IAM-JSON-Richtlinienelemente: Bedingungsoperatoren

Verwenden Sie Bedingungsoperatoren im Condition-Element, um den Bedingungsschlüssel und -wert in der Richtlinie mit den Werten im Anforderungskontext abzugleichen. Weitere Informationen zum Condition-Element finden Sie unter IAM-JSON-Richtlinienelemente: Condition.

Der Bedingungsoperator, den Sie in einer Richtlinie verwenden können, hängt vom ausgewählten Bedingungsschlüssel ab. Sie können einen globalen Bedingungsschlüssel oder einen servicespezifischen Bedingungsschlüssel auswählen. Informationen dazu, welchen Bedingungsoperator Sie für einen globalen Bedingungsschlüssel verwenden können, finden Sie unter AWS Kontextschlüssel für globale Bedingungen. Informationen dazu, welchen Bedingungsoperator Sie für einen servicespezifischen Bedingungsschlüssel verwenden können, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für - AWS Services und wählen Sie den Service aus, den Sie anzeigen möchten.

Wichtig

Wenn der Schlüssel, den Sie in einer Richtlinienbedingung angeben, im Anforderungskontext nicht vorhanden ist, stimmen die Werte nicht überein und die Bedingung ist falsch. Wenn die Richtlinienbedingung erfordert, dass der Schlüssel nicht abgestimmt ist, wie StringNotLike oder ArnNotLike, und der richtige Schlüssel ist nicht vorhanden, ist die Bedingung wahr. Diese Logik gilt für alle Bedingungsoperatoren außer ...IfExists und Nullprüfung . Diese Operatoren testen, ob der Schlüssel im Anforderungskontext vorhanden ist (existiert).

Die Bedingungsoperatoren können in folgende Kategorien gruppiert werden:

• Zeichenfolge

• Numerischer Wert

• Datum und Uhrzeit

• Boolesch

• Binary

• IP-Adresse

• Amazon Ressourcenname (ARN) (nur für bestimmte Services verfügbar.)

• ...IfExists (überprüft, ob der Schlüsselwert im Rahmen einer anderen Prüfung vorhanden ist)

• Null-Prüfung (überprüft als eigenständige Prüfung, ob der Schlüsselwert vorhanden ist)

Bedingungsoperatoren für Zeichenfolgen

Mit String-Bedingungsoperatoren können Sie Condition-Elemente erstellen, die den Zugriff basierend auf einen Vergleich eines Schlüssels mit einem Zeichenfolgewert einschränken.

Bedingungsoperator	Beschreibung
StringEquals	Exakte Übereinstimmung, Unterscheidung von Groß- und Kleinschreibung
StringNotEquals	Negierte Übereinstimmung
StringEqualsIgnoreCase	Exakte Übereinstimmung, keine Unterscheidung von Groß- und Kleinschreibung
StringNotEqualsIgnoreCase	Negierte Übereinstimmung, keine Unterscheidung von Groß- und Kleinschreibung
StringLike	Übereinstimmung mit Unterscheidung von Groß- und Kleinschreibung Die Werte können einen Mehrzeichen-Übereinstimmungs-Platzhalter (*) oder einen Einzelzeichen-Übereinstimmungs-Platzhalter (?) an einer beliebigen Stelle in der Zeichenfolge enthalten. Sie müssen Platzhalter angeben, um teilweise Zeichenfolgenübereinstimmungen zu erzielen. Anmerkung Wenn ein Schlüssel mehrere Werte enthält, kann StringLike mit den Set-Operatoren ForAllValues:StringLike und ForAnyValue:StringLike ausgewertet werden. Weitere Informationen finden Sie unter Mehrwertige Kontextschlüssel.
StringNotLike	Negierte Übereinstimmung mit Unterscheidung von Groß- und Kleinschreibung Die Werte können einen Mehrzeichen-Übereinstimmungs-Platzhalter (*) oder einen Einzelzeichen-Übereinstimmungs-Platzhalter (?) an einer beliebigen Stelle in der Zeichenfolge enthalten.

