Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
IAM-JSON-Richtlinienelemente: Bedingungsoperatoren
Verwenden Sie Bedingungsoperatoren im Condition
-Element, um den Bedingungsschlüssel und -wert in der Richtlinie mit den Werten im Anforderungskontext abzugleichen. Weitere Informationen zum Condition
-Element finden Sie unter IAM-JSON-Richtlinienelemente: Condition.
Der Bedingungsoperator, den Sie in einer Richtlinie verwenden können, hängt vom ausgewählten Bedingungsschlüssel ab. Sie können einen globalen Bedingungsschlüssel oder einen servicespezifischen Bedingungsschlüssel auswählen. Informationen dazu, welchen Bedingungsoperator Sie für einen globalen Bedingungsschlüssel verwenden können, finden Sie unter AWS Kontextschlüssel für globale Bedingungen. Informationen dazu, welchen Bedingungsoperator Sie für einen servicespezifischen Bedingungsschlüssel verwenden können, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für - AWS Services und wählen Sie den Service aus, den Sie anzeigen möchten.
Wichtig
Wenn der Schlüssel, den Sie in einer Richtlinienbedingung angeben, im Anforderungskontext nicht vorhanden ist, stimmen die Werte nicht überein und die Bedingung ist falsch. Wenn die Richtlinienbedingung erfordert, dass der Schlüssel nicht abgestimmt ist, wie StringNotLike
oder ArnNotLike
, und der richtige Schlüssel ist nicht vorhanden, ist die Bedingung wahr. Diese Logik gilt für alle Bedingungsoperatoren außer ...IfExists und Nullprüfung . Diese Operatoren testen, ob der Schlüssel im Anforderungskontext vorhanden ist (existiert).
Die Bedingungsoperatoren können in folgende Kategorien gruppiert werden:
-
Amazon Ressourcenname (ARN) (nur für bestimmte Services verfügbar.)
-
...IfExists (überprüft, ob der Schlüsselwert im Rahmen einer anderen Prüfung vorhanden ist)
-
Null-Prüfung (überprüft als eigenständige Prüfung, ob der Schlüsselwert vorhanden ist)
Bedingungsoperatoren für Zeichenfolgen
Mit String-Bedingungsoperatoren können Sie Condition
-Elemente erstellen, die den Zugriff basierend auf einen Vergleich eines Schlüssels mit einem Zeichenfolgewert einschränken.
Bedingungsoperator | Beschreibung |
---|---|
|
Exakte Übereinstimmung, Unterscheidung von Groß- und Kleinschreibung |
|
Negierte Übereinstimmung |
|
Exakte Übereinstimmung, keine Unterscheidung von Groß- und Kleinschreibung |
|
Negierte Übereinstimmung, keine Unterscheidung von Groß- und Kleinschreibung |
|
Übereinstimmung mit Unterscheidung von Groß- und Kleinschreibung Die Werte können einen Mehrzeichen-Übereinstimmungs-Platzhalter (*) oder einen Einzelzeichen-Übereinstimmungs-Platzhalter (?) an einer beliebigen Stelle in der Zeichenfolge enthalten. Sie müssen Platzhalter angeben, um teilweise Zeichenfolgenübereinstimmungen zu erzielen. AnmerkungWenn ein Schlüssel mehrere Werte enthält, kann |
|
Negierte Übereinstimmung mit Unterscheidung von Groß- und Kleinschreibung Die Werte können einen Mehrzeichen-Übereinstimmungs-Platzhalter (*) oder einen Einzelzeichen-Übereinstimmungs-Platzhalter (?) an einer beliebigen Stelle in der Zeichenfolge enthalten. |
Zum Beispiel enthält die folgende Anweisung ein Condition
-Element, das den aws:PrincipalTag
-Schlüssel verwendet, um anzugeben, dass der anfordernde Prinzipal mit der iamuser-admin
-Aufgabenkategorie getaggt sein muss.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "iam:*AccessKey*", "Resource": "arn:aws:iam::
account-id
:user/*", "Condition": {"StringEquals": {"aws:PrincipalTag/job-category": "iamuser-admin"}} } }
Wenn der Schlüssel, den Sie in einer Richtlinienbedingung angeben, im Anforderungskontext nicht vorhanden ist, stimmen die Werte nicht überein. In diesem Beispiel ist der Schlüssel aws:PrincipalTag/job-category
im Anforderungskontext vorhanden, wenn der Auftraggeber einen IAM-Benutzer mit angehängten Tags verwendet. Er ist auch für einen Auftraggeber enthalten, der eine IAM-Rolle mit angehängten Tags oder Sitzungstags verwendet. Wenn ein Benutzer ohne das Tag versucht, einen Zugriffsschlüssel anzuzeigen oder zu bearbeiten, gibt die Bedingung false
zurück und die Anforderung wird durch diese Anweisung implizit abgelehnt.
