AWS Globale Bedingungskontextschlüssel

Wenn ein Prinzipal eine Anforderung an stellt AWS, AWS sammelt die Anforderungsinformationen in einem Anforderungskontext . Sie können das Condition-Element einer JSON-Richtlinie verwenden, um Schlüssel im Anforderungskontext mit Schlüsselwerten zu vergleichen, die Sie in Ihrer Richtlinie angeben. Anforderungsinformationen werden von verschiedenen Quellen bereitgestellt, einschließlich des Auftraggebers, der die Anforderung stellt, der Ressource, für die die Anforderung gestellt wird, und der Metadaten über die Anforderung selbst.

Globale Bedingungsschlüssel können für alle AWS Services verwendet werden. Diese Bedingungsschlüssel können zwar in allen Richtlinien verwendet werden, der Schlüssel ist jedoch nicht in jedem Anforderungskontext verfügbar. Der aws:SourceAccount Bedingungsschlüssel ist beispielsweise nur verfügbar, wenn der Aufruf Ihrer Ressource direkt von einem AWS -Service-Prinzipal erfolgt. Weitere Informationen zu den Umständen, unter denen ein globaler Schlüssel im Anforderungskontext enthalten ist, finden Sie in den Verfügbarkeitsinformationen für jeden Schlüssel.

Einige einzelne Services erstellen ihre eigenen Bedingungsschlüssel, die im Anforderungskontext für andere Services verfügbar sind. Serviceübergreifende Bedingungsschlüssel sind eine Art globaler Bedingungsschlüssel, die ein Präfix enthalten, das dem Namen des Services entspricht, z. B. ec2: oder lambda:, aber über andere Services verfügbar sind.

Servicespezifische Bedingungsschlüssel werden für die Verwendung mit einem einzelnen AWS Service definiert. Mit Amazon S3 können Sie beispielsweise eine Richtlinie mit dem s3:VersionId Bedingungsschlüssel schreiben, um den Zugriff auf eine bestimmte Version eines Amazon S3-Objekts zu beschränken. Dieser Bedingungsschlüssel ist für den Service eindeutig, was bedeutet, dass er nur mit Anforderungen an den Amazon S3-Service funktioniert. Informationen zu servicespezifischen Bedingungsschlüsseln finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für - AWS Services und wählen Sie den Service aus, dessen Schlüssel Sie anzeigen möchten.

Anmerkung

Wenn Sie Bedingungsschlüssel verwenden, die nur unter bestimmten Umständen verfügbar sind, können Sie die IfExists Versionen der Bedingungsoperatoren verwenden. Wenn die entsprechenden Bedingungsschlüssel im Kontext einer Anforderung fehlen, kann die Richtlinienauswertung fehlschlagen. Verwenden Sie beispielsweise den folgenden Bedingungsblock mit ...IfExists-Operatoren, um abzugleichen, ob eine Anforderung aus einem bestimmten IP-Bereich oder von einer bestimmten VPC stammt. Wenn einer oder beide Schlüssel nicht im Anforderungskontext enthalten sind, gibt die Bedingung weiterhin true zurück. Die Werte werden nur überprüft, wenn der angegebene Schlüssel im Anforderungskontext enthalten ist.

"Condition": {
    "IpAddressIfExists": {"aws:SourceIp" : ["xxx"] },
    "StringEqualsIfExists" : {"aws:SourceVpc" : ["yyy"]} 
}

Wichtig

Um Ihre Bedingung mit einem Anforderungskontext mit mehreren Schlüsselwerten zu vergleichen, müssen Sie die Set-Operatoren ForAllValues oder ForAnyValue verwenden. Verwenden Sie Satz-Operatoren nur mit mehrwertigen Bedingungsschlüssel. Verwenden Sie keine Satz-Operatoren mit einzelwertigen Bedingungsschlüssel. Weitere Informationen finden Sie unter Mehrwertige Kontextschlüssel.

Eigenschaften des Prinzipals	Eigenschaften einer Rollensitzung	Eigenschaften des Netzwerks	Eigenschaften der Ressource	Eigenschaften der Anforderung
aws:PrincipalArn aws:PrincipalAccount aws:PrincipalOrgPaths aws:PrincipalOrgID aws:PrincipalTag/tag-key aws:PrincipalIsAWSService aws:PrincipalServiceName aws:PrincipalServiceNamesList aws:PrincipalType aws:userid aws:username	aws:FederatedProvider aws:TokenIssueTime aws:MultiFactorAuthAge aws:MultiFactorAuthPresent aws:Ec2InstanceSourceVpc aws:Ec2InstanceSourcePrivateIPv4 aws:SourceIdentity ec2:RoleDelivery ec2:SourceInstanceArn Glue:RoleAssumedBy Glue:CredentialIssuingService Lambda:SourceFunctionArn ssm:SourceInstanceArn Identitätsspeicher:UserId	aws:SourceIp aws:SourceVpc aws:SourceVpce aws:VpcSourceIp	aws:ResourceAccount aws:ResourceOrgPaths aws:ResourceOrgID aws:ResourceTag/tag-key	aws:CalledVia aws:CalledViaFirst aws:CalledViaLast aws:ViaAWSService aws:CurrentTime aws:EpochTime aws:referer aws:RequestedRegion aws:RequestTag/tag-key aws:TagKeys aws:SecureTransport aws:SourceArn aws:SourceAccount aws:SourceOrgPaths aws:SourceOrgID aws:UserAgent

Eigenschaften des Prinzipals

Verwenden Sie die folgenden Bedingungsschlüssel, um Details über den Prinzipal, der die Anforderung stellt, mit den Prinzipaleigenschaften zu vergleichen, die Sie in der Richtlinie angeben. Eine Liste der Prinzipale, die Anforderungen stellen können, finden Sie unter Angeben eines Auftraggebers.

Inhalt

• aws:PrincipalArn
• aws:PrincipalAccount
• aws:PrincipalOrgPaths
• aws:PrincipalOrgID
• aws:PrincipalTag/tag-key
• aws:PrincipalIsAWSService
• aws:PrincipalServiceName
• aws:PrincipalServiceNamesList
• aws:PrincipalType
• aws:userid
• aws:username

aws:PrincipalArn

Verwenden Sie diesen Schlüssel, um den Amazon-Ressourcennamen (ARN) des Auftraggebers, von dem die Anforderung stammt, mit dem ARN zu vergleichen, den Sie in der Richtlinie angeben. Bei IAM-Rollen gibt der Anforderungskontext den ARN der Rolle zurück, nicht den ARN des Benutzers, der die Rolle übernommen hat.

• Verfügbarkeit – Dieser Schlüssel ist im Anforderungskontext aller signierten Anforderungen enthalten. Anonyme Anforderungen enthalten diesen Schlüssel nicht. In diesem Bedingungsschlüssel können Sie die folgenden Arten von Prinzipals angeben:

  • IAM-Rolle

  • IAM-Benutzer

  • AWS STS Sitzung von Verbundbenutzern

  • AWS-Konto Root-Benutzer

• Datentyp – ARN, Zeichenfolge

  AWS empfiehlt, beim Vergleichen von ARNs ARN-Operatoren anstelle von Zeichenfolgenoperatoren ARNs verwenden.

• Werttyp - Einzelwertig

• Beispielwerte Die folgende Liste zeigt den Anforderungskontextwert, der für verschiedene Prinzipaltypen zurückgegeben wird, die Sie im aws:PrincipalArn Bedingungsschlüssel angeben können:

  • IAM-Rolle – Der Anforderungskontext enthält den folgenden Wert für den Bedingungsschlüssel aws:PrincipalArn. Geben Sie den ARN der angenommenen Rollensitzung nicht als Wert für diesen Bedingungsschlüssel an. Weitere Informationen über die angenommene Rollen des Sitzungs-Prinzipals finden Sie unter Rollensitzungsgsprinzipale.

    arn:aws:iam::123456789012:role/role-name

  • IAM-Benutzer – Der Anforderungskontext enthält den folgenden Wert für den Bedingungsschlüssel aws:PrincipalArn.

    arn:aws:iam::123456789012:user/user-name

  • AWS STS Verbundbenutzersitzungen – Der Anforderungskontext enthält den folgenden Wert für den Bedingungsschlüssel aws:PrincipalArn.

    arn:aws:sts::123456789012:federated-user/user-name

  • AWS-Konto Root-Benutzer – Der Anforderungskontext enthält den folgenden Wert für den Bedingungsschlüssel aws:PrincipalArn. Wenn Sie den Root-Benutzer-ARN als Wert für den Bedingungsschlüssel aws:PrincipalArn angeben, werden die Berechtigungen nur für den Root-Benutzer des AWS-Konto eingeschränkt. Dies unterscheidet sich von der Angabe des Root-Benutzer-ARN im Prinzipal-Element einer ressourcenbasierten Richtlinie, die die Autorität an die AWS-Konto delegiert. Weitere Informationen zur Angabe des Root-Benutzer-ARN im Prinzipal-Element einer ressourcenbasierten Richtlinie finden Sie unter AWS-Konto -Prinzipale.

    arn:aws:iam::123456789012:root

Sie können den Root-Benutzer-ARN als Wert für den Bedingungsschlüssel aws:PrincipalArn in AWS Organizations Service-Kontrollrichtlinien (SCPs) angeben. SCPs sind eine Art von Organisationsrichtlinien, die zum Verwalten von Berechtigungen in Ihrer Organisation verwendet werden und sich nur auf Mitgliedskonten in der Organisation auswirken. Ein SCP beschränkt die Berechtigungen für IAM-Benutzer und -Rollen in Mitgliedskonten, einschließlich des Stammverzeichnisses des Mitgliedskonten. Weitere Informationen zu den Auswirkungen von SCPs auf Berechtigungen finden Sie unter SCP-Auswirkungen auf Berechtigungen im Benutzerhandbuch für Organisationen.

aws:PrincipalAccount

Verwenden Sie diesen Schlüssel, um das Konto, zu dem der anfordernde Auftraggeber gehört, mit der Konto-ID zu vergleichen, die Sie in der Richtlinie angeben. Bei anonymen Anforderungen gibt der Anforderungskontext anonymous zurück.

• Verfügbarkeit – Dieser Schlüssel wird in den Anforderungskontext für alle Anforderungen, einschließlich anonymer Anforderungen, aufgenommen.

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

Im folgenden Beispiel wird der Zugriff verweigert, mit Ausnahme von Auftraggebern mit der Kontonummer 123456789012.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAccessFromPrincipalNotInSpecificAccount",
      "Action": "service:*",
      "Effect": "Deny",
      "Resource": [
        "arn:aws:service:region:accountID:resource"
      ],
      "Condition": {
        "StringNotEquals": {
          "aws:PrincipalAccount": [
            "123456789012"
          ]
        }
      }
    }
  ]
}
        

aws:PrincipalOrgPaths

Verwenden Sie diesen Schlüssel, um den AWS Organizations Pfad für den Prinzipal zu vergleichen, der die Anforderung an den Pfad in der Richtlinie stellt. Dieser Prinzipal kann ein IAM-Benutzer, eine IAM-Rolle, ein Verbundbenutzer oder sein Root-Benutzer des AWS-Kontos. In einer Richtlinie stellt dieser Bedingungsschlüssel sicher, dass der Anforderer ein Kontomitglied innerhalb des angegebenen Organisationsstammes oder der Organisationseinheiten in AWS Organizations ist. Ein - AWS Organizations Pfad ist eine Textdarstellung der Struktur einer Organizations-Entität. Weitere Hinweise zum Verwenden und Verstehen von Pfaden finden Sie unter Der AWS Organizations-Entitätspfad.

• Verfügbarkeit – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn der Auftraggeber Mitglied einer Organisation ist. Anonyme Anforderungen enthalten diesen Schlüssel nicht.

• Datentyp – Zeichenfolge (Liste)

• Werttyp - Mehrwertig

Anmerkung

Organisations-IDs sind global eindeutig, Organisationeinheiten-IDs und Stamm-IDs sind jedoch nur innerhalb einer Organisation eindeutig. Dies bedeutet, dass keine zwei Organisationen dieselbe Organisations-ID verwenden. Eine andere Organisation verfügt jedoch möglicherweise über eine Organisationseinheit oder ein Stammverzeichnis mit derselben ID wie Ihre. Es wird empfohlen, immer die Organisations-ID anzugeben, wenn Sie eine Organisationseinheit oder ein Stammverzeichnis angeben.

Beispielsweise gibt die folgende Bedingung true für Auftraggeber in Konten zurück, die direkt an die ou-ab12-22222222-Organisationseinheit angefügt sind, aber nicht an die untergeordneten Organisationseinheiten.

"Condition" : { "ForAnyValue:StringEquals" : {
     "aws:PrincipalOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/"]
}}

Die folgende Bedingung gibt true für Auftraggeber in einem Konto zurück, das direkt an die Organisationseinheit oder eine ihrer untergeordneten Organisationseinheiten angefügt ist. Wenn Sie einen Platzhalter hinzufügen, müssen Sie den StringLike-Bedingungsoperator verwenden.

"Condition" : { "ForAnyValue:StringLike" : {
     "aws:PrincipalOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/*"]
}}

Die folgende Bedingung gibt true für Auftraggeber in einem Konto zurück, das direkt an die Organisationseinheit oder eine ihrer untergeordneten Organisationseinheiten angefügt ist. Die vorherige Bedingung gilt für die Organisationseinheit oder für untergeordnete Elemente. Die folgende Bedingung gilt nur für untergeordnete Elemente (und für untergeordnete Elemente dieser Kinder).

"Condition" : { "ForAnyValue:StringLike" : {
     "aws:PrincipalOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/ou-*"]
}}

Die folgende Bedingung ermöglicht den Zugriff für jeden Auftraggeber in der o-a1b2c3d4e5-Organisation, unabhängig von der übergeordneten Organisationseinheit.

"Condition" : { "ForAnyValue:StringLike" : {
     "aws:PrincipalOrgPaths":["o-a1b2c3d4e5/*"]
}}

aws:PrincipalOrgPaths ist ein mehrwertiger Bedingungsschlüssel. Mehrwertige Bedingungsschlüssel können im Anforderungskontext mehrere Werte haben. Wenn Sie mehrere Werte mit dem ForAnyValue-Bedingungsoperator verwenden, muss der Pfad des Auftraggebers mit einem der in der Richtlinie aufgeführten Pfade übereinstimmen. Weitere Hinweise zu mehrwertigen Bedingungsschlüsseln finden Sie unter Mehrwertige Kontextschlüssel.

    "Condition": {
        "ForAnyValue:StringLike": {
            "aws:PrincipalOrgPaths": [
                "o-a1b2c3d4e5/r-ab12/ou-ab12-33333333/*",
                "o-a1b2c3d4e5/r-ab12/ou-ab12-22222222/*"
            ]
        }
    }

aws:PrincipalOrgID

Verwenden Sie diesen Schlüssel, um die Kennung der Organisation in , zu der der anfordernde Prinzipal gehört, mit der in der Richtlinie angegebenen Kennung AWS Organizations zu vergleichen.