Zum Beispiel enthält die folgende Anweisung ein Condition-Element, das den aws:PrincipalTag-Schlüssel verwendet, um anzugeben, dass der anfordernde Prinzipal mit der iamuser-admin-Aufgabenkategorie getaggt sein muss.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:*AccessKey*",
    "Resource": "arn:aws:iam::account-id:user/*",
    "Condition": {"StringEquals": {"aws:PrincipalTag/job-category": "iamuser-admin"}}
  }
}

Wenn der Schlüssel, den Sie in einer Richtlinienbedingung angeben, im Anforderungskontext nicht vorhanden ist, stimmen die Werte nicht überein. In diesem Beispiel ist der Schlüssel aws:PrincipalTag/job-category im Anforderungskontext vorhanden, wenn der Auftraggeber einen IAM-Benutzer mit angehängten Tags verwendet. Er ist auch für einen Auftraggeber enthalten, der eine IAM-Rolle mit angehängten Tags oder Sitzungstags verwendet. Wenn ein Benutzer ohne das Tag versucht, einen Zugriffsschlüssel anzuzeigen oder zu bearbeiten, gibt die Bedingung false zurück und die Anforderung wird durch diese Anweisung implizit abgelehnt.

Sie können eine Richtlinienvariable mit dem StringBedingungsoperator verwenden.

Im folgenden Beispiel wird der StringLike-Bedingungsoperator verwendet, um einen String-Abgleich mit einer Richtlinienvariablen durchzuführen, um eine Richtlinie zu erstellen, die es einem IAM-Benutzer ermöglicht, die Amazon S3-Konsole zu verwenden, um sein eigenes "Heimatverzeichnis" in einem Amazon S3-Bucket zu verwalten. Die Richtlinie lässt die angegebenen Aktionen für ein S3-Bucket zu, solange s3:prefix einem angegebenen Muster entspricht.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:ListAllMyBuckets",
        "s3:GetBucketLocation"
      ],
      "Resource": "arn:aws:s3:::*"
    },
    {
      "Effect": "Allow",
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::BUCKET-NAME",
      "Condition": {"StringLike": {"s3:prefix": [
        "",
        "home/",
        "home/${aws:username}/"
      ]}}
    },
    {
      "Effect": "Allow",
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::BUCKET-NAME/home/${aws:username}",
        "arn:aws:s3:::BUCKET-NAME/home/${aws:username}/*"
      ]
    }
  ]
}

Ein Beispiel für eine Richtlinie, die zeigt, wie Sie das -ConditionElement verwenden, um den Zugriff auf Ressourcen basierend auf einer Anwendungs-ID und einer Benutzer-ID für den OIDC-Verbund einzuschränken, finden Sie unter Amazon S3: Ermöglicht Amazon Cognito-Benutzern den Zugriff auf Objekte in ihrem Bucket.

Platzhalterabgleich

Operatoren für Zeichenfolgenbedingungen führen einen musterlosen Abgleich durch, der kein vordefiniertes Format erzwingt. Die Bedingungsoperatoren ARN und Datum sind eine Teilmenge von Zeichenfolgenoperatoren, die eine Struktur für den Bedingungsschlüsselwert erzwingen. Wenn Sie - StringLike oder StringNotLike -Operatoren für teilweise Zeichenfolgenübereinstimmungen eines ARN oder Datums verwenden, ignoriert der Abgleich, welcher Teil der Struktur mit einem Platzhalter versehen ist.

Die folgenden Bedingungen suchen beispielsweise mithilfe verschiedener Bedingungsoperatoren nach einer teilweisen Übereinstimmung eines ARN.

Wenn verwendet ArnLike wird, müssen die Teile Partition, Service, Konto-ID, Ressourcentyp und partielle Ressourcen-ID des ARN genau mit dem ARN im Anforderungskontext übereinstimmen. Nur die Region und der Ressourcenpfad lassen einen teilweisen Abgleich zu.

"Condition": {"ArnLike": {"aws:SourceArn": "arn:aws:cloudtrail:*:111122223333:trail/*"}}

Wenn anstelle von verwendet StringLike wird ArnLike, ignoriert der Abgleich die ARN-Struktur und ermöglicht einen teilweisen Abgleich, unabhängig von dem Teil, der mit einem Platzhalter versehen wurde.