Sie können eine Richtlinienvariable mit dem String
Bedingungsoperator verwenden.
Im folgenden Beispiel wird der StringLike
-Bedingungsoperator verwendet, um einen String-Abgleich mit einer Richtlinienvariablen durchzuführen, um eine Richtlinie zu erstellen, die es einem IAM-Benutzer ermöglicht, die Amazon S3-Konsole zu verwenden, um sein eigenes "Heimatverzeichnis" in einem Amazon S3-Bucket zu verwalten. Die Richtlinie lässt die angegebenen Aktionen für ein S3-Bucket zu, solange s3:prefix
einem angegebenen Muster entspricht.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::
BUCKET-NAME
", "Condition": {"StringLike": {"s3:prefix": [ "", "home/", "home/${aws:username}/" ]}} }, { "Effect": "Allow", "Action": "s3:*", "Resource": [ "arn:aws:s3:::BUCKET-NAME
/home/${aws:username}", "arn:aws:s3:::BUCKET-NAME
/home/${aws:username}/*" ] } ] }
Ein Beispiel für eine Richtlinie, die zeigt, wie Sie das -Condition
Element verwenden, um den Zugriff auf Ressourcen basierend auf einer Anwendungs-ID und einer Benutzer-ID für den OIDC-Verbund einzuschränken, finden Sie unter Amazon S3: Ermöglicht Amazon Cognito-Benutzern den Zugriff auf Objekte in ihrem Bucket.
Platzhalterabgleich
Operatoren für Zeichenfolgenbedingungen führen einen musterlosen Abgleich durch, der kein vordefiniertes Format erzwingt. Die Bedingungsoperatoren ARN und Datum sind eine Teilmenge von Zeichenfolgenoperatoren, die eine Struktur für den Bedingungsschlüsselwert erzwingen. Wenn Sie - StringLike oder StringNotLike -Operatoren für teilweise Zeichenfolgenübereinstimmungen eines ARN oder Datums verwenden, ignoriert der Abgleich, welcher Teil der Struktur mit einem Platzhalter versehen ist.
Die folgenden Bedingungen suchen beispielsweise mithilfe verschiedener Bedingungsoperatoren nach einer teilweisen Übereinstimmung eines ARN.
Wenn verwendet ArnLike wird, müssen die Teile Partition, Service, Konto-ID, Ressourcentyp und partielle Ressourcen-ID des ARN genau mit dem ARN im Anforderungskontext übereinstimmen. Nur die Region und der Ressourcenpfad lassen einen teilweisen Abgleich zu.
"Condition": {"ArnLike": {"aws:SourceArn": "arn:aws:cloudtrail:*:111122223333:trail/*"}}
Wenn anstelle von verwendet StringLike wird ArnLike, ignoriert der Abgleich die ARN-Struktur und ermöglicht einen teilweisen Abgleich, unabhängig von dem Teil, der mit einem Platzhalter versehen wurde.