• Verfügbarkeit – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn der Auftraggeber Mitglied einer Organisation ist. Anonyme Anforderungen enthalten diesen Schlüssel nicht.

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

Dieser globale Schlüssel stellt eine Alternative zum Auflisten aller Konto-IDs für alle AWS -Konten in einer Organisation dar. Sie können diesen Bedingungsschlüssel verwenden, um das Angeben des Elements Principal in einer resource-based-Richtlinie zu vereinfachen. Sie können die Organisations-ID im Bedingungselement angeben. Wenn Sie Konten hinzufügen und entfernen, schließen Richtlinien, die den aws:PrincipalOrgID-Schlüssel enthalten, automatisch die richtigen Konten ein und müssen nicht manuell aktualisiert werden.

Mit der folgenden Amazon S3-Bucket-Richtlinie können beispielsweise Mitglieder aller Konten in der Organisation o-xxxxxxxxxxx ein Objekt in den Bucket policy-ninja-dev einfügen.

 {
  "Version": "2012-10-17",
  "Statement": {
    "Sid": "AllowPutObject",
    "Effect": "Allow",
    "Principal": "*",
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::policy-ninja-dev/*",
    "Condition": {"StringEquals":
      {"aws:PrincipalOrgID":"o-xxxxxxxxxxx"}
    }
  }
}

Anmerkung

Diese globale Bedingung gilt auch für das Masterkonto einer AWS -Organisation. Diese Richtlinie verhindert, dass alle Hauptbenutzer außerhalb der angegebenen Organisation auf den Amazon-S3-Bucket zugreifen können. Dazu gehören alle AWS Services, die mit Ihren internen Ressourcen interagieren, z. B. das AWS CloudTrail Senden von Protokolldaten an Ihre Amazon S3-Buckets. Informationen dazu, wie Sie den Zugriff für - AWS Services sicher gewähren können, finden Sie unter aws:PrincipalIsAWSService.

Weitere Informationen zu AWS Organizations finden Sie unter Was ist AWS Organizations? im AWS Organizations -Benutzerhandbuch.

aws:PrincipalTag/tag-key

Verwenden Sie diesen Schlüssel, um das Tag, das dem Auftraggeber angefügt ist, der die Anforderung stellt, mit dem Tag zu vergleichen, das Sie in der Richtlinie angeben. Wenn dem Auftraggeber mehr als ein Tag angefügt ist, enthält der Anforderungskontext einen aws:PrincipalTag-Schlüssel für jeden angefügten Tag-Schlüssel.

• Availability (Verfügbarkeit) – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn der Auftraggeber ein IAM-Benutzer mit angefügten Tags ist. Er ist für einen Auftraggeber enthalten, der eine IAM-Rolle mit angefügten Tags oder Sitzungs-Tags verwendet. Anonyme Anforderungen enthalten diesen Schlüssel nicht.

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

Sie können einem Benutzer oder einer Rolle benutzerdefinierte Attribute in Form eines Schlüssel-Wert-Paares hinzufügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter Markieren von IAM-Ressourcen. Sie können aws:PrincipalTag für die Zugriffskontrolle für AWS -Auftraggeber einsetzen.

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die es Benutzern mit dem Tag department=hr erlaubt, IAM-Benutzer, -Gruppen oder -Rollen zu verwalten. Um diese Richtlinie zu verwenden, ersetzen Sie den kursiv gedruckten Platzhaltertext in der Beispielrichtlinie durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter Erstellen einer Richtlinie oder Bearbeiten einer Richtlinie.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iam:*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalTag/department": "hr"
        }
      }
    }
  ]
}

aws:PrincipalIsAWSService

Verwenden Sie diesen Schlüssel, um zu überprüfen, ob der Aufruf an Ihre Ressource direkt von einem AWS -Service-Prinzipal erfolgt. Zum Beispiel verwendet AWS CloudTrail den Service-Prinzipal cloudtrail.amazonaws.com, um Protokolle in Ihr Amazon S3-Bucket zu schreiben. Der Anforderungskontextschlüssel wird auf true festgelegt, wenn ein Dienst einen Dienstauftraggeber verwendet, um eine direkte Aktion für Ihre Ressourcen auszuführen. Der Kontextschlüssel wird auf false gesetzt, wenn der Dienst die Anmeldeinformationen eines IAM-Auftraggeber verwendet, um eine Anforderung im Namen des Auftraggeber zu stellen. Sie wird auch verweigert, wenn der Service eine Servicerolle oder eine serviceverknüpfte Rolle verwendet, um einen Aufruf im Auftrag des Auftraggebers durchzuführen.

• Verfügbarkeit – Dieser Schlüssel ist im Anforderungskontext aller signierten API-Anforderungen vorhanden, die AWS -Anmeldeinformationen. Anonyme Anforderungen enthalten diesen Schlüssel nicht.

• Datentyp – Boolesch

• Werttyp - Einzelwertig

Sie können diesen Bedingungsschlüssel verwenden, um den Zugriff auf Ihre vertrauenswürdigen Identitäten und erwarteten Netzwerkstandorte zu beschränken und gleichzeitig den Zugriff auf - AWS Services sicher zu gewähren.

Im folgenden Beispiel für eine Amazon S3-Bucket-Richtlinie ist der Zugriff auf den Bucket eingeschränkt, es sei denn, die Anforderung stammt von vpc-111bbb22 einem Service-Prinzipal, z. B CloudTrail. .

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Expected-network+service-principal",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/AWS Logs/AccountNumber/*",
      "Condition": {
        "StringNotEqualsIfExists": {
          "aws:SourceVpc": "vpc-111bbb22"
        },
        "BoolIfExists": {
          "aws:PrincipalIsAWSService": "false"
        }
      }
    }
  ]
}

Im folgenden Video erfahren Sie mehr darüber, wie Sie den Bedingungsschlüssel aws:PrincipalIsAWSService in einer Richtlinie verwenden können.

aws:PrincipalServiceName

Verwenden Sie diesen Schlüssel, um den Dienstauftraggeber-Namen in der Richtlinie mit dem Dienstauftraggeber zu vergleichen, der Anforderungen an Ihre Ressourcen stellt. Sie können diesen Schlüssel verwenden, um zu überprüfen, ob dieser Aufruf von einem bestimmten Dienstauftraggeber erfolgt. Wenn ein Dienstauftraggeber eine direkte Anforderung an Ihre Ressource stellt, enthält der aws:PrincipalServiceName-Schlüssel den Namen des Dienstauftraggebers. Der Name des AWS CloudTrail Service-Prinzipals lautet beispielsweise cloudtrail.amazonaws.com.

• Verfügbarkeit – Dieser Schlüssel ist in der Anforderung vorhanden, wenn der Aufruf von einem - AWS Service-Prinzipal erfolgt. Dieser Schlüssel ist in keiner anderen Situation vorhanden, einschließlich der folgenden:

  • Sie wird auch verweigert, wenn der Service eine Servicerolle oder eine serviceverknüpfte Rolle verwendet, um einen Aufruf im Auftrag des Auftraggebers durchzuführen.

  • Wenn der Dienst die Anmeldeinformationen eines IAM-Auftraggebers verwendet, um eine Anforderung im Namen des Auftraggebers zu stellen.

  • Wenn der Anruf direkt von einem IAM-Auftraggeber getätigt wird.

  • Wenn der Anruf von einem anonymen Antragsteller getätigt wird.

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

Sie können diesen Bedingungsschlüssel verwenden, um den Zugriff auf Ihre vertrauenswürdigen Identitäten und erwarteten Netzwerkstandorte zu beschränken und gleichzeitig den Zugriff auf einen - AWS Service sicher zu gewähren.

Im folgenden Beispiel für eine Amazon S3-Bucket-Richtlinie ist der Zugriff auf den Bucket eingeschränkt, es sei denn, die Anforderung stammt von vpc-111bbb22 einem Service-Prinzipal, z. B CloudTrail. .

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "expected-network+service-principal",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/AWS Logs/AccountNumber/*",
      "Condition": {
        "StringNotEqualsIfExists": {
          "aws:SourceVpc": "vpc-111bbb22",
          "aws:PrincipalServiceName": "cloudtrail.amazonaws.com"
        }
      }
    }
  ]
}
        

aws:PrincipalServiceNamesList

Dieser Schlüssel enthält eine Liste aller-DienstauftraggeberNamen, die zum Dienst gehören. Dies ist ein erweiterter Bedingungsschlüssel. Sie können damit den Service daran hindern, nur von einer bestimmten Region aus auf Ihre Ressource zuzugreifen. Einige Dienste können regionale Dienstauftraggeber erstellen, um eine bestimmte Instance des Dienstes innerhalb einer bestimmten Region anzugeben. Sie können den Zugriff auf eine Ressource auf eine bestimmte Instance des Dienstes beschränken. Wenn ein Dienstauftraggeber eine direkte Anforderung an Ihre Ressource stellt, enthält der aws:PrincipalServiceNamesList eine ungeordnete Liste aller Dienst-Auftraggebernamen, die mit der regionalen Instance des Dienstes verbunden sind.

• Verfügbarkeit – Dieser Schlüssel ist in der Anforderung vorhanden, wenn der Aufruf von einem - AWS Service-Prinzipal erfolgt. Dieser Schlüssel ist in keiner anderen Situation vorhanden, einschließlich der folgenden:

  • Sie wird auch verweigert, wenn der Service eine Servicerolle oder eine serviceverknüpfte Rolle verwendet, um einen Aufruf im Auftrag des Auftraggebers durchzuführen.

  • Wenn der Dienst die Anmeldeinformationen eines IAM-Auftraggebers verwendet, um eine Anforderung im Namen des Auftraggebers zu stellen.

  • Wenn der Anruf direkt von einem IAM-Auftraggeber getätigt wird.

  • Wenn der Anruf von einem anonymen Antragsteller getätigt wird.

• Datentyp – Zeichenfolge (Liste)

• Werttyp - Mehrwertig

aws:PrincipalServiceNamesList ist ein mehrwertiger Bedingungsschlüssel. Mehrwertige Bedingungsschlüssel können im Anforderungskontext mehrere Werte haben. Sie müssen die Set-Operatoren ForAnyValue oder ForAllValues zusammen mit String-Bedingungsoperatoren für diesen Schlüssel verwenden. Weitere Hinweise zu mehrwertigen Bedingungsschlüsseln finden Sie unter Mehrwertige Kontextschlüssel.

aws:PrincipalType

Verwenden Sie diesen Schlüssel, um den Typ des Auftraggebers, der die Anforderung stellt, mit dem Auftraggebertyp zu vergleichen, den Sie in der Richtlinie angeben. Weitere Informationen finden Sie unter Angeben eines Auftraggebers. Für konkrete Beispiele von principal-Schlüsselwerten, siehe Auftraggeber-Schlüsselwerte.

• Verfügbarkeit – Dieser Schlüssel ist im Anforderungskontext für alle Anforderungen, einschließlich anonymer Anforderungen, enthalten.

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

aws:userid

Verwenden Sie diesen Schlüssel, um die Auftraggeber-ID des Anforderers mit der ID zu vergleichen, die Sie in der Richtlinie angeben. Bei IAM-Benutzern ist der Anforderungskontextwert die Benutzer-ID. Bei IAM-Rollen kann dieses Werteformat variieren. Weitere Informationen dazu, wie die Informationen für verschiedene Auftraggeber angezeigt werden, finden Sie unter Angeben eines Auftraggebers. Für konkrete Beispiele von principal-Schlüsselwerten, siehe Auftraggeber-Schlüsselwerte.

• Verfügbarkeit – Dieser Schlüssel ist im Anforderungskontext für alle Anforderungen, einschließlich anonymer Anforderungen, enthalten.

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

aws:username

Verwenden Sie diesen Schlüssel, um den Benutzernamen des Anforderers mit dem Benutzernamen zu vergleichen, den Sie in der Richtlinie angeben. Weitere Informationen dazu, wie die Informationen für verschiedene Auftraggeber angezeigt werden, finden Sie unter Angeben eines Auftraggebers. Für konkrete Beispiele von principal-Schlüsselwerten, siehe Auftraggeber-Schlüsselwerte.

• Verfügbarkeit – Dieser Schlüssel ist immer im Anforderungskontext für IAM-Benutzer enthalten. Anonyme Anforderungen und Anforderungen, die über die Root-Benutzer des AWS-Kontos oder IAM-Rollen gestellt werden, enthalten diesen Schlüssel nicht. Anforderungen, die mit IAM Identity Center-Anmeldeinformationen gestellt werden, enthalten diesen Schlüssel nicht im Kontext.

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

Eigenschaften einer Rollensitzung

Verwenden Sie die folgenden Bedingungsschlüssel, um Eigenschaften der Rollensitzung zum Zeitpunkt der Sitzungsgenerierung zu vergleichen. Diese Bedingungsschlüssel sind nur verfügbar, wenn eine Anforderung von einem Prinzipal mit Rollensitzung oder Anmeldeinformationen verbundener Benutzer gestellt wird. Die Werte für diese Bedingungsschlüssel sind in das Sitzungstoken der Rolle eingebettet.

Eine Rolle ist eine Art von Prinzipal. Sie können auch die Bedingungsschlüssel aus dem Eigenschaften des Prinzipals Abschnitt verwenden, um die Eigenschaften einer Rolle auszuwerten, wenn eine Rolle eine Anforderung stellt.

Inhalt

• aws:FederatedProvider
• aws:TokenIssueTime
• aws:MultiFactorAuthAge
• aws:MultiFactorAuthPresent
• aws:Ec2InstanceSourceVpc
• aws:Ec2InstanceSourcePrivateIPv4
• aws:SourceIdentity
• ec2:RoleDelivery
• ec2:SourceInstanceArn
• Glue:RoleAssumedBy
• Glue:CredentialIssuingService
• Lambda:SourceFunctionArn
• ssm:SourceInstanceArn
• Identitätsspeicher:UserId

aws:FederatedProvider

Verwenden Sie diesen Schlüssel, um die Auftraggeber-ID des Anforderers (IdP) mit der ID zu vergleichen, die Sie in der Richtlinie angeben. Das bedeutet, dass eine IAM-Rolle mithilfe der -AssumeRoleWithWebIdentity AWS STS Operation übernommen wurde. Wenn die temporären Anmeldeinformationen der resultierenden Rollensitzung verwendet werden, um eine Anforderung zu stellen, identifiziert der Anforderungskontext den IdP, der die ursprüngliche Verbundidentität authentifiziert hat.

• Verfügbarkeit – Dieser Schlüssel ist vorhanden, wenn der Prinzipal ein Rollensitzungsprinzipal ist und diese Sitzung ausgegeben wurde, als eine Rolle mit AssumeRoleWithWebIdentity übernommen wurde.

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

Wenn der Benutzer beispielsweise über Amazon Cognito authentifiziert wurde, enthält der Anforderungskontext den Wert cognito-identity.amazonaws.com. Wenn der Benutzer über Login with Amazon authentifiziert wurde, enthält der Anforderungskontext den Wert www.amazon.com.

