Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
IAM- und - AWS STS Bedingungskontextschlüssel
Sie können das -Condition
Element in einer JSON-Richtlinie verwenden, um den Wert von Schlüsseln zu testen, die im Anforderungskontext aller AWS Anforderungen enthalten sind. Diese Schlüssel enthalten Informationen zu der Anforderung selbst oder zu den Ressourcen, die die Anforderung referenziert. Sie können die Schlüssel auf bestimmte Werte überprüfen, bevor Sie die angeforderte Aktion zulassen. So können Sie genau steuern, wann Ihre JSON-Richtlinienanweisungen mit einer eingehenden Anforderung übereinstimmen. Weitere Informationen zur Verwendung des Elements Condition
in JSON-Richtlinien finden Sie unter IAM-JSON-Richtlinienelemente: Condition.
In diesem Thema werden die Schlüssel beschrieben, die vom IAM-Service (mit einem -iam:
Präfix) und dem AWS Security Token Service (AWS STS)-Service (mit einem sts:
-Präfix) definiert und bereitgestellt werden. Mehrere andere - AWS Services stellen auch servicespezifische Schlüssel bereit, die für die von diesem Service definierten Aktionen und Ressourcen relevant sind. Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für - AWS Services. Weitere Informationen zu den unterstützten Bedingungsschlüsseln können Sie meist der Dokumentation des jeweiligen Service entnehmen. Weitere Informationen zu Schlüsseln, die Sie in Richtlinien für Amazon-S3-Ressourcen verwenden können, finden Sie beispielsweise unter Amazon-S3-Richtlinienschlüssel im Benutzerhandbuch für Amazon Simple Storage Service.
Themen
Verfügbare Schlüssel für IAM
Sie können die folgenden Bedingungsschlüssel in Richtlinien verwenden, die zur Zugriffssteuerung auf IAM-Ressourcen genutzt werden:
- iam:AssociatedResourceArn
-
Funktioniert mit ARN-Operatoren.
Gibt den ARN der Ressource an, der diese Rolle beim Zielservice zugeordnet wird. Die Ressource gehört normalerweise zu dem Service, an den der Auftraggeber die Rolle übergibt. Manchmal kann die Ressource zu einem dritten Service gehören. Sie können beispielsweise eine Rolle an Amazon EC2 Auto Scaling übergeben, die sie auf einer Amazon EC2-Instance verwenden. In diesem Fall würde die Bedingung mit dem ARN der Amazon EC2-Instance übereinstimmen.
Dieser Bedingungsschlüssel gilt nur für die PassRole Aktion in einer Richtlinie. Er kann nicht verwendet werden, um eine andere Aktion zu beschränken.
Verwenden Sie diesen Bedingungsschlüssel in einer Richtlinie, um einer Entität das Übergeben einer Rolle zu ermöglichen, jedoch nur, wenn diese Rolle der angegebenen Ressource zugeordnet ist. Sie können Platzhalter (*) verwenden, um Vorgänge zu ermöglichen, die für einen bestimmten Ressourcentyp ausgeführt werden, ohne die Regions- oder Ressourcen-ID einzuschränken. Beispielsweise können Sie einem IAM-Benutzer
us-east-1
oder einer entsprechenden Rolle erlauben, eine beliebige Rolle an den Amazon EC2-Service zu übergeben, die mit Instances in der Region oderus-west-1
verwendet werden soll. Der IAM-Benutzer oder die IAM-Rolle wäre nicht berechtigt, Rollen an andere Services zu übergeben. Darüber hinaus ermöglicht Amazon EC2 nicht, die Rolle mit Instances in anderen Regionen zu verwenden.{ "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": {"iam:PassedToService": "ec2.amazonaws.com"}, "ArnLike": { "iam:AssociatedResourceARN": [ "arn:aws:ec2:us-east-1:111122223333:instance/*", "arn:aws:ec2:us-west-1:111122223333:instance/*" ] } } }
Anmerkung
AWS -Services, die iam unterstützen:PassedToService unterstützen auch diesen Bedingungsschlüssel.
- iam:AWSServiceName
-
Funktioniert mit Zeichenfolgenoperatoren.
Gibt den AWS Service an, an den diese Rolle angefügt ist.
In diesem Beispiel erlauben Sie einer Entität das Erstellen einer serviceverknüpften Rolle, wenn der Servicename access-analyzer.amazonaws.com. lautet.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "access-analyzer.amazonaws.com" } } }] }
- iam:FIDO-certification
-
Funktioniert mit Zeichenfolgenoperatoren.
Überprüft die FIDO-Zertifizierungsstufe des MFA-Geräts zum Zeitpunkt der Registrierung eines FIDO-Sicherheitsschlüssels. Die Gerätezertifizierung wird vom FIDO Alliance Metadata Service (MDS)
abgerufen. Wenn sich der Zertifizierungsstatus oder die Stufe Ihres FIDO-Sicherheitsschlüssels ändert, wird dieser nicht aktualisiert, es sei denn, das Gerät wird deregistriert und erneut registriert, um die aktualisierten Zertifizierungsinformationen abzurufen. Mögliche Werte von L1, L1plus, L2, L2plus, L3, L3plus
In diesem Beispiel registrieren Sie einen Sicherheitsschlüssel und erhalten die FIDO Level 1 Plus-Zertifizierung für Ihr Gerät.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-certification": "L1plus" } } } ] }
- iam:FIDO-FIPS-140-2-certification
-
Funktioniert mit Zeichenfolgenoperatoren.