"Condition": {"StringLike": {"aws:SourceArn": "arn:aws:cloudtrail:*:111122223333:trail/*"}}
ARN | ArnLike | StringLike |
---|---|---|
arn:aws:cloudtrail:us-west-2:111122223333:trail/finance |
Match |
Match |
arn:aws:cloudtrail:us-east-2:111122223333:trail/finance/archive |
Match |
Match |
arn:aws:cloudtrail:us-east-2:444455556666:user/111122223333:trail/finance |
Keine Übereinstimmung |
Match |
Numerische Bedingungsoperatoren
Mit numerischen Bedingungsoperatoren können Sie Condition
-Elemente erstellen, die den Zugriff basierend auf einen Vergleich eines Schlüssels mit einem Ganzzahl- oder Dezimalzahlwert einschränken.
Bedingungsoperator | Beschreibung |
---|---|
|
Übereinstimmung |
|
Negierte Übereinstimmung |
|
Übereinstimmung "Kleiner als" |
|
Übereinstimmung "Kleiner als oder gleich" |
|
Übereinstimmung "Größer als" |
|
Übereinstimmung "Größer als oder gleich" |
Die folgende Anweisung enthält beispielsweise ein Condition
-Element, das den Bedingungsoperator NumericLessThanEquals
mit dem Schlüssel s3:max-keys
enthält, um anzugeben, dass der Anforderer bis zu 10 Objekte gleichzeitig im example_bucket
aufnehmen kann.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::example_bucket", "Condition": {"NumericLessThanEquals": {"s3:max-keys": "10"}} } }
Wenn der Schlüssel, den Sie in einer Richtlinienbedingung angeben, im Anforderungskontext nicht vorhanden ist, stimmen die Werte nicht überein. In diesem Beispiel ist der s3:max-keys
-Schlüssel immer in der Anforderung vorhanden, wenn Sie die Operation ListBucket
ausführen. Wenn diese Richtlinie alle Amazon S3-Operationen zulässt, sind nur die Operationen zulässig, die den max-keys
-Kontextschlüssel mit einem Wert von kleiner oder gleich 10 enthalten.
Sie können eine Richtlinienvariable mit dem Numeric
Bedingungsoperator verwenden.
Bedingungsoperatoren für Datum
Mit Date-Bedingungsoperatoren können Sie Condition
-Elemente erstellen, die den Zugriff basierend auf einen Vergleich eines Schlüssels mit einem Datums-/Uhrzeitwert einschränken. Diese Bedingungsoperatoren werden mit dem Schlüssel aws:CurrentTime
oder aws:EpochTime
verwendet. Sie müssen die Datums-/Uhrzeitwerte unter Beachtung der W3C-Implementierungen der Datumsformate gemäß ISO 8601
Anmerkung
Platzhalter für die Date-Bedingungsoperatoren sind unzulässig.
Bedingungsoperator | Beschreibung |
---|---|
|
Übereinstimmung mit einem bestimmten Datum |
|
Negierte Übereinstimmung |
|
Übereinstimmung vor einem bestimmten Datum und einer bestimmten Uhrzeit |
|
Übereinstimmung an oder vor einem bestimmten Datum und oder einer bestimmten Uhrzeit |
|
Übereinstimmung nach einem bestimmten Datum und einer bestimmten Uhrzeit |
|
Übereinstimmung an oder nach einem bestimmten Datum und einer bestimmten Uhrzeit |
Beispielsweise enthält die folgende Anweisung ein Condition
-Element, das den Bedingungsoperator DateGreaterThan
mit dem aws:TokenIssueTime
-Schlüssel verwendet. Diese Bedingung gibt an, dass die temporären Sicherheitsanmeldeinformationen, die für die Anforderung verwendet wurden, im Jahr 2020 ausgegeben wurden. Diese Richtlinie kann täglich programmgesteuert aktualisiert werden, um sicherzustellen, dass Kontomitglieder neue Anmeldeinformationen verwenden.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "iam:*AccessKey*", "Resource": "arn:aws:iam::
account-id
:user/*", "Condition": {"DateGreaterThan": {"aws:TokenIssueTime": "2020-01-01T00:00:01Z"}} } }
Wenn der Schlüssel, den Sie in einer Richtlinienbedingung angeben, im Anforderungskontext nicht vorhanden ist, stimmen die Werte nicht überein. Der aws:TokenIssueTime
-Schlüssel ist im Anforderungskontext nur dann vorhanden, wenn der Auftraggeber temporäre Anmeldeinformationen für die Anforderung verwendet. Der Schlüssel ist nicht in AWS CLI-, AWS API- oder AWS SDK-Anforderungen vorhanden, die mit Zugriffsschlüsseln gestellt werden. Wenn in diesem Beispiel ein IAM-Benutzer versucht, einen Zugriffsschlüssel anzuzeigen oder zu bearbeiten, wird die Anforderung verweigert.