"Condition": {"StringLike": {"aws:SourceArn": "arn:aws:cloudtrail:*:111122223333:trail/*"}}

ARN	ArnLike	StringLike
arn:aws:cloudtrail:us-west-2:111122223333:trail/finance	Match	Match
arn:aws:cloudtrail:us-east-2:111122223333:trail/finance/archive	Match	Match
arn:aws:cloudtrail:us-east-2:444455556666:user/111122223333:trail/finance	Keine Übereinstimmung	Match

Numerische Bedingungsoperatoren

Mit numerischen Bedingungsoperatoren können Sie Condition-Elemente erstellen, die den Zugriff basierend auf einen Vergleich eines Schlüssels mit einem Ganzzahl- oder Dezimalzahlwert einschränken.

Bedingungsoperator	Beschreibung
NumericEquals	Übereinstimmung
NumericNotEquals	Negierte Übereinstimmung
NumericLessThan	Übereinstimmung "Kleiner als"
NumericLessThanEquals	Übereinstimmung "Kleiner als oder gleich"
NumericGreaterThan	Übereinstimmung "Größer als"
NumericGreaterThanEquals	Übereinstimmung "Größer als oder gleich"

Die folgende Anweisung enthält beispielsweise ein Condition-Element, das den Bedingungsoperator NumericLessThanEquals mit dem Schlüssel s3:max-keys enthält, um anzugeben, dass der Anforderer bis zu 10 Objekte gleichzeitig im example_bucket aufnehmen kann.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "s3:ListBucket",
    "Resource": "arn:aws:s3:::example_bucket",
    "Condition": {"NumericLessThanEquals": {"s3:max-keys": "10"}}
  }
}

Wenn der Schlüssel, den Sie in einer Richtlinienbedingung angeben, im Anforderungskontext nicht vorhanden ist, stimmen die Werte nicht überein. In diesem Beispiel ist der s3:max-keys-Schlüssel immer in der Anforderung vorhanden, wenn Sie die Operation ListBucket ausführen. Wenn diese Richtlinie alle Amazon S3-Operationen zulässt, sind nur die Operationen zulässig, die den max-keys-Kontextschlüssel mit einem Wert von kleiner oder gleich 10 enthalten.

Sie können eine Richtlinienvariable mit dem NumericBedingungsoperator verwenden.

Bedingungsoperatoren für Datum

Mit Date-Bedingungsoperatoren können Sie Condition-Elemente erstellen, die den Zugriff basierend auf einen Vergleich eines Schlüssels mit einem Datums-/Uhrzeitwert einschränken. Diese Bedingungsoperatoren werden mit dem Schlüssel aws:CurrentTime oder aws:EpochTime verwendet. Sie müssen die Datums-/Uhrzeitwerte unter Beachtung der W3C-Implementierungen der Datumsformate gemäß ISO 8601 oder in Epoch-Zeit (UNIX) angeben.

Anmerkung

Platzhalter für die Date-Bedingungsoperatoren sind unzulässig.

Bedingungsoperator	Beschreibung
DateEquals	Übereinstimmung mit einem bestimmten Datum
DateNotEquals	Negierte Übereinstimmung
DateLessThan	Übereinstimmung vor einem bestimmten Datum und einer bestimmten Uhrzeit
DateLessThanEquals	Übereinstimmung an oder vor einem bestimmten Datum und oder einer bestimmten Uhrzeit
DateGreaterThan	Übereinstimmung nach einem bestimmten Datum und einer bestimmten Uhrzeit
DateGreaterThanEquals	Übereinstimmung an oder nach einem bestimmten Datum und einer bestimmten Uhrzeit