Überprüft die FIPS-140-2-Validierungszertifizierungsstufe des MFA-Geräts zum Zeitpunkt der Registrierung eines FIDO-Sicherheitsschlüssels. Die Gerätezertifizierung wird vom FIDO Alliance Metadata Service (MDS)
abgerufen. Wenn sich der Zertifizierungsstatus oder die Stufe Ihres FIDO-Sicherheitsschlüssels ändert, wird dieser nicht aktualisiert, es sei denn, das Gerät wird deregistriert und erneut registriert, um die aktualisierten Zertifizierungsinformationen abzurufen. Mögliche Werte von L1, L2, L3, L4
In diesem Beispiel registrieren Sie einen Sicherheitsschlüssel und erhalten die Zertifizierung FIPS-140-2 Level 2 für Ihr Gerät.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2" } } } ] }
- iam:FIDO-FIPS-140-3-certification
-
Funktioniert mit Zeichenfolgenoperatoren.
Überprüft die FIPS-140-3-Validierungszertifizierungsstufe des MFA-Geräts zum Zeitpunkt der Registrierung eines FIDO-Sicherheitsschlüssels. Die Gerätezertifizierung wird vom FIDO Alliance Metadata Service (MDS)
abgerufen. Wenn sich der Zertifizierungsstatus oder die Stufe Ihres FIDO-Sicherheitsschlüssels ändert, wird dieser nicht aktualisiert, es sei denn, das Gerät wird deregistriert und erneut registriert, um die aktualisierten Zertifizierungsinformationen abzurufen. Mögliche Werte von L1, L2, L3, L4
In diesem Beispiel registrieren Sie einen Sicherheitsschlüssel und erhalten die Zertifizierung FIPS-140-3 Level 3 für Ihr Gerät.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-3-certification": "L3" } } } ] }
- iam:RegisterSecurityKey
-
Funktioniert mit Zeichenfolgenoperatoren.
Prüft den aktuellen Status der MFA-Geräteaktivierung.
Mögliche Werte von
Create
oderActivate
.In diesem Beispiel registrieren Sie einen Sicherheitsschlüssel und erhalten die Zertifizierung FIPS-140-3 Level 1 für Ihr Gerät.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-3-certification": "L1" } } } ] }
- iam:OrganizationsPolicyId
-
Funktioniert mit Zeichenfolgenoperatoren.
Prüft, ob die Richtlinie mit der angegebenen AWS Organizations ID mit der in der Anforderung verwendeten Richtlinie übereinstimmt. Informationen zum Anzeigen einer IAM-Beispielrichtlinie, die diesen Bedingungsschlüssel verwendet, finden Sie unter IAM: Anzeigen von Informationen zum letzten Zugriff auf einen Service für eine Organizations-Richtlinie.
- iam:PassedToService
-
Funktioniert mit Zeichenfolgenoperatoren.
Gibt den ServiceAuftraggeber des Services an, an den eine Rolle übergeben werden kann. Dieser Bedingungsschlüssel gilt nur für die PassRole Aktion in einer Richtlinie. Er kann nicht verwendet werden, um eine andere Aktion zu beschränken.
Wenn Sie diesen Bedingungsschlüssel in einer Richtlinie verwenden, geben Sie den Service über einen Dienstauftraggeber an. Ein ServiceAuftraggeber ist der Name eines Services, der im Element
Principal
einer Richtlinie angegeben werden kann. Standardformat:SERVICE_NAME_URL.amazonaws.com
.Sie können
iam:PassedToService
verwenden, um die Benutzer einzuschränken, damit sie Rollen nur an bestimmte Services übergeben können. Beispielsweise kann ein Benutzer eine Servicerolle erstellen, die darauf vertraut CloudWatch , Protokolldaten in seinem Namen in einen Amazon S3-Bucket zu schreiben. Der Benutzer muss dann eine Berechtigungsrichtlinie und eine Vertrauensrichtlinie an die neue Servicerolle anfügen. In diesem Fall muss die Vertrauensrichtliniecloudwatch.amazonaws.com
im ElementPrincipal
angeben. Informationen zum Anzeigen einer Richtlinie, die es dem Benutzer ermöglicht, die Rolle an zu übergeben CloudWatch, finden Sie unter IAM: Übergeben einer IAM-Rolle an einen bestimmten AWS-Service.Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass Benutzer Servicerollen nur für die von Ihnen angegebenen Services erstellen. Wenn beispielsweise ein Benutzer mit der vorherigen Richtlinie versucht, eine Servicerolle für Amazon EC2 zu erstellen, schlägt der Vorgang fehl. Der Fehlschlag tritt auf, weil der Benutzer nicht über die Berechtigung verfügt, die Rolle an Amazon EC2 zu übergeben.