Sie können eine Richtlinienvariable mit dem Date
Bedingungsoperator verwenden.
Boolesche Bedingungsoperatoren
Mit booleschen Bedingungsoperatoren können Sie Condition
-Elemente erstellen, die den Zugriff basierend auf einen Vergleich eines Schlüssels mit "true" oder "false" einschränken.
Bedingungsoperator | Beschreibung |
---|---|
|
Boolesche Übereinstimmung |
Zum Beispiel verwendet diese identitätsbasierte Richtlinie den Bedingungsoperator Bool
mit dem Schlüssel aws:SecureTransport
, um die Replikation von Objekten und Objekt-Tags in den Ziel-Bucket und dessen Inhalt zu verweigern, wenn die Anforderung nicht über SSL erfolgt.
Wichtig
Diese Richtlinie lässt keine Aktionen zu. Verwenden Sie diese Richtlinie in Kombination mit anderen Richtlinien, die bestimmte Aktionen zulassen.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BooleanExample", "Action": "s3:ReplicateObject", "Effect": "Deny", "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET", "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" ], "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ] }
Wenn der Schlüssel, den Sie in einer Richtlinienbedingung angeben, im Anforderungskontext nicht vorhanden ist, stimmen die Werte nicht überein. Der aws:SecureTransport
-Anforderungskontext gibt „true“ oder „false“ zurück.
Sie können eine Richtlinienvariable mit dem Boolean
Bedingungsoperator verwenden.
Binäre Bedingungsoperatoren
Mit dem Bedingungsoperator BinaryEquals
können Sie Condition
-Elemente zum Prüfen von binären Schlüsselwerten erstellen. Er vergleicht den Wert des angegebenen Schlüssel Byte für Byte mit einer base-64
"Condition" : { "BinaryEquals": { "
key
" : "QmluYXJ5VmFsdWVJbkJhc2U2NA==" } }
Wenn der Schlüssel, den Sie in einer Richtlinienbedingung angeben, im Anforderungskontext nicht vorhanden ist, stimmen die Werte nicht überein.
Sie können eine Richtlinienvariable mit dem Binary
Bedingungsoperator verwenden.
Bedingungsoperatoren für IP-Adressen
Mit Bedingungsoperatoren für IP-Adressen können Sie Condition
-Elemente erstellen, die den Zugriff anhand des Vergleichs eines Schlüssels mit einer IPv4- oder IPv6-Adresse bzw. einen IP-Adressbereich einschränken. Verwenden Sie sie mit dem Schlüssel aws:SourceIp
. Der Wert muss im CIDR-Standardformat ausgedrückt werden (z. B. 203.0.113.0/24 oder 2001:DB8:1234:5678::/64). Wenn Sie eine IP-Adresse ohne das zugehörige Routing-Präfix zuweisen, verwendet IAM den Standard-Präfixwert /32
.