Sie können jeden einwertigen Bedingungsschlüssel als Variable verwenden. Im folgenden Beispiel verwendet die ressourcenbasierte Richtlinie aws:FederatedProvider-Schlüssel als Richtlinienvariable im ARN einer Ressource. Diese Richtlinie ermöglicht es Benutzern, die sich über einen Identitätsanbieter authentifiziert haben, Objekte aus einem Amazon-S3-Bucket mit einem für den ausstellenden Identitätsanbieter spezifischen Pfad abzurufen.

aws:TokenIssueTime

Verwenden Sie diesen Schlüssel, um das Datum und die Uhrzeit der Ausstellung der Sicherheitsanmeldeinformationen mit dem Datum und der Uhrzeit zu vergleichen, das bzw. die Sie in der Richtlinie angeben.

• Availability – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn der Auftraggeber temporäre Anmeldeinformationen für die Anforderung verwendet. Der Schlüssel ist nicht in AWS CLI-, AWS API- oder AWS SDK-Anforderungen vorhanden, die mit Zugriffsschlüsseln gestellt werden.

• Datentyp – Datum

• Werttyp - Einzelwertig

Informationen darüber, welche Services die Verwendung von temporären Anmeldeinformationen unterstützen, finden Sie unter AWS Dienste, die mit IAM funktionieren.

aws:MultiFactorAuthAge

Verwenden Sie diesen Schlüssel, um die Anzahl der Sekunden, die seit dem Zeitpunkt, zu dem der anfordernde Auftraggeber per MFA autorisiert wurde, verstrichen sind mit der Anzahl, die Sie in der Richtlinie angeben, zu vergleichen. Weitere Informationen zu MFA finden Sie unter Verwenden der Multi-Faktor-Authentifizierung (MFA) in AWS.

• Verfügbarkeit – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn der Auftraggeber, von dem der Aufruf stammte, per MFA authentifiziert wurde. Wenn MFA nicht verwendet wurde, ist der Schlüssel nicht vorhanden.

• Datentyp – Numerisch

• Werttyp - Einzelwertig

aws:MultiFactorAuthPresent

Verwenden Sie diesen Schlüssel, um zu überprüfen, ob die Multi-Factor Authentication (MFA) zur Validierung der temporären Sicherheitsanmeldeinformationen verwendet wurde, über die die Anforderung gestellt wurde.

• Availability – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn der Auftraggeber temporäre Anmeldeinformationen für die Anforderung verwendet. Der Schlüssel ist nicht in AWS CLI-, AWS API- oder AWS SDK-Anforderungen vorhanden, die mit langfristigen Anmeldeinformationen gestellt werden.

• Datentyp – Boolesch

• Werttyp - Einzelwertig

Temporäre Anmeldeinformationen werden zur Authentifizierung von IAM-Rollen, Verbundbenutzern, IAM-Benutzern mit temporären Token von sts:GetSessionToken und Benutzern der AWS Management Console. IAM-Benutzerzugriffsschlüssel sind langfristige Berechtigungsnachweise, aber in einigen Fällen erstellt AWS temporäre Berechtigungsnachweise im Namen von IAM-Benutzern, um Operationen durchzuführen. In diesen Fällen ist der Schlüssel aws:MultiFactorAuthPresent in der Anforderung vorhanden und auf einen Wert von false gesetzt werden. Es gibt zwei häufige Fälle, in denen dies passieren kann:

• IAM-Benutzer in der verwenden AWS Management Console unwissentlich temporäre Anmeldeinformationen. Benutzer melden sich mit ihrem Benutzernamen und Passwort bei der Konsole an. Dabei handelt es sich um langfristige Anmeldeinformationen. Im Hintergrund erstellt die Konsole jedoch temporäre Anmeldeinformationen für den Benutzer.

• Wenn ein IAM-Benutzer einen Aufruf an einen - AWS Service tätigt, verwendet der Service die Anmeldeinformationen des Benutzers erneut, um eine weitere Anfrage an einen anderen Service zu stellen. Zum Beispiel beim Aufrufen von Athena für den Zugriff auf einen Amazon S3-Bucket oder beim Verwenden von AWS CloudFormation zum Erstellen einer Amazon EC2. Für die nachfolgende Anforderung AWS verwendet temporäre Anmeldeinformationen.

Informationen darüber, welche Services die Verwendung von temporären Anmeldeinformationen unterstützen, finden Sie unter AWS Dienste, die mit IAM funktionieren.

Der aws:MultiFactorAuthPresent-Schlüssel ist nie vorhanden, wenn ein API- oder CLI-Befehl mit langfristigen Anmeldeinformationen wie Zugriffsschlüsselpaare eines Benutzers aufgerufen wird. Wir empfehlen daher, beim Prüfen dieses Schlüssels die Versionen ...IfExists der Bedingungsoperatoren zu verwenden.

Beachten Sie, dass das folgende Condition-Element keine zuverlässige Methode ist, um zu überprüfen, ob eine Anforderung über MFA authentifiziert wird.

#####   WARNING: NOT RECOMMENDED   #####
"Effect" : "Deny",
"Condition" : { "Bool" : { "aws:MultiFactorAuthPresent" : "false" } }

Diese Kombination aus Deny Effekt Bool-Element und false-Wert verweigert Anforderungen, die mit MFA authentifiziert werden können, es aber nicht waren. Dies gilt nur für temporäre Anmeldeinformationen, die die Verwendung von MFA unterstützen. Diese Anweisung verweigert nicht den Zugriff auf Anforderungen, die mit langfristigen Anmeldeinformationen gestellt wurden, oder auf Anforderungen, die per MFA authentifiziert wurden. Verwenden Sie dieses Beispiel mit Vorsicht, da seine Logik kompliziert ist und nicht prüft, ob die MFA-Authentifizierung tatsächlich verwendet wurde.

Verwenden Sie auch nicht die Kombination aus Deny Effekt Null-Element und true, da sie sich genauso verhält und die Logik noch komplizierter ist.

Empfohlene Kombination

Wir empfehlen Ihnen, den Operator BoolIfExists zu verwenden, um zu überprüfen, ob eine Anforderung über MFA authentifiziert wird.

"Effect" : "Deny",
"Condition" : { "BoolIfExists" : { "aws:MultiFactorAuthPresent" : "false" } }

Diese Kombination aus Deny, BoolIfExists und false verweigert Anforderungen, die nicht mit MFA authentifiziert wurden. Insbesondere lehnt sie Anforderungen von temporären Anmeldeinformationen ab, die keine MFA umfassen. Außerdem werden Anforderungen abgelehnt, die mit langfristigen Anmeldeinformationen gestellt werden, z. B. - AWS CLI oder - AWS API-Operationen, die mit Zugriffsschlüsseln ausgeführt werden. Der Operator *IfExists prüft das Vorhandensein des aws:MultiFactorAuthPresent-Schlüssels und ob er vorhanden sein könnte oder nicht, wie durch seine Existenz angezeigt wird. Verwenden Sie diesen Operator, wenn Sie eine Anforderung ablehnen möchten, die nicht über die MFA authentifiziert wird. Dies ist sicherer, kann aber jeden Code oder alle Skripts beeinträchtigen, die Zugriffsschlüssel für den Zugriff auf die AWS CLI oder AWS API verwenden.

Alternative Kombinationen

Sie können den -BoolIfExistsOperator auch verwenden, um MFA-authentifizierte Anforderungen und - AWS CLI oder - AWS API-Anforderungen zuzulassen, die mit langfristigen Anmeldeinformationen gestellt werden.

"Effect" : "Allow",
"Condition" : { "BoolIfExists" : { "aws:MultiFactorAuthPresent" : "true" } }

Diese Bedingung ist erfüllt, wenn der Schlüssel existiert und vorhanden ist oder wenn der Schlüssel nicht vorhanden ist. Diese Kombination aus Allow, BoolIfExists, und true lässt Anforderungen zu, die mit MFA authentifiziert werden, oder Anforderungen, die nicht mit MFA authentifiziert werden können. Das bedeutet, dass AWS CLI-, AWS API- und AWS SDK-Operationen zulässig sind, wenn der Anforderer seine langfristigen Zugriffsschlüssel verwendet. Diese Kombination erlaubt keine Anforderungen von temporären Anmeldeinformationen, die MFA umfassen könnten, aber keine MFA enthalten.

Wenn Sie eine Richtlinie mit dem visuellen Editor der IAM-Konsole erstellen und MFA required (MFA erforderlich), auswählen, wird diese Kombination angewendet. Diese Einstellung erfordert zwar MFA für den Konsolenzugriff, ermöglicht jedoch den programmgesteuerten Zugriff ohne MFA.

Alternativ können Sie den Bool-Operator verwenden, damit programmgesteuerte Anforderungen und Konsolenanforderungen nur dann zugelassen werden, wenn sie mit MFA authentifiziert werden.

"Effect" : "Allow",
"Condition" : { "Bool" : { "aws:MultiFactorAuthPresent" : "true" } }

Diese Kombination aus Allow, Bool und true lässt nur mit MFA authentifizierte Anforderungen zu. Dies gilt nur für temporäre Anmeldeinformationen, die die Verwendung von MFA unterstützen. Diese Anweisung erlaubt keinen Zugriff auf Anforderungen, die mit langfristigen Zugriffsschlüsseln gestellt wurden, oder auf Anforderungen, die mit temporären Anmeldeinformationen ohne MFA durchgeführt wurden.

Verwenden Sie keine Richtlinie wie die folgende Beispielrichtlinie, um auf das Vorhandensein des MFA-Schlüssels hin zu prüfen:

#####   WARNING: USE WITH CAUTION   #####

"Effect" : "Allow",
"Condition" : { "Null" : { "aws:MultiFactorAuthPresent" : "false" } }

Diese Kombination aus Allow Effekt, Null-Element und false-Wert erlaubt nur Anforderungen, die mit MFA authentifiziert werden können, unabhängig davon, ob die Anforderung tatsächlich authentifiziert ist. Dies ermöglicht alle Anforderungen, die mit temporären Anmeldeinformationen gestellt werden, und verweigert den Zugriff mit langfristigen Anmeldeinformationen. Verwenden Sie dieses Beispiel mit Vorsicht, da es nicht prüft, ob die MFA-Authentifizierung tatsächlich verwendet wurde.

aws:Ec2InstanceSourceVpc

Dieser Schlüssel identifiziert die VPC, an die Amazon-EC2-IAM-Rollen-Anmeldeinformationen übermittelt wurden. Sie können diesen Schlüssel in einer Richtlinie mit dem aws:SourceVPCglobalen Schlüssel verwenden, um zu überprüfen, ob ein Anruf von einer VPC (aws:SourceVPC) aus getätigt wird, die der VPC entspricht, an die die Anmeldeinformation übermittelt wurden (aws:Ec2InstanceSourceVpc).

• Verfügbarkeit – Dieser Schlüssel ist immer dann im Anforderungskontext enthalten, wenn der Anforderer Anforderungen mit einer Amazon EC2-Rollen-Anmeldeinformation signiert. Er kann in IAM-Richtlinien, Service-Control-Richtlinien, VPC-Endpunkt-Richtlinien und Ressourcenrichtlinien verwendet werden.

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

Dieser Schlüssel kann mit VPC-Identifikationswerten verwendet werden, ist jedoch am nützlichsten, wenn er als Variable in Kombination mit dem aws:SourceVpc-Kontextschlüssel verwendet wird. Dieser aws:SourceVpc-Kontextschlüssel ist nur dann im Anforderungskontext enthalten, wenn der Anforderer einen VPC-Endpunkt für die Anforderung verwendet. Die Verwendung von aws:Ec2InstanceSourceVpc mit aws:SourceVpc ermöglicht eine aws:Ec2InstanceSourceVpc breitere Verwendung, da Werte verglichen werden, die sich normalerweise zusammen ändern.

Anmerkung

Dieser Bedingungsschlüssel ist in EC2-Classic nicht verfügbar.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RequireSameVPC",
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
            "aws:SourceVpc": "${aws:Ec2InstanceSourceVpc}"
        },
        "Null": {
          "ec2:SourceInstanceARN": "false"
        },
        "BoolIfExists": {
          "aws:ViaAWSService": "false"
        }
      }
    }
  ]
}

Im obigen Beispiel wird der Zugriff verweigert, wenn der aws:SourceVpc-Wert nicht dem aws:Ec2InstanceSourceVpc-Wert entspricht. Die Richtlinienerklärung ist nur auf Rollen beschränkt, die als Amazon EC2-Instance-Rollen verwendet werden, indem getestet wird, ob der ec2:SourceInstanceARN-Bedingungsschlüssel vorhanden ist.

Die Richtlinie verwendet aws:ViaAWSService, um zu erlauben, Anfragen AWS zu autorisieren, wenn Anfragen im Namen Ihrer Amazon EC2-Instance-Rollen gestellt werden. Wenn Sie beispielsweise eine Anforderung von einer Amazon EC2-Instance an einen verschlüsselten Amazon S3-Bucket stellen, ruft Amazon S3 AWS KMS in Ihrem Namen auf. Einige der Schlüssel sind nicht vorhanden, wenn die Anforderung an gestellt wird AWS KMS.

aws:Ec2InstanceSourcePrivateIPv4

Dieser Schlüssel identifiziert die private IPv4-Adresse der primären elastischen Netzwerk-Schnittstelle, an die die Amazon EC2-IAM-Rollen-Anmeldeinformation übermittelt wurde. Sie müssen diesen Bedingungsschlüssel zusammen mit dem zugehörigen Schlüssel aws:Ec2InstanceSourceVpc verwenden, um sicherzustellen, dass Sie über eine global eindeutige Kombination aus VPC-ID und privater Quell-IP verfügen. Verwenden Sie diesen Schlüssel mit aws:Ec2InstanceSourceVpc, um sicherzustellen, dass eine Anfrage von derselben privaten IP-Adresse aus gestellt wurde, an die die Anmeldeinformation übermittelt wurde.

• Verfügbarkeit – Dieser Schlüssel ist immer dann im Anforderungskontext enthalten, wenn der Anforderer Anforderungen mit einer Amazon EC2-Rollen-Anmeldeinformation signiert. Er kann in IAM-Richtlinien, Service-Control-Richtlinien, VPC-Endpunkt-Richtlinien und Ressourcenrichtlinien verwendet werden.

• Datentyp – IP-Adresse

• Werttyp - Einzelwertig

Wichtig

Dieser Schlüssel sollte nicht alleine in einer Allow-Anweisung verwendet werden. Private IP-Adressen sind per Definition nicht global eindeutig. Sie sollten den aws:Ec2InstanceSourceVpc-Schlüssel jedes Mal verwenden, wenn Sie den aws:Ec2InstanceSourcePrivateIPv4-Schlüssel verwenden, um die VPC anzugeben, von der aus Ihre Amazon EC2-Instance-Anmeldeinformation verwendet werden kann.

