ações e chaves de condição na Referência de Autorização de Serviço, consulte Ações, recursos e chaves de condição para AWS Sign-In.
Network-based chaves de condição
Essas chaves de condição verificam a origem da solicitação. AWS Sign-In os avalia para todas as AWS Sign-In ações (signin:Authenticate,signin:AuthorizeOAuth2Access, esignin:CreateOAuth2Token) em políticas baseadas em recursos e RCPs.
| Chave de condição | Operadores | Description | Regras de uso |
|---|---|---|---|
aws:SourceIp |
IpAddress, NotIpAddress |
Endereço IP público ou intervalo CIDR | Não está presente quando uma solicitação usa um VPC endpoint. Use IfExists operadores ao combinar com VPC-based condições na mesma declaração. |
aws:SourceVpc |
StringEquals,
StringNotEquals |
ID DA VPC () vpc-xxxxxxxx |
Presente somente quando uma solicitação usa um VPC endpoint. Use com aws:RequestedRegion para evitar a colisão de IDs de VPC entre regiões. |
aws:SourceVpce |
StringEquals,
StringNotEquals |
ID do endpoint VPC () vpce-xxxxxxxx |
Presente somente quando uma solicitação usa um VPC endpoint. |
aws:VpcSourceIp |
IpAddress, NotIpAddress |
IP privado dentro da VPC | Sempre use a chave de aws:VpcSourceIp condição com as chaves de aws:SourceVpce condição aws:SourceVpc ou. |
aws:RequestedRegion |
StringEquals,
StringNotEquals |
Código AWS da região de destino | Recomendado quando usado aws:SourceVpc para evitar colisões de IDs de VPC entre regiões. Várias regiões podem ser especificadas. |
Importante
Uma única solicitação contém aws:SourceIp (rede pública) ou aws:SourceVpc (VPC endpoint), não ambos. Ao escrever políticas de negação, a menos que abranjam os dois caminhos, use IfExists operadores (por exemplo,NotIpAddressIfExists) ou crie instruções separadas.
Identity-based chaves de condição
Essas chaves de condição verificam quem está fazendo a solicitação. Eles estão disponíveis somente para as ações de pós-autenticação (signin:AuthorizeOAuth2Accessesignin:CreateOAuth2Token), nas quais a identidade principal foi estabelecida.
| Chave de condição | Operadores | Description | Exemplos |
|---|---|---|---|
aws:PrincipalArn |
ArnEquals, ArnLike,
ArnNotEquals, StringEquals,
StringLike |
ARN do principal autenticado do IAM | arn:aws:iam::123456789012:user/alice,
arn:aws:iam::123456789012:role/Admin |
aws:PrincipalAccount |
StringEquals,
StringNotEquals |
AWS ID da conta do principal | 123456789012 |
Service-specific chave de condição: login: PrincipalArn
A chave de condição a seguir é específica AWS Sign-In e não é uma AWS chave global. Ele está disponível somente durante a avaliação de pré-autenticação. Use signin:PrincipalArn para identificar o principal que está iniciando o login antes que a autenticação seja concluída. Esse é o equivalente à pré-autenticação deaws:PrincipalArn, que não está disponível até depois da autenticação.
- Operadores
-
Operadores ARN (
ArnEquals,,ArnLikeArnNotEquals,ArnNotLike) e operadores de string (StringEquals,StringLike). - Disponibilidade
-
AWS Sign-In inclui essa chave no contexto da solicitação durante a fase de pré-autenticação (a
signin:Authenticateação). Ele não está disponível para as ações de pós-autenticação (signin:AuthorizeOAuth2Accessesignin:CreateOAuth2Token). - Tipo de dados
-
ARN. Use operadores ARN em vez de operadores de string.
- Tipo de valor
-
Single-valued.
- Compatível com
-
Resource-based políticas e RCPs.
Use operadores ARN para comparar valores. Você pode especificar os seguintes tipos principais:
-
Conta da AWS usuário root (
arn:aws:iam::123456789012:root) -
Usuário do IAM (
arn:aws:iam::123456789012:user/)user-name -
Função do IAM (
arn:aws:iam::123456789012:role/)role-name
Caso de uso: isentar uma identidade principal excluída das restrições de rede, evitando o bloqueio e, ao mesmo tempo, aplicando controles de rede para todas as outras tentativas de acesso.
Exemplo — negue o acesso à pré-autenticação de redes não autorizadas, exceto para o usuário root:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:Authenticate"], "Resource": "*", "Condition": { "ArnNotEquals": { "signin:PrincipalArn": "arn:aws:iam::123456789012:root" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.0/24" }, "StringEquals": { "aws:ResourceAccount": "123456789012" } } }, { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"], "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:root" }, "NotIpAddress": { "aws:SourceIp": "203.0.113.0/24" }, "StringEquals": { "aws:ResourceAccount": "123456789012" } } } ] }
Essa política nega o acesso ao console de fora do intervalo de 203.0.113.0/24 IP, exceto para o usuário raiz da conta. A declaração de pré-autenticação é usada signin:PrincipalArn para isentar o usuário root antes que a autenticação seja concluída. A declaração de pós-autenticação é usada aws:PrincipalArn para isentar o mesmo principal após a autenticação, durante a troca do token OAuth. Consulte Exemplos de políticas.
Disponibilidade da chave de condição por ação
| Chave de condição | Login: autenticar | login: AuthorizeOAuth2Access | login: CreateOAuth2Token |
|---|---|---|---|
aws:SourceIp |
Sim | Sim | Sim |
aws:SourceVpc |
Sim | Sim | Sim |
aws:SourceVpce |
Sim | Sim | Sim |
aws:VpcSourceIp |
Sim | Sim | Sim |
aws:RequestedRegion |
Sim | Sim | Sim |
aws:PrincipalArn |
– | Sim | Sim |
aws:PrincipalAccount |
– | Sim | Sim |
signin:PrincipalArn |
Sim | – | – |
nota
A signin:CreateAccount ação é usada exclusivamente nas políticas de VPC endpoint para acesso privado do console e não está disponível para políticas baseadas em recursos ou RCPs. Nenhuma chave de condição específica do serviço está associada a ele. Consulte Acesso privado do console.