Einige AWS Services unterstützen IPv6 und verwenden ::, um einen Bereich von 0s darzustellen. Um zu erfahren, ob ein Service IPv6 unterstützt, finden Sie in der Dokumentation des jeweiligen Service.
Bedingungsoperator | Beschreibung |
---|---|
|
Die angegebene IP-Adresse oder der angegebene IP-Bereich |
|
Alle IP-Adressen mit Ausnahme der angegebenen IP-Adresse oder des angegebenen IP-Bereichs. |
In der folgenden Anweisung wird beispielsweise der Bedingungsoperator IpAddress
mit dem Schlüssel aws:SourceIp
verwendet, um anzugeben, dass die Anforderung von einer IP-Adresse zwischen 203.0.113.0 und 203.0.113.255 kommen muss.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "iam:*AccessKey*", "Resource": "arn:aws:iam::
account-id
:user/*", "Condition": {"IpAddress": {"aws:SourceIp": "203.0.113.0/24"}} } }
Der Bedingungsschlüssel aws:SourceIp
wird auf die IP-Adresse aufgelöst, von der die Anforderung kommt. Wenn die Anforderungen aus einer Amazon EC2-Instance kommen, gibt aws:SourceIp
die öffentliche IP-Adresse der Instance zurück.
Wenn der Schlüssel, den Sie in einer Richtlinienbedingung angeben, im Anforderungskontext nicht vorhanden ist, stimmen die Werte nicht überein. Der aws:SourceIp
-Schlüssel ist immer im Anforderungskontext vorhanden, außer wenn der Anforderer einen VPC-Endpunkt für die Anforderung verwendet. In diesem Fall gibt die Bedingung false
zurück und die Anforderung wird durch diese Anweisung implizit abgelehnt.
Sie können eine Richtlinienvariable mit dem IpAddress
Bedingungsoperator verwenden.
Im folgenden Beispiel wird dargestellt, wie Sie IPv4- und IPv6-Adressen verwenden können, um alle gültigen IP-Adressen in Ihrer Organisation abzudecken. Wir empfehlen, dass Sie die Richtlinien Ihrer Organisation zusätzlich zu den bereits vorhandenen IPv4-Adressbereichen um Ihre IPv6-Adressbereiche aktualisieren, um die Funktion Ihrer Richtlinien während der Umstellung auf IPv6 sicherzustellen.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "
someservice
:*", "Resource": "*", "Condition": { "IpAddress": { "aws:SourceIp": [ "203.0.113.0/24", "2001:DB8:1234:5678::/64" ] } } } }
Der Bedingungsschlüssel aws:SourceIp
funktioniert in einer JSON-Richtlinie nur, wenn Sie die geprüfte API direkt als Benutzer aufrufen. Wenn Sie stattdessen einen Service verwenden, um den Zielservice in Ihrem Namen aufzurufen, erkennt der Zielservice die IP-Adresse des aufrufenden Services und nicht die IP-Adresse des verursachenden Benutzers. Dies kann beispielsweise passieren, wenn Sie mit Amazon EC2 aufrufen AWS CloudFormation , um Instances für Sie zu erstellen. Derzeit gibt es keine Möglichkeit, die ursprüngliche IP-Adresse über einen Aufrufservice an den Zielservice zur Bewertung in einer JSON-Richtlinie zu übermitteln. Verwenden Sie für diese Art von Service-API-Aufrufen nicht den Bedingungsschlüssel aws:SourceIp
.
Bedingungsoperatoren für Amazon-Ressourcennamen (ARN)
Mit den Bedingungsoperatoren für Amazon-Ressourcennamen (ARN) können Sie Condition
-Elemente erstellen, die den Zugriff basierend auf einen Vergleich eines Schlüssels mit einem ARN einschränken. Der ARN wird als Zeichenfolge interpretiert.