Anmerkung

Dieser Bedingungsschlüssel ist in EC2-Classic nicht verfügbar.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action":  "*",
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:Ec2InstanceSourceVpc": "${aws:SourceVpc}"
                },                
                "Null": {
                    "ec2:SourceInstanceARN": "false"
                },
                "BoolIfExists": {
                    "aws:ViaAWSService": "false"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action":  "*",
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:Ec2InstanceSourcePrivateIPv4": "${aws:VpcSourceIp}"
                },                               
                "Null": {
                    "ec2:SourceInstanceARN": "false"
                },
                "BoolIfExists": {
                    "aws:ViaAWSService": "false"
                }
            }
        }
    ]
}

aws:SourceIdentity

Verwenden Sie diesen Schlüssel, um die Queltidentität, die vom Auftraggeber festgelegt wurde, mit der Quellidentität zu vergleichen, die Sie in der Richtlinie angeben.

• Verfügbarkeit – Dieser Schlüssel ist im Anforderungskontext enthalten, nachdem eine Quellidentität festgelegt wurde, wenn eine Rolle mit einem CLI-Befehl AWS STS assume-role oder AWS STS einer AssumeRole API-Operation angenommen wird.

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

Sie können diesen Schlüssel in einer Richtlinie verwenden, um Aktionen in AWS von Prinzipalen zuzulassen, die bei der Übernahme einer Rolle eine Quellidentität festgelegt haben. Die Aktivität für die angegebene Quellidentität der Rolle erscheint in AWS CloudTrail. Auf diese Weise können Administratoren leichter feststellen, wer oder was Aktionen mit einer Rolle in ausgeführt hat AWS.

Im Gegensatz zu sts:RoleSessionName, nachdem die Quellidentität festgelegt wurde, kann der Wert nicht geändert werden. Es ist im Kontext der Anforderung aller Aktionen vorhanden, die von der Rolle ausgeführt werden. Wenn Sie die Sitzungsanmeldeinformationen verwenden, bleibt der Wert in nachfolgenden Rollensitzungen bestehen, um eine andere Rolle anzunehmen. Die Annahme einer Rolle von einer anderen wird als Rollenverkettung bezeichnet.

Der sts:SourceIdentity Schlüssel ist in der Anforderung vorhanden, wenn der Prinzipal zunächst eine Quellidentität festlegt, während er eine Rolle mit einem CLI-Befehl AWS STS assume-role oder AWS STS einer AssumeRole API-Operation übernimmt. Der Schlüssel aws:SourceIdentity ist in der Anforderung für alle Aktionen vorhanden, die mit einer Rollensitzung durchgeführt werden, für die eine Quellidentität festgelegt wurde.

Die folgende Rollen-Vertrauensrichtlinie für CriticalRole im Konto 111122223333 enthält eine Bedingung für aws:SourceIdentity, die verhindert, dass ein Auftraggeber ohne eine Quellidentität, die auf Saanvi oder Diego eingestellt ist, die Rolle übernehmen kann.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AssumeRoleIfSourceIdentity",
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::123456789012:role/CriticalRole"},
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity"
            ],
            "Condition": {
                "StringLike": {
                    "aws:SourceIdentity": ["Saanvi","Diego"]
                }
            }
        }
    ]
}

Weitere Informationen zur Verwendung von Quellidentitätsinformationen finden Sie unter Überwachen und Steuern von Aktionen mit übernommenen Rollen.

ec2:RoleDelivery

Verwenden Sie diesen Schlüssel, um die Version des Instance-Metadatendienstes in der signierten Anforderung mit den IAM-Rollenanmeldeinformationen für Amazon EC2 zu vergleichen. Der Instance-Metadaten-Service unterscheidet zwischen IMDSv1- und IMDSv2-Anforderungen, je nachdem, ob bei einer bestimmten Anforderung der PUT- oder GET-Header (die IMDSv2-spezifisch sind) vorhanden ist.

• Verfügbarkeit – Dieser Schlüssel ist immer dann im Anforderungskontext enthalten, wenn die Rollensitzung von einer Amazon EC2-Instance erstellt wird.

• Datentyp – Numerisch

• Werttyp - Einzelwertig

• Beispielwerte – 1.0, 2.0

Sie können den Instance Metadata Service (IMDS) auf jeder Instance so konfigurieren, dass lokaler Code oder Benutzer IMDSv2 verwenden müssen. Wenn Sie angeben, dass IMDSv2 verwendet werden muss, funktioniert IMDSv1 nicht mehr.

• Instance Metadata Service Version 1 (IMDSv1) – Eine Anforderungs-/Antwortmethode

• Instance-Metadatenservice Version 2 (IMDSv2) – Ein sitzungsorientiertes Verfahren

Informationen zum Konfigurieren Ihrer Instance für die Verwendung von IMDSv2 finden Sie unter Konfigurieren der Instance-Metadatenoptionen.

Im folgenden Beispiel wird der Zugriff verweigert, wenn ec2:RoleDelivery value im Anforderungskontext 1.0 (IMDSv1) ist. Diese Richtlinienanweisung kann im Allgemeinen angewendet werden, da sie keine Wirkung hat, wenn die Anforderung nicht mit Amazon EC2-Rollenanmeldeinformationen signiert ist.

{
    "Version": "2012-10-17",
    "Statement": [
               {
            "Sid": "RequireAllEc2RolesToUseV2",
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "NumericLessThan": {
                    "ec2:RoleDelivery": "2.0"
                }
            }
        }
    ]
}

Weitere Informationen finden Sie unter Beispielrichtlinien für die Arbeit mit Instance-Metadaten.

ec2:SourceInstanceArn

Verwenden Sie diesen Schlüssel, um den ARN der Instance zu vergleichen, von der die Sitzung der Rolle generiert wurde.

• Verfügbarkeit – Dieser Schlüssel ist immer dann im Anforderungskontext enthalten, wenn die Rollensitzung von einer Amazon EC2-Instance erstellt wird.

• Datentyp – ARN

• Werttyp - Einzelwertig

• Beispielwert – arn:aws:ec2:us-west-2:111111111111:instance/instance-id

Beispiele für Richtlinien finden Sie unter Zulassen, dass eine bestimmte Instance Ressourcen in anderen AWS Services anzeigt.

Glue:RoleAssumedBy

Der AWS Glue Service legt diesen Bedingungsschlüssel für jede AWS API-Anfrage fest, bei AWS Glue der eine Anfrage unter Verwendung einer Servicerolle im Namen des Kunden stellt (nicht durch einen Auftrag oder Entwicklerendpunkt, sondern direkt durch den AWS Glue Service). Verwenden Sie diesen Schlüssel, um zu überprüfen, ob ein Aufruf an eine - AWS Ressource vom AWS Glue Service stammt.

• Verfügbarkeit – Dieser Schlüssel ist im Anforderungskontext enthalten, wenn eine Anforderung mithilfe einer Servicerolle im Namen des Kunden AWS Glue stellt.

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

• Beispielwert – Dieser Schlüssel ist immer auf gesetztglue.amazonaws.com.

Im folgenden Beispiel wird eine Bedingung hinzugefügt, damit der AWS Glue Service ein Objekt aus einem Amazon S3-Bucket abrufen kann.

{
    "Effect": "Allow",
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::confidential-bucket/*",
    "Condition": {
        "StringEquals": {
            "glue:RoleAssumedBy": "glue.amazonaws.com"
        }
    }
}

Glue:CredentialIssuingService

Der AWS Glue Service legt diesen Schlüssel für jede AWS API-Anfrage mithilfe einer Servicerolle fest, die von einem Auftrag oder Entwicklerendpunkt stammt. Verwenden Sie diesen Schlüssel, um zu überprüfen, ob ein Aufruf an eine - AWS Ressource von einem - AWS Glue Auftrag oder einem Entwicklerendpunkt stammt.

• Verfügbarkeit – Dieser Schlüssel ist im Anforderungskontext enthalten, wenn eine Anforderung AWS Glue stellt, die von einem Auftrag oder Entwicklerendpunkt stammt.

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

• Beispielwert – Dieser Schlüssel ist immer auf festgelegtglue.amazonaws.com.

Im folgenden Beispiel wird eine Bedingung hinzugefügt, die einer IAM-Rolle angefügt ist, die von einem - AWS Glue Auftrag verwendet wird. Dadurch wird sichergestellt, dass bestimmte Aktionen zugelassen/verweigert werden, je nachdem, ob die Rollensitzung für eine - AWS Glue Auftragslaufzeitumgebung verwendet wird.

{
    "Effect": "Allow",
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::confidential-bucket/*",
    "Condition": {
        "StringEquals": {
            "glue:CredentialIssuingService": "glue.amazonaws.com"
        }
    }
}

Lambda:SourceFunctionArn

Verwenden Sie diesen Schlüssel, um den Lambda-Funktions-ARN zu identifizieren, an den IAM-Rollenanmeldeinformationen übermittelt wurden. Der Lambda-Service legt diesen Schlüssel für jede AWS API-Anfrage fest, die aus der Ausführungsumgebung Ihrer Funktion stammt. Verwenden Sie diesen Schlüssel, um zu überprüfen, ob ein Aufruf einer - AWS Ressource aus dem Code einer bestimmten Lambda-Funktion stammt. Lambda legt diesen Schlüssel auch für einige Anforderungen fest, die von außerhalb der Ausführungsumgebung stammen, z. B. das Schreiben von Protokollen an CloudWatch und das Senden von Ablaufverfolgungen an X-Ray.

• Verfügbarkeit – Dieser Schlüssel ist immer dann im Anforderungskontext enthalten, wenn der Lambda-Funktionscode aufgerufen wird.

• Datentyp – ARN

• Werttyp - Einzelwertig

• Beispielwert – arn:aws:lambda:us-east-1:123456789012:function:TestFunction

Im folgenden Beispiel kann eine bestimmte Lambda-Funktion auf den angegebenen Bucket s3:PutObject zugreifen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExampleSourceFunctionArn",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
            "Condition": {
                "ArnEquals": {
                    "lambda:SourceFunctionArn": "arn:aws:lambda:us-east-1:123456789012:function:source_lambda"
                }
            }
        }
    ]
}

Weitere Informationen finden Sie unter Arbeiten mit Anmeldeinformationen für die Lambda-Ausführungsumgebung im AWS Lambda -Entwicklerhandbuch.

ssm:SourceInstanceArn

Verwenden Sie diesen Schlüssel, um den ARN der AWS Systems Manager verwalteten Instance zu identifizieren, an den IAM-Rollenanmeldeinformationen übermittelt wurden. Dieser Bedingungsschlüssel ist nicht vorhanden, wenn die Anforderung von einer verwalteten Instance mit einer IAM-Rolle stammt, die einem Amazon EC2-Instance-Profil zugeordnet ist.

• Verfügbarkeit – Dieser Schlüssel ist immer dann im Anforderungskontext enthalten, wenn Rollenanmeldeinformationen an eine AWS Systems Manager verwaltete Instance übermittelt werden.

• Datentyp – ARN

• Werttyp - Einzelwertig

• Beispielwert – arn:aws:ec2:us-west-2:111111111111:instance/instance-id

Identitätsspeicher:UserId

Verwenden Sie diesen Schlüssel, um die Identität der Mitarbeiter von IAM Identity Center in der signierten Anforderung mit der in der Richtlinie angegebenen Identität zu vergleichen.

• Verfügbarkeit – Dieser Schlüssel ist enthalten, wenn der Aufrufer der Anforderung ein Benutzer im IAM Identity Center ist.

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

• Beispielwert – 94482488-3041-7026-18f3-be45837cd0e4

Sie finden die UserId eines Benutzers im IAM Identity Center, indem Sie eine Anfrage an die GetUserId API über die AWS CLI, AWS die API oder das AWS SDK stellen.

Eigenschaften des Netzwerks

Verwenden Sie die folgenden Bedingungsschlüssel, um Details über das Netzwerk, von dem die Anforderung stammt oder übergeben wurde, mit den Netzwerkeigenschaften zu vergleichen, die Sie in der Richtlinie angeben.

Inhalt

• aws:SourceIp
• aws:SourceVpc
• aws:SourceVpce
• aws:VpcSourceIp

aws:SourceIp

Verwenden Sie diesen Schlüssel, um die IP-Adresse des Anforderers mit der IP-Adresse zu vergleichen, die Sie in der Richtlinie angeben. Der aws:SourceIp-Bedingungsschlüssel kann nur für öffentliche IP-Adressbereiche verwendet werden.

• Verfügbarkeit – Dieser Schlüssel ist im Anforderungskontext enthalten, es sei denn, der Anforderer verwendet einen VPC-Endpunkt für die Anforderung.

• Datentyp – IP-Adresse

• Werttyp - Einzelwertig

Der aws:SourceIp-Bedingungsschlüssel kann in einer Richtlinie verwendet werden, um Auftraggeber zu erlauben, Anforderungen nur innerhalb eines angegebenen IP-Bereichs zu stellen.

Anmerkung

aws:SourceIp unterstützt IPv4- und IPv6-IP-Adressen oder einen Bereich von IP-Adressen. Eine Liste der , AWS-Services die IPv6 unterstützen, finden Sie unter AWS-Services , die IPv6 unterstützen im Amazon-VPC-Benutzerhandbuch.

Sie können beispielsweise die folgende identitätsbasierte Richtlinie an eine IAM-Rolle anfügen. Mit dieser Richtlinie kann der Benutzer Objekte in den Amazon-S3-Bucket DOC-EXAMPLE-BUCKET3 einfügen, wenn er den Aufruf über den angegebenen IPv4-Adressbereich tätigt. Diese Richtlinie erlaubt auch einen - AWS Service, der verwendet, Forward Access Sessions (FAS) um diesen Vorgang in Ihrem Namen auszuführen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PrincipalPutObjectIfIpAddress",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET3/*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": "203.0.113.0/24"
                }
            }
        }
    ]
}

Wenn Sie den Zugriff von Netzwerken einschränken müssen, die sowohl IPv4- als auch IPv6-Adressierung unterstützen, können Sie die IPv4- und IPv6-Adresse oder IP-Adressbereiche in die IAM-Richtlinienbedingung einschließen. Mit der folgenden identitätsbasierten Richtlinie kann der Benutzer Objekte in den Amazon-S3-Bucket DOC-EXAMPLE-BUCKET3 einfügen, wenn er den Aufruf von einem der angegebenen IPv4- oder IPv6-Adressbereiche aus tätigt. Bevor Sie IPv6-Adressbereiche in Ihre IAM-Richtlinie aufnehmen, stellen Sie sicher, dass die , mit der AWS-Service Sie arbeiten, IPv6 unterstützt. Eine Liste der , AWS-Services die IPv6 unterstützen, finden Sie unter AWS-Services , die IPv6 unterstützen im Amazon-VPC-Benutzerhandbuch.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PrincipalPutObjectIfIpAddress",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET3/*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "203.0.113.0/24",
                        "2001:DB8:1234:5678::/64"
                    ]
                }
            }
        }
    ]
}

Wenn die Anforderung von einem Host stammt, der einen Amazon VPC-Endpunkt verwendet, ist der Schlüssel aws:SourceIp nicht verfügbar. Sie sollten stattdessen einen VPC-spezifischen Schlüssel wie aws:VpcSourceIp verwenden. Weitere Informationen zur Verwendung von VPC-Endpunkten finden Sie unter Identitäts- und Zugriffsmanagement für VPC-Endpunkte und VPC-Endpunkt-Services im AWS PrivateLink -Leitfaden.

aws:SourceVpc

Verwenden Sie diesen Schlüssel, um zu überprüfen, ob die Anforderung über die VPC weitergeleitet wird, an die der VPC-Endpunkt angefügt ist. In einer Richtlinie können Sie diesen Schlüssel verwenden, um den Zugriff auf nur eine bestimmte VPC zu erlauben. Weitere Informationen finden Sie unter Beschränkung des Zugriffs auf eine bestimmte VPC im Benutzerhandbuch für Amazon Simple Storage Service.