Beispielsweise enthält die folgende Anweisung ein Condition-Element, das den Bedingungsoperator DateGreaterThan mit dem aws:TokenIssueTime-Schlüssel verwendet. Diese Bedingung gibt an, dass die temporären Sicherheitsanmeldeinformationen, die für die Anforderung verwendet wurden, im Jahr 2020 ausgegeben wurden. Diese Richtlinie kann täglich programmgesteuert aktualisiert werden, um sicherzustellen, dass Kontomitglieder neue Anmeldeinformationen verwenden.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:*AccessKey*",
    "Resource": "arn:aws:iam::account-id:user/*",
    "Condition": {"DateGreaterThan": {"aws:TokenIssueTime": "2020-01-01T00:00:01Z"}}
  }
}

Wenn der Schlüssel, den Sie in einer Richtlinienbedingung angeben, im Anforderungskontext nicht vorhanden ist, stimmen die Werte nicht überein. Der aws:TokenIssueTime-Schlüssel ist im Anforderungskontext nur dann vorhanden, wenn der Auftraggeber temporäre Anmeldeinformationen für die Anforderung verwendet. Der Schlüssel ist nicht in AWS CLI-, AWS API- oder AWS SDK-Anforderungen vorhanden, die mit Zugriffsschlüsseln gestellt werden. Wenn in diesem Beispiel ein IAM-Benutzer versucht, einen Zugriffsschlüssel anzuzeigen oder zu bearbeiten, wird die Anforderung verweigert.

Sie können eine Richtlinienvariable mit dem DateBedingungsoperator verwenden.

Boolesche Bedingungsoperatoren

Mit booleschen Bedingungsoperatoren können Sie Condition-Elemente erstellen, die den Zugriff basierend auf einen Vergleich eines Schlüssels mit "true" oder "false" einschränken.

Bedingungsoperator	Beschreibung
Bool	Boolesche Übereinstimmung

Zum Beispiel verwendet diese identitätsbasierte Richtlinie den Bedingungsoperator Bool mit dem Schlüssel aws:SecureTransport, um die Replikation von Objekten und Objekt-Tags in den Ziel-Bucket und dessen Inhalt zu verweigern, wenn die Anforderung nicht über SSL erfolgt.

Wichtig

Diese Richtlinie lässt keine Aktionen zu. Verwenden Sie diese Richtlinie in Kombination mit anderen Richtlinien, die bestimmte Aktionen zulassen.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "BooleanExample",
      "Action": "s3:ReplicateObject",
      "Effect": "Deny",
      "Resource": [
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
      ],
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      }
    }
  ]
}

Wenn der Schlüssel, den Sie in einer Richtlinienbedingung angeben, im Anforderungskontext nicht vorhanden ist, stimmen die Werte nicht überein. Der aws:SecureTransport-Anforderungskontext gibt „true“ oder „false“ zurück.

Sie können eine Richtlinienvariable mit dem BooleanBedingungsoperator verwenden.

Binäre Bedingungsoperatoren

Mit dem Bedingungsoperator BinaryEquals können Sie Condition-Elemente zum Prüfen von binären Schlüsselwerten erstellen. Er vergleicht den Wert des angegebenen Schlüssel Byte für Byte mit einer base-64-kodierten Darstellung des Binärwertes in der Richtlinie.

"Condition" : {
  "BinaryEquals": {
    "key" : "QmluYXJ5VmFsdWVJbkJhc2U2NA=="
  }
}     

Wenn der Schlüssel, den Sie in einer Richtlinienbedingung angeben, im Anforderungskontext nicht vorhanden ist, stimmen die Werte nicht überein.

Sie können eine Richtlinienvariable mit dem BinaryBedingungsoperator verwenden.

Bedingungsoperatoren für IP-Adressen

Mit Bedingungsoperatoren für IP-Adressen können Sie Condition-Elemente erstellen, die den Zugriff anhand des Vergleichs eines Schlüssels mit einer IPv4- oder IPv6-Adresse bzw. einen IP-Adressbereich einschränken. Verwenden Sie sie mit dem Schlüssel aws:SourceIp. Der Wert muss im CIDR-Standardformat ausgedrückt werden (z. B. 203.0.113.0/24 oder 2001:DB8:1234:5678::/64). Wenn Sie eine IP-Adresse ohne das zugehörige Routing-Präfix zuweisen, verwendet IAM den Standard-Präfixwert /32.