Bedingungsoperator | Beschreibung |
---|---|
|
Übereinstimmung mit Unterscheidung von Groß- und Kleinschreibung des ARN Jede der sechs durch Doppelpunkt getrennten Komponenten der ARN wird separat überprüft und alle Komponenten können Mehrzeichen-Übereinstimmungs-Platzhalter (*) oder einen Einzelzeichen-Übereinstimmungs-Platzhalter (?) enthalten. Die |
|
Negierte Übereinstimmung von ARN Die |
Sie können eine Richtlinienvariable mit dem ARN
Bedingungsoperator verwenden.
Das folgende ressourcenbasierte Richtlinienbeispiel zeigt eine Richtlinie, die einer Amazon SQS-Warteschlange zugeordnet ist, an die Sie SNS-Nachrichten senden möchten. Es gibt Amazon SNS die Erlaubnis, Nachrichten an die Warteschlange (oder Warteschlangen) Ihrer Wahl zu senden, aber nur, wenn der Service die Nachrichten im Namen eines bestimmten Amazon SNS-Themas (oder Themen) sendet. Geben Sie die Warteschlange im Feld Resource
und das Amazon SNS-Thema als Wert für den Schlüssel SourceArn
an.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"AWS": "
123456789012
"}, "Action": "SQS:SendMessage", "Resource": "arn:aws:sqs:REGION
:123456789012
:QUEUE-ID
", "Condition": {"ArnEquals": {"aws:SourceArn": "arn:aws:sns:REGION
:123456789012
:TOPIC-ID
"}} } }
Wenn der Schlüssel, den Sie in einer Richtlinienbedingung angeben, im Anforderungskontext nicht vorhanden ist, stimmen die Werte nicht überein. Der aws:SourceArn
-Schlüssel ist im Anforderungskontext nur dann vorhanden, wenn eine Ressource einen Service auslöst, um einen anderen Service im Namen des Ressourcenbesitzers aufzurufen. Wenn ein IAM-Benutzer versucht, diesen Vorgang direkt auszuführen, kehrt die Bedingung false
zurück und die Anforderung wird implizit durch diese Anweisung abgelehnt.
...IfExists Bedingungsoperatoren
Sie können IfExists
an das Ende jedes Bedingungsoperatornamens hinzufügen, abgesehen von der Null
-Bedingung wie z. B. StringLikeIfExists
. Damit geben Sie zum Ausdruck: "Wenn der Richtlinienschlüssel im Anforderungskontext vorhanden ist, wird der Schlüssel den Angaben in der Richtlinie entsprechend verarbeitet. Wenn der Schlüssel nicht vorhanden ist, wird das Bedingungselement als "true" ausgewertet. Andere Bedingungselemente in der Anweisung können weiterhin zu einer Nichtübereinstimmung führen, nicht jedoch ein fehlender Schlüssel bei einer Prüfung mit ...IfExists
. Wenn Sie ein "Effect":
"Deny"
-Element mit einem negierten Bedingungsoperator wie StringNotEqualsIfExists
verwenden, wird die Anforderung auch dann abgelehnt, wenn das Tag fehlt.
Beispiel mit IfExists
Viele Bedingungsschlüssel beschreiben einen bestimmten Ressourcentyp und existieren nur beim Zugriff auf diesen Ressourcentyp. Diese Bedingungsschlüssel sind bei anderen Ressourcentypen nicht vorhanden. Dies stellt kein Problem dar, wenn die Richtlinienanweisung nur für einen Ressourcentyp gültig ist. Es gibt jedoch Fälle, bei denen eine einzelne Anweisung auf mehrere Ressourcentypen zutrifft, wenn beispielsweise die Richtlinienanweisung auf Aktionen aus mehreren Services Bezug nimmt oder wenn eine bestimmte Aktion innerhalb eines Services auf mehrere verschiedene Ressourcentypen in demselben Service zugreift. In solchen Fällen kann ein nur für eine Ressource gültiger Bedingungsschlüssel in einer Richtlinienanweisung dazu führen, dass das Element Condition
in der Richtlinienanweisung fehlschlägt, sodass der "Effect"
der Anweisung nicht angewendet wird.
