

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# AWS Sign-In referência de chaves de condição
<a name="reference-signin-condition-keys"></a>

Esta página lista as chaves de condição que você pode usar em políticas AWS Sign-In baseadas em recursos e políticas de controle de recursos (RCPs) e mostra a fase de avaliação e a ação às quais cada chave se aplica. Somente `signin:PrincipalArn` é específico para AWS Sign-In; as outras são chaves de condição AWS globais. Para obter as definições de chave global, consulte [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).

Para obter a lista completa de ações e chaves de condição na Referência de Autorização de Serviço, consulte [Ações, recursos e chaves de condição para AWS Sign-In](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssignin.html).

## Network-based chaves de condição
<a name="reference-signin-condition-keys-network"></a>

Essas chaves de condição verificam a origem da solicitação. AWS Sign-In os avalia para todas as AWS Sign-In ações (`signin:Authenticate`,`signin:AuthorizeOAuth2Access`, e`signin:CreateOAuth2Token`) em políticas baseadas em recursos e RCPs.


**Network-based chaves de condição**  

| Chave de condição | Operadores | Description | Regras de uso | 
| --- | --- | --- | --- | 
| aws:SourceIp | IpAddress, NotIpAddress | Endereço IP público ou intervalo CIDR | Não está presente quando uma solicitação usa um VPC endpoint. Use IfExists operadores ao combinar com VPC-based condições na mesma declaração. | 
| aws:SourceVpc | StringEquals, StringNotEquals | ID DA VPC () vpc-xxxxxxxx | Presente somente quando uma solicitação usa um VPC endpoint. Use com aws:RequestedRegion para evitar a colisão de IDs de VPC entre regiões. | 
| aws:SourceVpce | StringEquals, StringNotEquals | ID do endpoint VPC () vpce-xxxxxxxx | Presente somente quando uma solicitação usa um VPC endpoint. | 
| aws:VpcSourceIp | IpAddress, NotIpAddress | IP privado dentro da VPC | Sempre use a chave de aws:VpcSourceIp condição com as chaves de aws:SourceVpce condição aws:SourceVpc ou. | 
| aws:RequestedRegion | StringEquals, StringNotEquals | Código AWS da região de destino | Recomendado quando usado aws:SourceVpc para evitar colisões de IDs de VPC entre regiões. Várias regiões podem ser especificadas. | 

**Importante**  
Uma única solicitação contém `aws:SourceIp` (rede pública) ou `aws:SourceVpc` (VPC endpoint), não ambos. Ao escrever políticas de negação, a menos que abranjam os dois caminhos, use `IfExists` operadores (por exemplo,`NotIpAddressIfExists`) ou crie instruções separadas.

## Identity-based chaves de condição
<a name="reference-signin-condition-keys-identity"></a>

Essas chaves de condição verificam quem está fazendo a solicitação. Eles estão disponíveis somente para as ações de pós-autenticação (`signin:AuthorizeOAuth2Access`e`signin:CreateOAuth2Token`), nas quais a identidade principal foi estabelecida.


**Identity-based chaves de condição**  

| Chave de condição | Operadores | Description | Exemplos | 
| --- | --- | --- | --- | 
| aws:PrincipalArn | ArnEquals, ArnLike, ArnNotEquals, StringEquals, StringLike | ARN do principal autenticado do IAM | arn:aws:iam::123456789012:user/alice, arn:aws:iam::123456789012:role/Admin | 
| aws:PrincipalAccount | StringEquals, StringNotEquals | AWS ID da conta do principal | 123456789012 | 

## Service-specific chave de condição: login: PrincipalArn
<a name="reference-signin-condition-keys-service-specific"></a>

A chave de condição a seguir é específica AWS Sign-In e não é uma AWS chave global. Ele está disponível somente durante a avaliação de pré-autenticação. Use `signin:PrincipalArn` para identificar o principal que está iniciando o login antes que a autenticação seja concluída. Esse é o equivalente à pré-autenticação de`aws:PrincipalArn`, que não está disponível até depois da autenticação.

Operadores  
Operadores ARN (`ArnEquals`,, `ArnLike``ArnNotEquals`,`ArnNotLike`) e operadores de string (`StringEquals`,`StringLike`).