Einige AWS Services unterstützen IPv6 und verwenden ::, um einen Bereich von 0s darzustellen. Um zu erfahren, ob ein Service IPv6 unterstützt, finden Sie in der Dokumentation des jeweiligen Service.

Bedingungsoperator	Beschreibung
IpAddress	Die angegebene IP-Adresse oder der angegebene IP-Bereich
NotIpAddress	Alle IP-Adressen mit Ausnahme der angegebenen IP-Adresse oder des angegebenen IP-Bereichs.

In der folgenden Anweisung wird beispielsweise der Bedingungsoperator IpAddress mit dem Schlüssel aws:SourceIp verwendet, um anzugeben, dass die Anforderung von einer IP-Adresse zwischen 203.0.113.0 und 203.0.113.255 kommen muss.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:*AccessKey*",
    "Resource": "arn:aws:iam::account-id:user/*",
    "Condition": {"IpAddress": {"aws:SourceIp": "203.0.113.0/24"}}
  }
}

Der Bedingungsschlüssel aws:SourceIp wird auf die IP-Adresse aufgelöst, von der die Anforderung kommt. Wenn die Anforderungen aus einer Amazon EC2-Instance kommen, gibt aws:SourceIp die öffentliche IP-Adresse der Instance zurück.

Wenn der Schlüssel, den Sie in einer Richtlinienbedingung angeben, im Anforderungskontext nicht vorhanden ist, stimmen die Werte nicht überein. Der aws:SourceIp-Schlüssel ist immer im Anforderungskontext vorhanden, außer wenn der Anforderer einen VPC-Endpunkt für die Anforderung verwendet. In diesem Fall gibt die Bedingung false zurück und die Anforderung wird durch diese Anweisung implizit abgelehnt.

Sie können eine Richtlinienvariable mit dem IpAddressBedingungsoperator verwenden.

Im folgenden Beispiel wird dargestellt, wie Sie IPv4- und IPv6-Adressen verwenden können, um alle gültigen IP-Adressen in Ihrer Organisation abzudecken. Wir empfehlen, dass Sie die Richtlinien Ihrer Organisation zusätzlich zu den bereits vorhandenen IPv4-Adressbereichen um Ihre IPv6-Adressbereiche aktualisieren, um die Funktion Ihrer Richtlinien während der Umstellung auf IPv6 sicherzustellen.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "someservice:*",
    "Resource": "*",
    "Condition": {
      "IpAddress": {
        "aws:SourceIp": [
          "203.0.113.0/24",
          "2001:DB8:1234:5678::/64"
        ]
      }
    }
  }
}

Der Bedingungsschlüssel aws:SourceIp funktioniert in einer JSON-Richtlinie nur, wenn Sie die geprüfte API direkt als Benutzer aufrufen. Wenn Sie stattdessen einen Service verwenden, um den Zielservice in Ihrem Namen aufzurufen, erkennt der Zielservice die IP-Adresse des aufrufenden Services und nicht die IP-Adresse des verursachenden Benutzers. Dies kann beispielsweise passieren, wenn Sie mit Amazon EC2 aufrufen AWS CloudFormation , um Instances für Sie zu erstellen. Derzeit gibt es keine Möglichkeit, die ursprüngliche IP-Adresse über einen Aufrufservice an den Zielservice zur Bewertung in einer JSON-Richtlinie zu übermitteln. Verwenden Sie für diese Art von Service-API-Aufrufen nicht den Bedingungsschlüssel aws:SourceIp.

Bedingungsoperatoren für Amazon-Ressourcennamen (ARN)

Mit den Bedingungsoperatoren für Amazon-Ressourcennamen (ARN) können Sie Condition-Elemente erstellen, die den Zugriff basierend auf einen Vergleich eines Schlüssels mit einem ARN einschränken. Der ARN wird als Zeichenfolge interpretiert.