• Verfügbarkeit – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn der Anforderer einen VPC-Endpunkt für die Anforderung verwendet.

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

aws:SourceVpce

Verwenden Sie diesen Schlüssel, um die VPC-Endpunkt-ID der Anforderung mit der Endpunkt-ID zu vergleichen, die Sie in der Richtlinie angeben. In einer Richtlinie können Sie diesen Schlüssel verwenden, um den Zugriff auf einen bestimmten VPC-Endpunkt zu beschränken. Weitere Informationen finden Sie unter Beschränken des Zugriffs auf einen bestimmten VPC-Endpunkt im Benutzerhandbuch für Amazon Simple Storage Service.

• Verfügbarkeit – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn der Anforderer einen VPC-Endpunkt für die Anforderung verwendet.

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

aws:VpcSourceIp

Verwenden Sie diesen Schlüssel, um die IP-Adresse, von der eine Anforderung stammt, mit der IP-Adresse zu vergleichen, die Sie in der Richtlinie angeben. In einer Richtlinie stimmt der Schlüssel nur dann überein, wenn die Anforderung von der angegebenen IP-Adresse stammt und über einen VPC-Endpunkt geleitet wird.

• Verfügbarkeit – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn die Anforderung über einen VPC-Endpunkt erfolgt.

• Datentyp – IP-Adresse

• Werttyp - Einzelwertig

Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon VPC User Guide.

Anmerkung

aws:VpcSourceIp unterstützt IPv4- und IPv6-IP-Adressen oder einen Bereich von IP-Adressen. Eine Liste der , AWS-Services die IPv6 unterstützen, finden Sie unter AWS-Services , die IPv6 unterstützen im Amazon-VPC-Benutzerhandbuch.

Eigenschaften der Ressource

Verwenden Sie die folgenden Bedingungsschlüssel, um Details über die Ressource, die das Ziel der Anforderung ist, mit den Ressourceneigenschaften zu vergleichen, die Sie in der Richtlinie angeben.

Inhalt

• aws:ResourceAccount
• aws:ResourceOrgPaths
• aws:ResourceOrgID
• aws:ResourceTag/tag-key

aws:ResourceAccount

Verwenden Sie diesen Schlüssel, um die AWS-Konto -ID des angeforderten Ressourcenbesitzers mit dem Ressourcenkonto in der Richtlinie zu vergleichen. Sie können dann den Zugriff auf diese Ressource basierend auf dem Konto, dem die Ressource gehört, erlauben oder verweigern.

• Verfügbarkeit – Dieser Schlüssel ist immer im Anforderungskontext für die meisten Service-Aktionen enthalten. Die folgenden Aktionen unterstützen diesen Schlüssel nicht:

  • AWS Audit Manager

    • auditmanager:UpdateAssessmentFrameworkShare

  • Amazon Elastic Block Store – Alle Aktionen

  • Amazon EC2

    • ec2:AcceptTransitGatewayPeeringAttachment

    • ec2:AcceptVpcEndpointConnections

    • ec2:AcceptVpcPeeringConnection

    • ec2:CopyFpgaImage

    • ec2:CopyImage

    • ec2:CopySnapshot

    • ec2:CreateTransitGatewayPeeringAttachment

    • ec2:CreateVolume

    • ec2:CreateVpcEndpoint

    • ec2:CreateVpcPeeringConnection

    • ec2:DeleteTransitGatewayPeeringAttachment

    • ec2:DeleteVpcPeeringConnection

    • ec2:RejectTransitGatewayPeeringAttachment

    • ec2:RejectVpcEndpointConnections

    • ec2:RejectVpcPeeringConnection

  • Amazon EventBridge

    • events:PutEvents – EventBridge PutEvents ruft einen Event Bus in einem anderen Konto auf, wenn dieser Event Bus vor dem 2. März 2023 als kontoübergreifendes EventBridge Ziel konfiguriert wurde. Weitere Informationen finden Sie unter Erteilen von Berechtigungen zum Zulassen von Ereignissen von anderen AWS Konten im Amazon- EventBridge Benutzerhandbuch.

  • Amazon GuardDuty

    • guardduty:AcceptAdministratorInvitation

  • Amazon Macie

    • macie2:AcceptInvitation

  • Amazon Route 53

    • route53:AssociateVpcWithHostedZone

    • route53:CreateVPCAssociationAuthorization

    • route53:DeleteVPCAssociationAuthorization

    • route53:DisassociateVPCFromHostedZone

    • route53:ListHostedZonesByVPC

  • AWS Security Hub

    • securityhub:AcceptAdministratorInvitation

  • Amazon WorkSpaces

    • workspaces:DescribeWorkspaceImages

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

Anmerkung

Weitere Überlegungen zu den oben genannten nicht unterstützten Aktionen finden Sie im Repository Data Perimeter Policy Examples (Beispiele für Datenperimeter-Richtlinien).

Dieser Schlüssel entspricht der AWS-Konto ID für das Konto mit den in der Anforderung ausgewerteten Ressourcen.

Für die meisten Ressourcen in Ihrem Konto, enthält der ARN die Besitzer-Konto-ID für diese Ressource. Für bestimmte Ressourcen, wie Amazon S3-Buckets, enthält der Ressourcen-ARN nicht die Konto-ID. Die folgenden zwei Beispiele zeigen den Unterschied zwischen einer Ressource mit einer Konto-ID im ARN und einem Amazon-S3-ARN ohne Konto-ID:

• arn:aws:iam::123456789012:role/AWSExampleRole – Erstellung und Eigentümerschaft der IAM-Rolle innerhalb des Kontos 123456789012.

• arn:aws:s3:::DOC-EXAMPLE-BUCKET2 – Erstellung und Eigentümerchaft des Amazon-S3-Buckets innerhalb des Kontos 111122223333, wird nicht im ARN angezeigt.

Verwenden Sie die - AWS Konsole, die -API oder die -CLI, um alle Ihre Ressourcen und die entsprechenden ARNs zu finden.

Sie schreiben eine Richtlinie, die Berechtigungen für Ressourcen basierend auf der Konto-ID des Ressourcenbesitzers verweigert. Zum Beispiel verweigert die folgende identitätsbasierte Richtlinie den Zugriff auf die angegebene Ressource, wenn die Ressource nicht dem angegebenen Konto angehört.

Um diese Richtlinie zu verwenden, ersetzen Sie den kursiv gedruckten Platzhaltertext durch Ihre eigenen Kontoinformationen.

Wichtig

Diese Richtlinie lässt keine Aktionen zu. Stattdessen wird der Deny-Effekt verwendet, der explizit den Zugriff auf alle in der Anweisung aufgeführten Ressourcen verweigert, die nicht zu dem aufgelisteten Konto gehören. Verwenden Sie diese Richtlinie in Kombination mit anderen Richtlinien, die den Zugriff auf bestimmte Ressourcen gewähren.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyInteractionWithResourcesNotInSpecificAccount",
      "Action": "service:*",
      "Effect": "Deny",
      "Resource": [
        "arn:aws:service:region:account:*"
      ],
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "account"
          ]
        }
      }
    }
  ]
}

Diese Richtlinie verweigert den Zugriff auf alle Ressourcen für einen bestimmten AWS Service, es sei denn, das angegebene AWS-Konto besitzt die Ressource.

Anmerkung

Einige AWS-Services benötigen Zugriff auf AWS -eigene Ressourcen, die in einem anderen gehostet werden AWS-Konto. Wenn Sie aws:ResourceAccount in Ihren identitätsbasierten Richtlinien verwenden, kann sich dies auf die Fähigkeit Ihrer Identität auswirken, auf diese Ressourcen zuzugreifen.

Bestimmte - AWS Services, wie z. B. AWS Data Exchange, verlassen sich AWS-Konten für den normalen Betrieb auf den Zugriff auf Ressourcen außerhalb Ihres . Wenn Sie das Element aws:ResourceAccount in Ihren Richtlinien verwenden, fügen Sie zusätzliche Erklärungen hinzu, um Ausnahmen für diese Services zu erstellen. Die Beispielrichtlinie AWS: Verweigern des Zugriffs auf Amazon-S3-Ressourcen außerhalb Ihres Kontos, außer AWS Data Exchange zeigt, wie der Zugriff basierend auf dem Ressourcenkonto verweigert wird, während Ausnahmen für serviceeigene Ressourcen definiert werden.

Verwenden Sie diese Richtlinienbeispiele als Vorlagen für die Erstellung Ihrer eigenen benutzerdefinierten Richtlinien. Weitere Informationen finden Sie in Ihrer Service-Dokumentation.

aws:ResourceOrgPaths

Verwenden Sie diesen Schlüssel, um den AWS Organizations-Pfad für die aufgerufene Ressource mit dem Pfad in der Richtlinie zu vergleichen. In einer Richtlinie stellt dieser Bedingungsschlüssel sicher, dass die Ressource einem Kontomitglied innerhalb des angegebenen Organisationsstamms oder der Organisationseinheiten (OUs) in AWS Organizations gehört. Ein AWS Organizations-Pfad ist eine Textdarstellung der Struktur einer Organizations-Entität. Weitere Informationen zum Verwenden und Verstehen von Pfaden finden Sie unter Der AWS Organizations-Entitätspfad.

• Verfügbarkeit – Dieser Schlüssel wird nur dann in den Anforderungskontext aufgenommen, wenn das Konto, dem die Ressource gehört, Mitglied einer Organisation ist. Dieser globale Bedingungsschlüssel unterstützt die folgenden Aktionen nicht:

  • AWS Audit Manager

    • auditmanager:UpdateAssessmentFrameworkShare

  • Amazon Elastic Block Store – Alle Aktionen

  • Amazon EC2

    • ec2:AcceptTransitGatewayPeeringAttachment

    • ec2:AcceptVpcEndpointConnections

    • ec2:AcceptVpcPeeringConnection

    • ec2:CopyFpgaImage

    • ec2:CopyImage

    • ec2:CopySnapshot

    • ec2:CreateTransitGatewayPeeringAttachment

    • ec2:CreateVolume

    • ec2:CreateVpcEndpoint

    • ec2:CreateVpcPeeringConnection

    • ec2:DeleteTransitGatewayPeeringAttachment

    • ec2:DeleteVpcPeeringConnection

    • ec2:RejectTransitGatewayPeeringAttachment

    • ec2:RejectVpcEndpointConnections

    • ec2:RejectVpcPeeringConnection

  • Amazon EventBridge

    • events:PutEvents – EventBridge PutEvents ruft einen Event Bus in einem anderen Konto auf, wenn dieser Event Bus vor dem 2. März 2023 als kontoübergreifendes EventBridge Ziel konfiguriert wurde. Weitere Informationen finden Sie unter Erteilen von Berechtigungen zum Zulassen von Ereignissen von anderen AWS Konten im Amazon- EventBridge Benutzerhandbuch.

  • Amazon GuardDuty

    • guardduty:AcceptAdministratorInvitation

  • Amazon Macie

    • macie2:AcceptInvitation

  • Amazon Route 53

    • route53:AssociateVpcWithHostedZone

    • route53:CreateVPCAssociationAuthorization

    • route53:DeleteVPCAssociationAuthorization

    • route53:DisassociateVPCFromHostedZone

    • route53:ListHostedZonesByVPC

  • AWS Security Hub

    • securityhub:AcceptAdministratorInvitation

  • Amazon WorkSpaces

    • workspaces:DescribeWorkspaceImages

• Datentyp – Zeichenfolge (Liste)

• Werttyp - Mehrwertig

Anmerkung

Weitere Überlegungen zu den oben genannten nicht unterstützten Aktionen finden Sie im Repository Data Perimeter Policy Examples (Beispiele für Datenperimeter-Richtlinien).

aws:ResourceOrgPaths ist ein mehrwertiger Bedingungsschlüssel. Mehrwertige Bedingungsschlüssel können im Anforderungskontext mehrere Werte haben. Sie müssen die Set-Operatoren ForAnyValue oder ForAllValues zusammen mit String-Bedingungsoperatoren für diesen Schlüssel verwenden. Weitere Hinweise zu mehrwertigen Bedingungsschlüsseln finden Sie unter Mehrwertige Kontextschlüssel.

Zum Beispiel gibt die folgende Bedingung True für Ressourcen zurück, die zur Organisation o-a1b2c3d4e5 gehören. Wenn Sie einen Platzhalter hinzufügen, müssen Sie den StringLike-Bedingungsoperator verwenden.

"Condition": { 
      "ForAnyValue:StringLike": {
             "aws:ResourceOrgPaths":["o-a1b2c3d4e5/*"]
   }
}

Die folgende Bedingung gibt True für Ressourcen mit der OU-ID ou-ab12-11111111 zurück. Es werden Ressourcen abgestimmt, die Konten gehören, die der OU ou-ab12-11111111 oder einer der untergeordneten OUs zugeordnet sind.

"Condition": { "ForAnyValue:StringLike" : {
     "aws:ResourceOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/*"]
}}

Die folgende Bedingung gibt True für Ressourcen zurück, die sich im Besitz von Konten befinden, die direkt der OU-ID ou-ab12-22222222 angefügt sind, aber nicht ihren untergeordneten OUs. Im folgenden Beispiel wird der -StringEqualsBedingungsoperator verwendet, um die genaue Übereinstimmungsanforderung für die OU-ID und keine Platzhalterübereinstimmung anzugeben.

"Condition": { "ForAnyValue:StringEquals" : {
     "aws:ResourceOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/"]
}}

Anmerkung

Einige AWS-Services benötigen Zugriff auf AWS -eigene Ressourcen, die in einem anderen gehostet werden AWS-Konto. Wenn Sie aws:ResourceOrgPaths in Ihren identitätsbasierten Richtlinien verwenden, kann sich dies auf die Fähigkeit Ihrer Identität auswirken, auf diese Ressourcen zuzugreifen.