Disponibilidade  
AWS Sign-In inclui essa chave no contexto da solicitação durante a fase de pré-autenticação (a `signin:Authenticate` ação). Ele não está disponível para as ações de pós-autenticação (`signin:AuthorizeOAuth2Access`e`signin:CreateOAuth2Token`).

Tipo de dados  
ARN. Use operadores ARN em vez de operadores de string.

Tipo de valor  
Single-valued.

Compatível com  
Resource-based políticas e RCPs.

Use operadores ARN para comparar valores. Você pode especificar os seguintes tipos principais:
+ Conta da AWS usuário root (`arn:aws:iam::123456789012:root`)
+ Usuário do IAM (`arn:aws:iam::123456789012:user/{{user-name}}`)
+ Função do IAM (`arn:aws:iam::123456789012:role/{{role-name}}`)

**Caso de uso:** isentar uma identidade principal excluída das restrições de rede, evitando o bloqueio e, ao mesmo tempo, aplicando controles de rede para todas as outras tentativas de acesso.

**Exemplo — negue o acesso à pré-autenticação de redes não autorizadas, exceto para o usuário root:**

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": { "AWS": "*" },
      "Action": ["signin:Authenticate"],
      "Resource": "*",
      "Condition": {
        "ArnNotEquals": {
          "signin:PrincipalArn": "arn:aws:iam::123456789012:root"
        },
        "NotIpAddress": {
          "aws:SourceIp": "203.0.113.0/24"
        },
        "StringEquals": {
          "aws:ResourceAccount": "123456789012"
        }
      }
    },
    {
      "Effect": "Deny",
      "Principal": { "AWS": "*" },
      "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"],
      "Resource": "*",
      "Condition": {
        "ArnNotEquals": {
          "aws:PrincipalArn": "arn:aws:iam::123456789012:root"
        },
        "NotIpAddress": {
          "aws:SourceIp": "203.0.113.0/24"
        },
        "StringEquals": {
          "aws:ResourceAccount": "123456789012"
        }
      }
    }
  ]
}
```

Essa política nega o acesso ao console de fora do intervalo de `203.0.113.0/24` IP, exceto para o usuário raiz da conta. A declaração de pré-autenticação é usada `signin:PrincipalArn` para isentar o usuário root antes que a autenticação seja concluída. A declaração de pós-autenticação é usada `aws:PrincipalArn` para isentar o mesmo principal após a autenticação, durante a troca do token OAuth. Consulte [Exemplos de políticas](console-access-control.md#console-access-control-policy-examples).

## Disponibilidade da chave de condição por ação
<a name="reference-signin-condition-keys-availability"></a>


**Disponibilidade da chave de condição por ação**  

| Chave de condição | Login: autenticar | login: AuthorizeOAuth2Access | login: CreateOAuth2Token | 
| --- | --- | --- | --- | 
| aws:SourceIp | Sim | Sim | Sim | 
| aws:SourceVpc | Sim | Sim | Sim | 
| aws:SourceVpce | Sim | Sim | Sim | 
| aws:VpcSourceIp | Sim | Sim | Sim | 
| aws:RequestedRegion | Sim | Sim | Sim | 
| aws:PrincipalArn | – | Sim | Sim | 
| aws:PrincipalAccount | – | Sim | Sim | 
| signin:PrincipalArn | Sim | – | – | 

**nota**  
A `signin:CreateAccount` ação é usada exclusivamente nas políticas de VPC endpoint para acesso privado do console e não está disponível para políticas baseadas em recursos ou RCPs. Nenhuma chave de condição específica do serviço está associada a ele. Consulte [Acesso privado do console](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/console-private-access.html).

## Informações relacionadas
<a name="reference-signin-condition-keys-related"></a>
+ [Controle do acesso ao console com políticas baseadas em recursos e políticas de controle de recursos](console-access-control.md)
+ [Console de gerenciamento da AWS Acesso privado](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/console-private-access.html)
+ [Chaves de contexto de condições globais da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [Ações, recursos e chaves de condição para AWS Sign-In](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssignin.html)