Bedingungsoperator	Beschreibung
ArnEquals, ArnLike	Übereinstimmung mit Unterscheidung von Groß- und Kleinschreibung des ARN Jede der sechs durch Doppelpunkt getrennten Komponenten der ARN wird separat überprüft und alle Komponenten können Mehrzeichen-Übereinstimmungs-Platzhalter (*) oder einen Einzelzeichen-Übereinstimmungs-Platzhalter (?) enthalten. Die ArnEquals- und ArnLike-Bedingungsoperatoren verhalten sich identisch.
ArnNotEquals, ArnNotLike	Negierte Übereinstimmung von ARN DieArnNotEquals- undArnNotLike-Bedingungsoperatoren verhalten sich identisch.

Sie können eine Richtlinienvariable mit dem ARNBedingungsoperator verwenden.

Das folgende ressourcenbasierte Richtlinienbeispiel zeigt eine Richtlinie, die einer Amazon SQS-Warteschlange zugeordnet ist, an die Sie SNS-Nachrichten senden möchten. Es gibt Amazon SNS die Erlaubnis, Nachrichten an die Warteschlange (oder Warteschlangen) Ihrer Wahl zu senden, aber nur, wenn der Service die Nachrichten im Namen eines bestimmten Amazon SNS-Themas (oder Themen) sendet. Geben Sie die Warteschlange im Feld Resource und das Amazon SNS-Thema als Wert für den Schlüssel SourceArn an.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Principal": {"AWS": "123456789012"},
    "Action": "SQS:SendMessage",
    "Resource": "arn:aws:sqs:REGION:123456789012:QUEUE-ID",
    "Condition": {"ArnEquals": {"aws:SourceArn": "arn:aws:sns:REGION:123456789012:TOPIC-ID"}}
  }
}

Wenn der Schlüssel, den Sie in einer Richtlinienbedingung angeben, im Anforderungskontext nicht vorhanden ist, stimmen die Werte nicht überein. Der aws:SourceArn-Schlüssel ist im Anforderungskontext nur dann vorhanden, wenn eine Ressource einen Service auslöst, um einen anderen Service im Namen des Ressourcenbesitzers aufzurufen. Wenn ein IAM-Benutzer versucht, diesen Vorgang direkt auszuführen, kehrt die Bedingung false zurück und die Anforderung wird implizit durch diese Anweisung abgelehnt.

...IfExists Bedingungsoperatoren

Sie können IfExists an das Ende jedes Bedingungsoperatornamens hinzufügen, abgesehen von der Null-Bedingung wie z. B. StringLikeIfExists. Damit geben Sie zum Ausdruck: "Wenn der Richtlinienschlüssel im Anforderungskontext vorhanden ist, wird der Schlüssel den Angaben in der Richtlinie entsprechend verarbeitet. Wenn der Schlüssel nicht vorhanden ist, wird das Bedingungselement als "true" ausgewertet. Andere Bedingungselemente in der Anweisung können weiterhin zu einer Nichtübereinstimmung führen, nicht jedoch ein fehlender Schlüssel bei einer Prüfung mit ...IfExists. Wenn Sie ein "Effect": "Deny"-Element mit einem negierten Bedingungsoperator wie StringNotEqualsIfExists verwenden, wird die Anforderung auch dann abgelehnt, wenn das Tag fehlt.

Beispiel mit IfExists

Viele Bedingungsschlüssel beschreiben einen bestimmten Ressourcentyp und existieren nur beim Zugriff auf diesen Ressourcentyp. Diese Bedingungsschlüssel sind bei anderen Ressourcentypen nicht vorhanden. Dies stellt kein Problem dar, wenn die Richtlinienanweisung nur für einen Ressourcentyp gültig ist. Es gibt jedoch Fälle, bei denen eine einzelne Anweisung auf mehrere Ressourcentypen zutrifft, wenn beispielsweise die Richtlinienanweisung auf Aktionen aus mehreren Services Bezug nimmt oder wenn eine bestimmte Aktion innerhalb eines Services auf mehrere verschiedene Ressourcentypen in demselben Service zugreift. In solchen Fällen kann ein nur für eine Ressource gültiger Bedingungsschlüssel in einer Richtlinienanweisung dazu führen, dass das Element Condition in der Richtlinienanweisung fehlschlägt, sodass der "Effect" der Anweisung nicht angewendet wird.