Bestimmte AWS Services, wie z. B. AWS Data Exchange, verlassen sich AWS-Konten für den normalen Betrieb auf den Zugriff auf Ressourcen außerhalb Ihres . Wenn Sie den Schlüssel aws:ResourceOrgPaths in Ihren Richtlinien verwenden, fügen Sie zusätzliche Erklärungen hinzu, um Ausnahmen für diese Services zu erstellen. Die Beispielrichtlinie AWS: Verweigern des Zugriffs auf Amazon-S3-Ressourcen außerhalb Ihres Kontos, außer AWS Data Exchange zeigt, wie der Zugriff basierend auf dem Ressourcenkonto verweigert wird, während Ausnahmen für serviceeigene Ressourcen definiert werden. Sie können eine ähnliche Richtlinie erstellen, um den Zugriff auf Ressourcen innerhalb Ihrer Organisationseinheit (OU) mithilfe des aws:ResourceOrgPaths-Schlüssels zu beschränken und gleichzeitig serviceeigene Ressourcen zu berücksichtigen.

Verwenden Sie diese Richtlinienbeispiele als Vorlagen für die Erstellung Ihrer eigenen benutzerdefinierten Richtlinien. Weitere Informationen finden Sie in Ihrer Service-Dokumentation.

aws:ResourceOrgID

Verwenden Sie diesen Schlüssel, um die Kennung der Organisation in AWS Organizations, zu der die angeforderte Ressource gehört, mit der in der Richtlinie angegebenen Kennung zu vergleichen.

• Verfügbarkeit – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn das Konto, das Eigentümer der Ressource ist, Mitglied einer Organisation ist. Dieser globale Bedingungsschlüssel unterstützt die folgenden Aktionen nicht:

  • AWS Audit Manager

    • auditmanager:UpdateAssessmentFrameworkShare

  • Amazon Elastic Block Store – Alle Aktionen

  • Amazon EC2

    • ec2:AcceptTransitGatewayPeeringAttachment

    • ec2:AcceptVpcEndpointConnections

    • ec2:AcceptVpcPeeringConnection

    • ec2:CopyFpgaImage

    • ec2:CopyImage

    • ec2:CopySnapshot

    • ec2:CreateTransitGatewayPeeringAttachment

    • ec2:CreateVolume

    • ec2:CreateVpcEndpoint

    • ec2:CreateVpcPeeringConnection

    • ec2:DeleteTransitGatewayPeeringAttachment

    • ec2:DeleteVpcPeeringConnection

    • ec2:RejectTransitGatewayPeeringAttachment

    • ec2:RejectVpcEndpointConnections

    • ec2:RejectVpcPeeringConnection

  • Amazon EventBridge

    • events:PutEvents – EventBridge PutEvents ruft einen Event Bus in einem anderen Konto auf, wenn dieser Event Bus vor dem 2. März 2023 als kontoübergreifendes EventBridge Ziel konfiguriert wurde. Weitere Informationen finden Sie unter Erteilen von Berechtigungen zum Zulassen von Ereignissen von anderen AWS Konten im Amazon- EventBridge Benutzerhandbuch.

  • Amazon GuardDuty

    • guardduty:AcceptAdministratorInvitation

  • Amazon Macie

    • macie2:AcceptInvitation

  • Amazon Route 53

    • route53:AssociateVpcWithHostedZone

    • route53:CreateVPCAssociationAuthorization

    • route53:DeleteVPCAssociationAuthorization

    • route53:DisassociateVPCFromHostedZone

    • route53:ListHostedZonesByVPC

  • AWS Security Hub

    • securityhub:AcceptAdministratorInvitation

  • Amazon WorkSpaces

    • workspaces:DescribeWorkspaceImages

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

Anmerkung

Weitere Überlegungen zu den oben genannten nicht unterstützten Aktionen finden Sie im Repository Data Perimeter Policy Examples (Beispiele für Datenperimeter-Richtlinien).

Dieser globale Schlüssel gibt die ID der Ressourcenorganisation für eine bestimmte Anforderung zurück. Es erlaubt Ihnen, Regeln zu erstellen, die für alle Ressourcen in einer Organisation gelten, die im Resource-Element einer identitätsbasierten Richtlinie angegeben sind. Sie können die Organisations-ID im Bedingungselement angeben. Wenn Sie Konten hinzufügen und entfernen, schließen Richtlinien, die den aws:ResourceOrgID-Schlüssel enthalten, automatisch die richtigen Konten ein und Sie müssen sie nicht manuell aktualisieren.

Zum Beispiel verhindert die folgende Richtlinie, dass der Prinzipal der policy-genius-dev-Ressource Objekte hinzufügt, es sei denn, die Amazon-S3-Ressource gehört derselben Organisation an wie der Prinzipal, der die Anforderung stellt.

Wichtig

Diese Richtlinie lässt keine Aktionen zu. Stattdessen wird der Deny-Effekt verwendet, der explizit den Zugriff auf alle in der Anweisung aufgeführten Ressourcen verweigert, die nicht zu dem aufgelisteten Konto gehören. Verwenden Sie diese Richtlinie in Kombination mit anderen Richtlinien, die den Zugriff auf bestimmte Ressourcen gewähren.

{
  "Version": "2012-10-17",
  "Statement": {
    "Sid": "DenyPutObjectToS3ResourcesOutsideMyOrganization",
    "Effect": "Deny",
    "Action": "s3:PutObject",
    "Resource": "arn:partition:s3:::policy-genius-dev/*",
    "Condition": {
      "StringNotEquals": {
        "aws:ResourceOrgID": "${aws:PrincipalOrgID}"
      }
    }
  }
}

Anmerkung

Einige AWS-Services benötigen Zugriff auf AWS -eigene Ressourcen, die in einem anderen gehostet werden AWS-Konto. Wenn Sie aws:ResourceOrgID in Ihren identitätsbasierten Richtlinien verwenden, kann sich dies auf die Fähigkeit Ihrer Identität auswirken, auf diese Ressourcen zuzugreifen.

Bestimmte AWS Services, wie z. B. AWS Data Exchange, verlassen sich AWS-Konten für den normalen Betrieb auf den Zugriff auf Ressourcen außerhalb Ihres . Wenn Sie den Schlüssel aws:ResourceOrgID in Ihren Richtlinien verwenden, fügen Sie zusätzliche Erklärungen hinzu, um Ausnahmen für diese Services zu erstellen. Die Beispielrichtlinie AWS: Verweigern des Zugriffs auf Amazon-S3-Ressourcen außerhalb Ihres Kontos, außer AWS Data Exchange zeigt, wie der Zugriff basierend auf dem Ressourcenkonto verweigert wird, während Ausnahmen für serviceeigene Ressourcen definiert werden. Sie können eine ähnliche Richtlinie erstellen, um den Zugriff auf Ressourcen innerhalb Ihrer Organisation mithilfe des aws:ResourceOrgID-Schlüssels zu beschränken und gleichzeitig serviceeigene Ressourcen zu berücksichtigen.

Verwenden Sie diese Richtlinienbeispiele als Vorlagen für die Erstellung Ihrer eigenen benutzerdefinierten Richtlinien. Weitere Informationen finden Sie in Ihrer Service-Dokumentation.

Im folgenden Video erfahren Sie mehr darüber, wie Sie den Bedingungsschlüssel aws:ResourceOrgID in einer Richtlinie verwenden können.

aws:ResourceTag/tag-key

Verwenden Sie diesen Schlüssel, um das Tag-Schlüssel-Wert-Paar, das Sie in der Richtlinie angeben, mit dem Schlüssel-Wert-Paar zu vergleichen, das der Ressource zugeordnet ist. Beispiel: Sie können verlangen, dass der Zugriff auf eine Ressource nur gewährt wird, wenn die Ressource über den angefügten Tag-Schlüssel "Dept" mit dem Wert "Marketing" verfügt. Weitere Informationen finden Sie unter Steuern des Zugriffs auf AWS -Ressourcen.

• Verfügbarkeit – Dieser Schlüssel wird in den Anforderungskontext aufgenommen, wenn die angeforderte Ressource bereits angefügte Tags hat oder in Anforderungen, die eine Ressource mit einem angefügten Tag erstellen. Dieser Schlüssel wird nur für Ressourcen zurückgegeben, die Berechtigung auf Basis von Tags unterstützen. Es gibt einen Kontextschlüssel für jedes Tag-Schlüssel-Wert-Paar.

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

Dieser Kontextschlüssel liegt im Format "aws:ResourceTag/tag-key":"tag-value" vor. Dabei bezeichnen tag-key und tag-value ein Paar aus Tag-Schlüssel und -Wert. Bei Tag-Schlüsseln und -Werten wird nicht zwischen Groß- und Kleinschreibung unterschieden. Dies bedeutet Folgendes: Wenn Sie "aws:ResourceTag/TagKey1": "Value1" im Bedingungselement Ihrer Richtlinie angeben, stimmt die Bedingung mit einem Ressourcen-Tag-Schlüssel mit dem Namen TagKey1 oder tagkey1 überein, aber nicht mit beiden.

Beispiele für die Verwendung des aws:ResourceTag-Schlüssels zur Steuerung des Zugriffs auf IAM-Ressourcen finden Sie unter Steuern des Zugriffs auf AWS -Ressourcen.

Beispiele für die Verwendung des -aws:ResourceTagSchlüssels zur Steuerung des Zugriffs auf andere - AWS Ressourcen finden Sie unter Steuern des Zugriffs auf AWS Ressourcen mithilfe von Tags.

Ein Tutorial zur Verwendung des aws:ResourceTag-Bedingungsschlüssels für attributbasierte Zugriffskontrolle (ABAC) finden Sie unter IAM-Tutorial: Definieren von Berechtigungen für den Zugriff auf AWS-Ressourcen basierend auf Tags.

Eigenschaften der Anforderung

Verwenden Sie die folgenden Bedingungsschlüssel, um Details über die Anforderung selbst und den Inhalt der Anforderung mit den Anforderungseigenschaften zu vergleichen, die Sie in der Richtlinie angeben.

Inhalt

• aws:CalledVia
• aws:CalledViaFirst
• aws:CalledViaLast
• aws:ViaAWSService
• aws:CurrentTime
• aws:EpochTime
• aws:referer
• aws:RequestedRegion
• aws:RequestTag/tag-key
• aws:TagKeys
• aws:SecureTransport
• aws:SourceArn
• aws:SourceAccount
• aws:SourceOrgPaths
• aws:SourceOrgID
• aws:UserAgent

aws:CalledVia

Verwenden Sie diesen Schlüssel, um die Services in der Richtlinie mit den Services zu vergleichen, die im Auftrag des IAM-Auftraggebers (Benutzer oder Rolle) Anforderungen ausgegeben haben. Wenn ein Prinzipal eine Anforderung an einen - AWS Service stellt, verwendet dieser Service möglicherweise die Anmeldeinformationen des Prinzipals, um nachfolgende Anforderungen an andere -Services zu stellen. Der Schlüssel aws:CalledVia enthält eine geordnete Liste aller Services in der Kette, die im Auftrag des Auftraggebers Anforderungen ausgegeben haben.

Sie können beispielsweise verwenden, AWS CloudFormation um aus einer Amazon-DynamoDB-Tabelle zu lesen und zu schreiben. DynamoDB verwendet dann die von AWS Key Management Service () bereitgestellte Verschlüsselung AWS KMS.

• Verfügbarkeit – Dieser Schlüssel ist in der Anforderung vorhanden, wenn ein Service, der aws:CalledVia unterstützt, die Anmeldeinformationen eines IAM-Auftraggebers verwendet, um eine Anforderung an einen anderen Service auszugeben. Dieser Schlüssel ist nicht vorhanden, wenn der Service eine Servicerolle oder eine serviceverknüpfte Rolle verwendet, um einen Aufruf im Auftrag des Auftraggebers durchzuführen. Dieser Schlüssel ist auch nicht vorhanden, wenn der Auftraggeber den Aufruf direkt durchführt.

• Datentyp – Zeichenfolge (Liste)

• Werttyp - Mehrwertig

Um den aws:CalledVia Bedingungsschlüssel in einer Richtlinie zu verwenden, müssen Sie die Service-Prinzipale angeben, um AWS Serviceanforderungen zuzulassen oder zu verweigern. AWS unterstützt die Verwendung der folgenden Service-Prinzipale mit aws:CalledVia.

Dienstauftraggeber
aoss.amazonaws.com
athena.amazonaws.com
backup.amazonaws.com
cloud9.amazonaws.com
cloudformation.amazonaws.com
databrew.amazonaws.com
dataexchange.amazonaws.com
dynamodb.amazonaws.com
imagebuilder.amazonaws.com
kms.amazonaws.com
mgn.amazonaws.com
nimble.amazonaws.com
omics.amazonaws.com
ram.amazonaws.com
robomaker.amazonaws.com
servicecatalog-appregistry.amazonaws.com
sqlworkbench.amazonaws.com
ssm-guiconnect.amazonaws.com

Um den Zugriff zu erlauben oder zu verweigern, wenn irgendein Service unter Verwendung der Anmeldeinformationen des Auftraggebers eine Anforderung ausgibt, verwenden Sie den Bedingungsschlüssel aws:ViaAWSService. Dieser Bedingungsschlüssel unterstützt - AWS Services.

Der aws:CalledVia-Schlüssel ist ein mehrwertiger Schlüssel. Sie können die Reihenfolge jedoch nicht mit diesem Schlüssel in einer Bedingung erzwingen. Anhand des obigen Beispiels gibt User 1 (Benutzer 1) eine Anforderung an AWS CloudFormation aus, das DynamoDB aufruft, das wiederum AWS KMS aufruft. Dies sind drei separate Anforderungen. Der letzte Aufruf von AWS KMS wird von Benutzer 1 über AWS CloudFormation und dann DynamoDB ausgeführt.

In diesem Fall enthält der Schlüssel aws:CalledVia im Anforderungskontext cloudformation.amazonaws.com und dynamodb.amazonaws.com (in dieser Reihenfolge). Wenn Ihnen nur wichtig ist, dass der Aufruf über DynamoDB irgendwo in der Kette von Anforderungen erfolgt ist, können Sie diesen Bedingungsschlüssel in Ihrer Richtlinie verwenden.