Betrachten Sie beispielsweise das folgende einfache Richtlinienbeispiel:
{
"Version": "2012-10-17",
"Statement": {
"Sid": "THISPOLICYDOESNOTWORK
",
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": "*",
"Condition": {"StringLike": {"ec2:InstanceType": [
"t1.*",
"t2.*",
"m3.*"
]}}
}
}
Der Zweck der vorangegangenen Richtlinie besteht darin, den Benutzer zum Starten einer beliebigen Instance vom Typ t1
, t2
oder m3
zu befähigen. Zum Starten einer Instance ist jedoch auch der Zugriff auf viele Ressourcen zusätzlich zu der Instance selbst erforderlich, wie z. B. Images, Schlüsselpaare, Sicherheitsgruppen usw. Die gesamte Anweisung wird gegen alle Ressourcen geprüft, die zum Starten der Instance erforderlich sind. Diese zusätzlichen Ressourcen verfügen nicht über den Bedingungsschlüssel ec2:InstanceType
, sodass die Prüfung StringLike
fehlschlägt und der Benutzer nicht zum Starten eines beliebigen Instance-Typs befähigt wird.
Um dieses Problem zu beheben, verwenden Sie stattdessen den Bedingungsoperator StringLikeIfExists
. Auf diese Weise findet die Prüfung nur dann statt, wenn der Bedingungsschlüssel existiert. Sie können nachstehende Richtlinie folgendermaßen interpretieren: „Wenn die zu prüfende Ressource den Bedingungsschlüssel „ec2:InstanceType
„ enthält, wird die Aktion nur zugelassen, wenn der Schlüsselwert mit t1.
, t2.
oder m3.
beginnt.“ Wenn die zu prüfende Ressource nicht über diesen Bedingungsschlüssel verfügt, ist dies belanglos." Das Sternchen (*) in den Bedingungsschlüsselwerten wird, wenn es mit dem StringLikeIfExists
-Bedingungsoperator verwendet wird, als Platzhalter interpretiert, um teilweise übereinstimmende Zeichenfolgen zu erzielen. Die Anweisung DescribeActions
enthält die Aktionen, die erforderlich sind, um die Instance in der Konsole anzeigen.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RunInstance", "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "*", "Condition": { "StringLikeIfExists": { "ec2:InstanceType": [ "t1.*", "t2.*", "m3.*" ]}} }, { "Sid": "DescribeActions", "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeVpcs", "ec2:DescribeKeyPairs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }] }
Bedingungsoperator zur Prüfung der Existenz von Bedingungsoperatoren
Verwenden Sie einen Bedingungsoperator Null
, um zu prüfen, ob ein Bedingungsschlüssel zum Zeitpunkt der Autorisierung abwesend ist. Verwenden Sie in der Richtlinienanweisung entweder true
(der Schlüssel ist nicht vorhanden – der Wert beträgt null) oder false
(der Schlüssel ist vorhanden und sein Wert ist ungleich null).
Sie können eine Richtlinienvariable mit dem Null
Bedingungsoperator verwenden.
Beispielsweise können Sie mit diesem Bedingungsoperator bestimmen, ob ein Benutzer seine eigenen oder temporäre Anmeldeinformationen für den Vorgang benutzt. Wenn der Benutzer temporäre Anmeldeinformationen benutzt, ist der Schlüssel aws:TokenIssueTime
vorhanden und hat einen Wert. Das folgende Beispiel zeigt eine Bedingung, die besagt, dass der Benutzer zur Nutzung der Amazon EC2-API keine temporären Anmeldeinformationen verwenden darf (der Schlüssel darf nicht vorhanden sein).
{ "Version": "2012-10-17", "Statement":{ "Action":"ec2:*", "Effect":"Allow", "Resource":"*", "Condition":{"Null":{"aws:TokenIssueTime":"true"}} } }