Betrachten Sie beispielsweise das folgende einfache Richtlinienbeispiel:

{
  "Version": "2012-10-17",
  "Statement": {
    "Sid": "THISPOLICYDOESNOTWORK",
    "Effect": "Allow",
    "Action": "ec2:RunInstances",
    "Resource": "*",
    "Condition": {"StringLike": {"ec2:InstanceType": [
      "t1.*",
      "t2.*",
      "m3.*"
    ]}}
  }
}

Der Zweck der vorangegangenen Richtlinie besteht darin, den Benutzer zum Starten einer beliebigen Instance vom Typ t1, t2 oder m3 zu befähigen. Zum Starten einer Instance ist jedoch auch der Zugriff auf viele Ressourcen zusätzlich zu der Instance selbst erforderlich, wie z. B. Images, Schlüsselpaare, Sicherheitsgruppen usw. Die gesamte Anweisung wird gegen alle Ressourcen geprüft, die zum Starten der Instance erforderlich sind. Diese zusätzlichen Ressourcen verfügen nicht über den Bedingungsschlüssel ec2:InstanceType, sodass die Prüfung StringLike fehlschlägt und der Benutzer nicht zum Starten eines beliebigen Instance-Typs befähigt wird.

Um dieses Problem zu beheben, verwenden Sie stattdessen den Bedingungsoperator StringLikeIfExists. Auf diese Weise findet die Prüfung nur dann statt, wenn der Bedingungsschlüssel existiert. Sie können nachstehende Richtlinie folgendermaßen interpretieren: „Wenn die zu prüfende Ressource den Bedingungsschlüssel „ec2:InstanceType„ enthält, wird die Aktion nur zugelassen, wenn der Schlüsselwert mit t1., t2. oder m3. beginnt.“ Wenn die zu prüfende Ressource nicht über diesen Bedingungsschlüssel verfügt, ist dies belanglos." Das Sternchen (*) in den Bedingungsschlüsselwerten wird, wenn es mit dem StringLikeIfExists-Bedingungsoperator verwendet wird, als Platzhalter interpretiert, um teilweise übereinstimmende Zeichenfolgen zu erzielen. Die Anweisung DescribeActions enthält die Aktionen, die erforderlich sind, um die Instance in der Konsole anzeigen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RunInstance",
            "Effect": "Allow",
            "Action": "ec2:RunInstances",
            "Resource": "*",
            "Condition": {
                "StringLikeIfExists": {
                    "ec2:InstanceType": [
                        "t1.*",
                        "t2.*",
                        "m3.*"
             ]}}
        },
        {
            "Sid": "DescribeActions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "ec2:DescribeInstances",
                "ec2:DescribeVpcs",
                "ec2:DescribeKeyPairs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        }]
}

Bedingungsoperator zur Prüfung der Existenz von Bedingungsoperatoren

Verwenden Sie einen Bedingungsoperator Null, um zu prüfen, ob ein Bedingungsschlüssel zum Zeitpunkt der Autorisierung abwesend ist. Verwenden Sie in der Richtlinienanweisung entweder true (der Schlüssel ist nicht vorhanden – der Wert beträgt null) oder false (der Schlüssel ist vorhanden und sein Wert ist ungleich null).

Sie können eine Richtlinienvariable mit dem NullBedingungsoperator verwenden.

Beispielsweise können Sie mit diesem Bedingungsoperator bestimmen, ob ein Benutzer seine eigenen oder temporäre Anmeldeinformationen für den Vorgang benutzt. Wenn der Benutzer temporäre Anmeldeinformationen benutzt, ist der Schlüssel aws:TokenIssueTime vorhanden und hat einen Wert. Das folgende Beispiel zeigt eine Bedingung, die besagt, dass der Benutzer zur Nutzung der Amazon EC2-API keine temporären Anmeldeinformationen verwenden darf (der Schlüssel darf nicht vorhanden sein).

{
  "Version": "2012-10-17",
  "Statement":{
      "Action":"ec2:*",
      "Effect":"Allow",
      "Resource":"*",
      "Condition":{"Null":{"aws:TokenIssueTime":"true"}}
  }
}