Die folgende Richtlinie erlaubt beispielsweise die Verwaltung des AWS KMS Schlüssels mit dem Namen my-example-key, jedoch nur, wenn DynamoDB einer der anfordernden Services ist. Der Bedingungsoperator ForAnyValue:StringEquals stellt sicher, dass DynamoDB einer der aufrufenden Services ist. Wenn der Auftraggeber AWS KMS direkt aufruft, gibt die Bedingung false zurück, und die Anforderung wird von dieser Richtlinie nicht zugelassen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "KmsActionsIfCalledViaDynamodb",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:region:111122223333:key/my-example-key",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": ["dynamodb.amazonaws.com"]
                }
            }
        }
    ]
}

Mit den Schlüsseln aws:CalledViaFirst und aws:CalledViaLast können Sie auf Wunsch erzwingen, welcher Service den ersten oder letzten Aufruf in der Kette durchführt. Die folgende Richtlinie erlaubt beispielsweise die Verwaltung des Schlüssels mit dem Namen my-example-key in AWS KMS. Diese AWS KMS Operationen sind nur zulässig, wenn mehrere Anforderungen in der Kette enthalten waren. Die erste Anforderung muss über AWS CloudFormation und die letzte über DynamoDB erfolgen. Wenn andere Services mitten in der Kette Anforderungen ausgeben, ist die Operation trotzdem zulässig.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "KmsActionsIfCalledViaChain",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:region:111122223333:key/my-example-key",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaFirst": "cloudformation.amazonaws.com",
                    "aws:CalledViaLast": "dynamodb.amazonaws.com"
                }
            }
        }
    ]
}

Die Schlüssel aws:CalledViaFirst und aws:CalledViaLast sind in der Anforderung vorhanden, wenn ein Service die Anmeldeinformationen eines IAM-Auftraggebers verwendet, um einen anderen Service aufzurufen. Sie geben die ersten und letzten Services an, die in der Kette von Anforderungen Aufrufe durchgeführt haben. Nehmen wir beispielsweise an, dass einen anderen Service mit dem Namen AWS CloudFormation aufruftX Service, der DynamoDB aufruft, der dann aufruft AWS KMS. Der letzte Aufruf von AWS KMS wird von User 1 über AWS CloudFormation, dann X Serviceund dann DynamoDB ausgeführt. Es wurde zuerst über AWS CloudFormation und zuletzt über DynamoDB aufgerufen.

aws:CalledViaFirst

Verwenden Sie diesen Schlüssel, um die Services in der Richtlinie mit dem ersten Service zu vergleichen, der im Auftrag des IAM-Auftraggebers (Benutzer oder Rolle) eine Anforderung ausgegeben hat. Weitere Informationen finden Sie unter aws:CalledVia.

• Verfügbarkeit – Dieser Schlüssel ist in der Anforderung vorhanden, wenn ein Service die Anmeldeinformationen eines IAM-Auftraggebers verwendet, um mindestens eine andere Anforderung an einen anderen Service auszugeben. Dieser Schlüssel ist nicht vorhanden, wenn der Service eine Servicerolle oder eine serviceverknüpfte Rolle verwendet, um einen Aufruf im Auftrag des Auftraggebers durchzuführen. Dieser Schlüssel ist auch nicht vorhanden, wenn der Auftraggeber den Aufruf direkt durchführt.

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

aws:CalledViaLast

Verwenden Sie diesen Schlüssel, um die Services in der Richtlinie mit den letzten Services zu vergleichen, die im Auftrag des IAM-Auftraggebers (Benutzer oder Rolle) eine Anforderung ausgegeben haben. Weitere Informationen finden Sie unter aws:CalledVia.

• Verfügbarkeit – Dieser Schlüssel ist in der Anforderung vorhanden, wenn ein Service die Anmeldeinformationen eines IAM-Auftraggebers verwendet, um mindestens eine andere Anforderung an einen anderen Service auszugeben. Dieser Schlüssel ist nicht vorhanden, wenn der Service eine Servicerolle oder eine serviceverknüpfte Rolle verwendet, um einen Aufruf im Auftrag des Auftraggebers durchzuführen. Dieser Schlüssel ist auch nicht vorhanden, wenn der Auftraggeber den Aufruf direkt durchführt.

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

aws:ViaAWSService

Verwenden Sie diesen Schlüssel, um zu überprüfen, ob ein - AWS Service in Ihrem Namen eine Anforderung an einen anderen -Service stellt.

Der Anforderungskontextschlüssel gibt true zurück, wenn ein Service die Anmeldeinformationen eines IAM-Auftraggebers verwendet, um eine Anforderung im Auftrag des Auftraggebers zu stellen. Der Kontextschlüssel gibt false zurück, wenn der Service eine Servicerolle oder eine serviceverknüpfte Rolle verwendet, um einen Aufruf im Auftrag des Auftraggebers durchzuführen. Der Anforderungskontextschlüssel gibt auch false zurück, wenn der Auftraggeber den Aufruf direkt durchführt.

• Verfügbarkeit – Dieser Schlüssel ist immer im Anforderungskontext enthalten.

• Datentyp – Boolesch

• Werttyp - Einzelwertig

Sie können diesen Bedingungsschlüssel verwenden, um den Zugriff basierend darauf zuzulassen oder zu verweigern, ob eine Anforderung von einem Service ausgegeben wurde.

aws:CurrentTime

Verwenden Sie diesen Schlüssel, um das Datum und die Uhrzeit der Anforderung mit dem Datum und der Uhrzeit zu vergleichen, das bzw. die Sie in der Richtlinie angeben. Informationen zum Anzeigen einer Beispielrichtlinie, die diesen Bedingungsschlüssel verwendet, finden Sie unter AWS: Ermöglicht Zugriff basierend auf Datum und Uhrzeit.

• -Verfügbarkeit – Dieser Schlüssel ist immer im Anforderungskontext enthalten.

• Datentyp – Datum

• Werttyp - Einzelwertig

aws:EpochTime

Verwenden Sie diesen Schlüssel, um das Datum und die Uhrzeit der Anforderung in Epochen- oder Unix-Zeit mit dem Wert zu vergleichen, den Sie in der Richtlinie angeben. Dieser Schlüssel akzeptiert auch die Anzahl der Sekunden, die seit dem 1. Januar 1970 verstrichen sind.

• Verfügbarkeit – Dieser Schlüssel ist immer im Anforderungskontext enthalten.

• Datentyp – Datum, Numerisch

• Werttyp - Einzelwertig

aws:referer

Verwenden Sie diesen Schlüssel, um den Referrer, der im Client-Browser auf die Anforderung verwiesen hat, mit dem Referrer zu vergleichen, den Sie in der Richtlinie angeben. Der aws:referer-Anforderungskontextwert wird vom Aufrufer in einem HTTP-Header bereitgestellt. Der Referer-Header ist in einer Webbrowser-Anforderung enthalten, wenn Sie einen Link auf einer Webseite auswählen. Der Referer-Header enthält die URL der Webseite, auf der der Link ausgewählt wurde.

• Verfügbarkeit – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn die Anforderung an die AWS Ressource durch eine Verknüpfung von einer Webseiten-URL im Browser aus aufgerufen wurde. Dieser Schlüssel ist nicht für programmatische Anforderungen enthalten, da er keinen Browserlink verwendet, um auf die AWS -Ressource zuzugreifen.

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

Sie können beispielsweise direkt über eine URL oder einen direkten API-Aufruf auf ein Amazon S3-Objekt zugreifen. Weitere Informationen finden Sie unter Amazon S3-API-Vorgänge direkt mit einem Webbrowser. Wenn Sie von einer URL, die in einer Webseite existiert, auf ein Amazon S3-Objekt zugreifen, wird die URL der Quellwebseite in aws:referer verwendet. Wenn Sie auf ein Amazon S3-Objekt zugreifen, indem Sie die URL in Ihren Browser eingeben, ist aws:referer nicht vorhanden. Wenn Sie die API direkt aufrufen, ist aws:referer auch nicht vorhanden. Sie können den aws:referer-Bedingungsschlüssel in einer Richtlinie verwenden, um Anforderungen von einem bestimmten Referer zuzulassen, z. B. einen Link auf einer Webseite in der Domain Ihres Unternehmens.

Warnung

Dieser Schlüssel sollte mit Vorsicht verwendet werden. Ein öffentlich bekannter Referer-Header-Wert sollte möglichst nicht eingeschlossen werden. Nicht autorisierte Parteien können mit modifizierten oder benutzerdefinierten Browsern einen beliebigen aws:referer-Wert ihrer Wahl bereitstellen. Daher aws:referer sollte nicht verwendet werden, um Unbefugte daran zu hindern, direkte AWS Anfragen zu stellen. Die Funktion wird nur bereitgestellt, damit Kunden ihre digitalen, in Amazon S3 gespeicherten Inhalte vor der Referenzierung auf nicht autorisierte Drittanbieter-Websites schützen können.

aws:RequestedRegion

Verwenden Sie diesen Schlüssel, um die AWS Region, die in der Anforderung aufgerufen wurde, mit der Region zu vergleichen, die Sie in der Richtlinie angeben. Mit diesem globalen Bedingungsschlüssel können Sie steuern, welche Regionen angefordert werden können. Informationen zu den AWS Regionen für die einzelnen Services finden Sie unter Service-Endpunkte und -Kontingente im Allgemeine Amazon Web Services-Referenz.

• -Verfügbarkeit – Dieser Schlüssel ist immer im Anforderungskontext enthalten.

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

Globale Services wie IAM haben einen einzelnen Endpunkt. Da sich dieser Endpunkt in der US East (N. Virginia)-Region befindet, werden IAM-Anrufe immer an die us-east-1 Region gesendet. Wenn Sie beispielsweise eine Richtlinie erstellen, die den Zugriff auf alle Services verweigert, wenn die angeforderte Region nicht us-west-2 ist, schlagen die IAM-Aufrufe immer fehl. Ein Beispiel dafür, wie Sie dies umgehen können, finden Sie unter NotAction mit Deny .

Anmerkung

Mit dem Bedingungsschlüssel aws:RequestedRegion können Sie steuern, welche Endpunkt eines Services aufgerufen wird, jedoch nicht die Auswirkungen der Operation. Einige Services haben regionsübergreifende Auswirkungen.

Amazon S3 verfügt beispielsweise über API-Operationen, die sich über Regionen erstrecken.

• Sie können s3:PutBucketReplication in einer Region aufrufen (betroffen über den Bedingungsschlüssel aws:RequestedRegion), während andere Regionen basierend auf den Konfigurationseinstellungen der Replikation betroffen sind.

• Sie können s3:CreateBucket aufrufen, um einen Bucket in einer anderen Region zu erstellen, und mit dem s3:LocationConstraint-Bedingungsschlüssel die entsprechenden Regionen steuern.

Sie können diesen Kontextschlüssel verwenden, um den Zugriff auf AWS Services innerhalb eines bestimmten Satzes von Regionen zu beschränken. Mit der folgenden Richtlinie wird Benutzern beispielsweise erlaubt, alle Amazon EC2-Instances in der AWS Management Console anzuzeigen. Sie gestattet den Benutzern aber nur Änderungen an Instances in Irland (eu-west-1), London (eu-west-2) und Paris (eu-west-3).

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "InstanceConsoleReadOnly",
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*",
                "ec2:Export*",
                "ec2:Get*",
                "ec2:Search*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InstanceWriteRegionRestricted",
            "Effect": "Allow",
            "Action": [
                "ec2:Associate*",
                "ec2:Import*",
                "ec2:Modify*",
                "ec2:Monitor*",
                "ec2:Reset*",
                "ec2:Run*",
                "ec2:Start*",
                "ec2:Stop*",
                "ec2:Terminate*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": [
                        "eu-west-1",
                        "eu-west-2",
                        "eu-west-3"
                    ]
                }
            }
        }
    ]
}       

aws:RequestTag/tag-key

Verwenden Sie diesen Schlüssel, um das Tag-Schlüssel-Wert-Paar, das in der Anforderung übergeben wurde, mit dem Tag-Paar zu vergleichen, das Sie in der Richtlinie angeben. Sie können beispielsweise prüfen, ob die Anforderung den Tag-Schlüssel "Dept" enthält und dieser den Wert "Accounting" hat. Weitere Informationen finden Sie unter Zugriffssteuerung während AWS -Anforderungen.

• Verfügbarkeit – Dieser Schlüssel ist im Anforderungskontext enthalten, wenn Tag-Schlüssel-Wert-Paare in der Anforderung übergeben werden. Wenn mehrere Tags in der Anforderung übergeben werden, gibt es einen Kontextschlüssel für jedes Tag-Schlüssel-Wert-Paar.

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

Dieser Kontextschlüssel liegt im Format "aws:RequestTag/tag-key":"tag-value" vor. Dabei bezeichnen tag-key und tag-value ein Paar aus Tag-Schlüssel und -Wert. Bei Tag-Schlüsseln und -Werten wird nicht zwischen Groß- und Kleinschreibung unterschieden. Dies bedeutet Folgendes: Wenn Sie "aws:RequestTag/TagKey1": "Value1" im Bedingungselement Ihrer Richtlinie angeben, stimmt die Bedingung mit einem Ressourcen-Tag-Schlüssel mit dem Namen TagKey1 oder tagkey1 überein, aber nicht mit beiden.

Dieses Beispiel zeigt, dass der Schlüssel zwar einwertig ist, Sie aber dennoch mehrere Schlüssel-Wert-Paare in einer Anforderung verwenden können, wenn die Schlüssel unterschiedlich sind.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "ec2:CreateTags",
    "Resource": "arn:aws:ec2:::instance/*",
    "Condition": {
      "StringEquals": {
        "aws:RequestTag/environment": [
          "preprod",
          "production"
        ],
        "aws:RequestTag/team": [
          "engineering"
        ]
      }
    }
  }
}

aws:TagKeys

Verwenden Sie diesen Schlüssel, um die Tag-Schlüssel in einer Anforderung mit den Schlüsseln zu vergleichen, die Sie in der Richtlinie angeben. Wir empfehlen, dass Sie bei der Verwendung von Richtlinien zur Zugriffskontrolle mithilfe von Tags den aws:TagKeys-Bedingungsschlüssel verwenden, um festzulegen, welche Tag-Schlüssel zulässig sind. Beispielrichtlinien und weitere Informationen finden Sie unter Zugriffssteuerung auf der Grundlage von Tag-Schlüsseln.

• Verfügbarkeit – Dieser Schlüssel ist in den Anforderungskontext enthalten, wenn die Operation die Übergabe von Tags in der Anforderung unterstützt.

• Datentyp – Zeichenfolge (Liste)

• Werttyp - Mehrwertig

Dieser Kontextschlüssel liegt im Format "aws:TagKeys":"tag-key" vor. Dabei ist tag-key eine Liste von Tag-Schlüsseln ohne Werte (z. B. ["Dept","Cost-Center"]).

Da Sie mehrere Tag-Schlüssel-Wert-Paare in eine Anforderung aufnehmen können, könnte der Anforderungsinhalt eine mehrwertige Anforderung sein. In diesem Fall müssen Sie die Operatoren ForAllValues oder ForAnyValue verwenden. Weitere Informationen finden Sie unter Mehrwertige Kontextschlüssel.

Einige Services unterstützen das Markieren mit Ressourcenoperationen, wie etwa das Erstellen, Ändern oder Löschen einer Ressource. Um das Markieren und Operationen als einzelnen Aufruf zu erlauben, müssen Sie eine Richtlinie erstellen, die die Aktionen Markieren und Ressourcenbearbeitung enthält. Anschließend können Sie den aws:TagKeys-Bedingungsschlüssel zum Erzwingen mit spezifischen Tag-Schlüssel in der Anforderung verwenden. Beispiel: Zum Einschränken von Tags, wenn jemand einen Amazon EC2-Snapshot erstellt, müssen Sie die Aktion zum Erstellen eines ec2:CreateSnapshot und die Aktion zum Markieren von ec2:CreateTags in die Richtlinie einbeziehen. Eine Richtlinie für dieses Szenario, die aws:TagKeys verwendet, finden Sie unter Creating a Snapshot with Tags im Amazon EC2 Leitfaden für Linux-Instances.

aws:SecureTransport

Mit diesem Schlüssel können Sie überprüfen, ob die Anforderung über SSL gesendet wurde. Der Anforderungskontext gibt true oder false zurück. In einer Richtlinie können Sie bestimmte Aktionen nur zulassen, wenn die Anforderung mit SSL gesendet wird.

• Verfügbarkeit – Dieser Schlüssel ist immer im Anforderungskontext enthalten.

• Datentyp – Boolesch

• Werttyp - Einzelwertig

aws:SourceArn

Verwenden Sie diesen Schlüssel, um den Amazon-Ressourcennamen (ARN) der Ressource, die eine service-to-service Anforderung stellt, mit dem ARN zu vergleichen, den Sie in der Richtlinie angeben, jedoch nur, wenn die Anforderung von einem AWS -Service-Prinzipal gestellt wird. Wenn der ARN der Quelle die Konto-ID enthält, ist es nicht erforderlich, aws:SourceAccount mit aws:SourceArn zu verwenden.

Dieser Schlüssel funktioniert nicht mit dem ARN des Auftraggebers, der die Anforderung stellt. Nutzen Sie stattdessen aws:PrincipalArn.

• Verfügbarkeit – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn der Aufruf Ihrer Ressource direkt von einem -AWS Service-Prinzipal im Namen einer Ressource erfolgt, für die die Konfiguration die service-to-service Anforderung ausgelöst hat. Der aufrufende Service muss den ARN der ursprünglichen Ressource an den aufgerufenen Service übergeben.

  

  Die folgenden Service-Integrationen unterstützen diesen globalen Bedingungsschlüssel nicht:

  Aufrufender Service (Service-Prinzipal)	Aufgerufener Service (ressourcenbasierte Richtlinie)	Beschreibung
  logdelivery.elb.amazonaws.com	Amazon S3-Bucket	Aktivieren Sie die Elastic-Load-Balancing-Zugriffsprotokollierung im Amazon-S3-Bucket
  logdelivery.elasticloadbalancing.amazonaws.com	Amazon S3-Bucket	Aktivieren Sie die Elastic-Load-Balancing-Zugriffsprotokollierung im Amazon-S3-Bucket

  Anmerkung

  Nicht alle Service-Integrationen mit AWS Security Token Service (AWS STS) und AWS Key Management Service (AWS KMS) werden unterstützt. Weitere Informationen finden Sie in der Dokumentation des aufrufenden Service. Die Verwendung von aws:SourceArn in KMS-Schlüsselrichtlinien für Schlüssel, die von AWS-Services über KMS-Schlüsselgewährungen verwendet werden, kann zu unerwartetem Verhalten führen.

• Datentyp – ARN, Zeichenfolge

  AWS empfiehlt, beim Vergleichen von ARNs ARN-Operatoren anstelle von Zeichenfolgenoperatoren ARNs verwenden.

• Werttyp - Einzelwertig

Sie können diesen Bedingungsschlüssel verwenden, um zu verhindern, dass ein - AWS Service bei Transaktionen zwischen Services als verwirrter Stellvertreter verwendet wird. Verwenden Sie diesen Schlüssel nur in ressourcenbasierten Richtlinien, bei denen der ein - AWS-Service Prinzipal Principal ist. Legen Sie den Wert dieses Bedingungsschlüssels auf den ARN der Ressource in der Anforderung fest. Wenn beispielsweise eine Aktualisierung eines Amazon-S3-Buckets eine Amazon-SNS-Themenveröffentlichung auslöst, ruft der Amazon-S3-Service den sns:Publish-API-Vorgang auf. Setzen Sie in der Themenrichtlinie, die den Vorgang sns:Publish erlaubt, den Wert des Bedingungsschlüssels auf den ARN des Amazon-S3-Buckets. Informationen darüber, wie und wann dieser Bedingungsschlüssel empfohlen wird, finden Sie in der Dokumentation zu den AWS Services, die Sie verwenden.

aws:SourceAccount

Verwenden Sie diesen Schlüssel, um die Konto-ID der Ressource, die eine service-to-service Anforderung stellt, mit der Konto-ID zu vergleichen, die Sie in der Richtlinie angeben, aber nur, wenn die Anforderung von einem - AWS Service-Prinzipal gestellt wird.

• Verfügbarkeit – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn der Aufruf Ihrer Ressource direkt von einem -AWS Service-Prinzipal im Namen einer Ressource erfolgt, für die die Konfiguration die service-to-service Anforderung ausgelöst hat. Der aufrufende Service muss die Konto-ID der ursprünglichen Ressource an den aufgerufenen Service weitergeben.

  

  Die folgenden Service-Integrationen unterstützen diesen globalen Bedingungsschlüssel nicht:

  Aufrufender Service (Service-Prinzipal)	Aufgerufener Service (ressourcenbasierte Richtlinie)	Beschreibung
  logdelivery.elb.amazonaws.com	Amazon S3-Bucket	Aktivieren Sie die Elastic-Load-Balancing-Zugriffsprotokollierung im Amazon-S3-Bucket
  logdelivery.elasticloadbalancing.amazonaws.com	Amazon S3-Bucket	Aktivieren Sie die Elastic-Load-Balancing-Zugriffsprotokollierung im Amazon-S3-Bucket

  Anmerkung

  Nicht alle Service-Integrationen mit AWS Security Token Service (AWS STS) und AWS Key Management Service (AWS KMS) werden unterstützt. Weitere Informationen finden Sie in der Dokumentation des aufrufenden Service. Die Verwendung von aws:SourceAccount in KMS-Schlüsselrichtlinien für Schlüssel, die von AWS-Services über KMS-Schlüsselgewährungen verwendet werden, kann zu unerwartetem Verhalten führen.

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

Sie können diesen Bedingungsschlüssel verwenden, um zu verhindern, dass ein - AWS Service bei Transaktionen zwischen Services als verwirrter Stellvertreter verwendet wird. Verwenden Sie diesen Schlüssel nur in ressourcenbasierten Richtlinien, bei denen der ein - AWS-Service Prinzipal Principal ist. Legen Sie den Wert dieses Bedingungsschlüssels auf die Konto-ID der Ressource in der Anforderung fest. Wenn beispielsweise eine Aktualisierung eines Amazon-S3-Buckets eine Amazon-SNS-Themenveröffentlichung auslöst, ruft der Amazon-S3-Service den sns:Publish-API-Vorgang auf. Setzen Sie in der Themenrichtlinie, die den Vorgang sns:Publish erlaubt, den Wert des Bedingungsschlüssels auf die Konto-ID des Amazon-S3-Buckets. Informationen darüber, wie und wann diese Bedingungsschlüssel empfohlen werden, finden Sie in der Dokumentation zu den AWS Services, die Sie verwenden.

aws:SourceOrgPaths

Verwenden Sie diesen Schlüssel, um den AWS Organizations Pfad der Ressource, die eine service-to-service Anforderung stellt, mit dem Organisationspfad zu vergleichen, den Sie in der Richtlinie angeben, jedoch nur, wenn die Anforderung von einem - AWS Service-Prinzipal gestellt wird. Ein -Organizations-Pfad ist eine Textdarstellung der Struktur einer Organizations-Entität. Weitere Informationen zu Pfaden und deren Verwendung finden Sie unter Den AWS Organizations -Entitätspfad verstehen.

• Verfügbarkeit – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn der Anruf an Ihre Ressource direkt von einem AWS -Service-Prinzipal im Namen einer Ressource erfolgt, die einem Konto gehört, das Mitglied einer Organisation ist. Der aufrufende Service übergibt den Organisations-Pfad der ursprünglichen Ressource an den aufgerufenen Service.

  

  Die folgenden Service-Integrationen unterstützen diesen globalen Bedingungsschlüssel nicht:

  Aufrufender Service (Service-Prinzipal)	Aufgerufener Service (ressourcenbasierte Richtlinie)	Beschreibung
  logdelivery.elb.amazonaws.com	Amazon S3-Bucket	Aktivieren Sie die Elastic-Load-Balancing-Zugriffsprotokollierung im Amazon-S3-Bucket
  logdelivery.elasticloadbalancing.amazonaws.com	Amazon S3-Bucket	Aktivieren Sie die Elastic-Load-Balancing-Zugriffsprotokollierung im Amazon-S3-Bucket
  Alle Service-Prinzipale	Amazon-Lex-Bot	AWS-Services Erlauben der Verwendung von Amazon Lex-Bot

  Anmerkung

  Nicht alle Service-Integrationen mit AWS Security Token Service (AWS STS) und AWS Key Management Service (AWS KMS) werden unterstützt. Weitere Informationen finden Sie in der Dokumentation des aufrufenden Service. Die Verwendung von aws:SourceOrgPaths in KMS-Schlüsselrichtlinien für Schlüssel, die von AWS-Services über KMS-Schlüsselgewährungen verwendet werden, kann zu unerwartetem Verhalten führen.

• Datentyp – Zeichenfolge (Liste)

• Werttyp - Mehrwertig

Sie können diesen Bedingungsschlüssel verwenden, um zu verhindern, dass ein - AWS Service bei Transaktionen zwischen Services als verwirrter Stellvertreter verwendet wird. Verwenden Sie diesen Schlüssel nur in ressourcenbasierten Richtlinien, bei denen der ein - AWS-Service Prinzipal Principal ist. Legen Sie den Wert dieses Bedingungsschlüssels auf den Organisations-Pfad der Ressource in der Anforderung fest. Wenn beispielsweise eine Aktualisierung eines Amazon-S3-Buckets eine Amazon-SNS-Themenveröffentlichung auslöst, ruft der Amazon-S3-Service den sns:Publish-API-Vorgang auf. Setzen Sie in der Themenrichtlinie, die den Vorgang sns:Publish zulässt, den Wert des Bedingungsschlüssels auf den Organisations-Pfad des Amazon-S3-Buckets. Informationen darüber, wie und wann dieser Bedingungsschlüssel empfohlen wird, finden Sie in der Dokumentation zu den AWS Services, die Sie verwenden.

aws:SourceOrgPaths ist ein mehrwertiger Bedingungsschlüssel. Mehrwertige Bedingungsschlüssel können im Anforderungskontext mehrere Werte haben. Sie müssen die Set-Operatoren ForAnyValue oder ForAllValues zusammen mit String-Bedingungsoperatoren für diesen Schlüssel verwenden. Weitere Hinweise zu mehrwertigen Bedingungsschlüsseln finden Sie unter Mehrwertige Kontextschlüssel.

aws:SourceOrgID

Verwenden Sie diesen Schlüssel, um die Organisations-ID der Ressource, die eine service-to-service Anforderung stellt, mit der Organisations-ID zu vergleichen, die Sie in der Richtlinie angeben, jedoch nur, wenn die Anforderung von einem - AWS Service-Prinzipal gestellt wird. Wenn Sie Konten in einer Organisation in AWS Organizations hinzufügen und entfernen, schließen Richtlinien, die den Schlüssel aws:SourceOrgID enthalten, automatisch die richtigen Konten ein und Sie müssen die Richtlinien nicht manuell aktualisieren.

• Verfügbarkeit – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn der Anruf an Ihre Ressource direkt von einem AWS -Service-Prinzipal im Namen einer Ressource erfolgt, die einem Konto gehört, das Mitglied einer Organisation ist. Der aufrufende Service übergibt den ARN der ursprünglichen Ressource an den aufgerufenen Service.

  

  Die folgenden Service-Integrationen unterstützen diesen globalen Bedingungsschlüssel nicht:

  Aufrufender Service (Service-Prinzipal)	Aufgerufener Service (ressourcenbasierte Richtlinie)	Beschreibung
  logdelivery.elb.amazonaws.com	Amazon S3-Bucket	Aktivieren Sie die Elastic-Load-Balancing-Zugriffsprotokollierung im Amazon-S3-Bucket
  logdelivery.elasticloadbalancing.amazonaws.com	Amazon S3-Bucket	Aktivieren Sie die Elastic-Load-Balancing-Zugriffsprotokollierung im Amazon-S3-Bucket
  Alle Service-Prinzipale	Amazon-Lex-Bot	Erlauben AWS-Services der Verwendung von Amazon Lex-Bot

  Anmerkung

  Nicht alle Service-Integrationen mit AWS Security Token Service (AWS STS) und AWS Key Management Service (AWS KMS) werden unterstützt. Weitere Informationen finden Sie in der Dokumentation des aufrufenden Service. Die Verwendung von aws:SourceOrgID in KMS-Schlüsselrichtlinien für Schlüssel, die von AWS-Services über KMS-Schlüsselgewährungen verwendet werden, kann zu unerwartetem Verhalten führen.

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

Sie können diesen Bedingungsschlüssel verwenden, um zu verhindern, dass ein - AWS Service bei Transaktionen zwischen Services als verwirrter Stellvertreter verwendet wird. Verwenden Sie diesen Schlüssel nur in ressourcenbasierten Richtlinien, bei denen ein - AWS-Service Prinzipal Principal ist. Legen Sie den Wert dieses Bedingungsschlüssels auf die Organisations-ID der Ressource in der Anforderung fest. Wenn beispielsweise eine Aktualisierung eines Amazon-S3-Buckets eine Amazon-SNS-Themenveröffentlichung auslöst, ruft der Amazon-S3-Service den sns:Publish-API-Vorgang auf. Setzen Sie in der Themenrichtlinie, die den Vorgang sns:Publish erlaubt, den Wert des Bedingungsschlüssels auf die Organisations-ID des Amazon-S3-Buckets. Informationen darüber, wie und wann dieser Bedingungsschlüssel empfohlen wird, finden Sie in der Dokumentation zu den AWS Services, die Sie verwenden.

aws:UserAgent

Verwenden Sie diesen Schlüssel, um die Client-Anwendung des Anforderers mit der Anwendung zu vergleichen, die Sie in der Richtlinie angeben.

• Verfügbarkeit – Dieser Schlüssel ist immer im Anforderungskontext enthalten.

• Datentyp – Zeichenfolge

• Werttyp - Einzelwertig

Warnung

Dieser Schlüssel sollte mit Vorsicht verwendet werden. Da der Wert aws:UserAgent vom Aufrufer in einem HTTP-Header bereitgestellt wird, können nicht autorisierte Parteien modifizierte oder benutzerdefinierte Browser verwenden, um beliebige aws:UserAgent-Werte bereitzustellen. Daher aws:UserAgent sollte nicht verwendet werden, um Unbefugte daran zu hindern, direkte AWS Anfragen zu stellen. Sie können es verwenden, um nur bestimmte Client-Anwendungen zuzulassen, und zwar erst nach dem Testen Ihrer Richtlinie.

Andere dienstübergreifende Bedingungsschlüssel

AWS STS unterstützt SAML-basierte Verbundbedingungsschlüssel und serviceübergreifende Bedingungsschlüssel für OIDC-Verbund . Diese Schlüssel sind verfügbar, wenn ein Benutzer, der mit SAML verbunden war, AWS Operationen in anderen -Services ausführt.