Manchmal übergeben Sie eine Rolle an einen Service, der die Rolle dann an einen anderen Service übergibt.
iam:PassedToService
enthält nur den endgültigen Dienst, der die Rolle übernimmt, nicht den Zwischendienst, der die Rolle übergibt.Anmerkung
Einige Services unterstützen diesen Bedingungsschlüssel nicht.
- iam:PermissionsBoundary
-
Funktioniert mit ARN-Operatoren.
Überprüft, ob die angegebene Richtlinie als Berechtigungsgrenze an die IAM-Auftraggeber-Ressource angefügt. Weitere Informationen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten
- iam:PolicyARN
-
Funktioniert mit ARN-Operatoren.
Prüft den Amazon-Ressourcennamen (ARN) einer verwalteten Richtlinie in Anforderungen mit Beteiligung einer verwalteten Richtlinie. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Richtlinien.
- iam:ResourceTag/
key-name
-
Funktioniert mit Zeichenfolgenoperatoren.
Überprüft, ob das an die Identitätsressource (Benutzer oder Rolle) angefügte Tag mit dem angegebenen Schlüsselnamen und Wert übereinstimmt.
Anmerkung
IAM und AWS STS unterstützen sowohl den
iam:ResourceTag
IAM-Bedingungsschlüssel als auch denaws:ResourceTag
globalen Bedingungsschlüssel.Sie können IAM-Ressourcen benutzerdefinierte Attribute in Form eines Schlüssel-Wert-Paares hinzufügen. Weitere Informationen zum Markieren von IAM-Ressourcen finden Sie unter Markieren von IAM-Ressourcen. Sie können
ResourceTag
verwenden, um den Zugriff auf AWS -Ressourcen, einschließlich IAM-Ressourcen, zu steuern. IAM unterstützt jedoch keine Tags für Gruppen. Daher können Sie Tags nicht verwenden, um den Zugriff auf Gruppen zu steuern.Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen könnten, die das Löschen von Benutzern mit dem
status=terminated
-Tag erlaubt. Um diese Richtlinie zu verwenden, ersetzen Sie denkursiv gedruckten Platzhaltertext
in der Beispielrichtlinie durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter Erstellen einer Richtlinie oder Bearbeiten einer Richtlinie.{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:DeleteUser", "Resource": "*", "Condition": {"StringEquals": {"iam:ResourceTag/
status
": "terminated
"}} }] }
Verfügbare Schlüssel für den AWS OIDC-Verbund
Sie können den OIDC-Verbund verwenden, um Benutzern, die über einen OpenID Connect-konformen OpenID Provider (OP) authentifiziert wurden, temporäre Sicherheitsanmeldeinformationen an einen IAM OpenID Connect (OIDC)-Identitätsanbieter in Ihrem AWS Konto zu geben. Beispiele für solche Anbieter sind Login with Amazon, Amazon Cognito, Google oder Facebook. Identitätstoken (id_tokens) aus Ihrem eigenen OpenID-OP können ebenso verwendet werden wie ID-Token, die an Servicekonten von Clustern von Amazon Elastic Kubernetes Service ausgegeben wurden. In diesem Fall sind zusätzliche Bedingungsschlüssel verfügbar, wenn für die Anforderung temporäre Sicherheitsanmeldeinformationen verwendet werden. Sie können diese Schlüssel verwenden, um Richtlinien zu schreiben, die sicherstellen, dass Verbundbenutzer nur auf Ressourcen von bestimmten Anbietern, Apps oder Benutzern Zugriff erhalten. Diese Schlüssel werden in der Regel in der Vertrauensrichtlinie für eine Rolle verwendet. Definieren Sie Bedingungsschlüssel, indem Sie den Namen des OIDC-Anbieters verwenden, gefolgt von der Forderung (:aud
, :azp
, :amr
, :sub
). Für Rollen, die von Amazon Cognito verwendet werden, werden Schlüssel definiert mit cognito-identity.amazonaws.com
, gefolgt von der Forderung.
- amr
-
Funktioniert mit Zeichenfolgenoperatoren.
Beispiel:
cognito-identity.amazonaws.com:amr
Wenn Sie Amazon Cognito für den OIDC-Verbund verwenden, enthält der
cognito-identity.amazonaws.com:amr
Schlüssel (Referenz zu Authentifizierungsmethoden) Anmeldeinformationen über den Benutzer. Der Schlüssel enthält mehrere Werte, d. h. Sie überprüfen ihn in einer Richtlinie mithilfe von Bedingungsmengenoperatoren. Der Schlüssel kann die folgenden Werte enthalten:-
Wenn der Benutzer nicht authentifiziert wurde, enthält der Schlüssel nur
unauthenticated
. -
Wenn der Benutzer authentifiziert wurde, enthält der Schlüssel den Wert
authenticated
sowie den Namen des Identitätsanbieters, der in dem Aufruf verwendet wurde (graph.facebook.com
,accounts.google.com
oderwww.amazon.com
).
Mithilfe der folgenden Bedingung in der Vertrauensrichtlinie für eine Amazon Cognito-Rolle wird beispielsweise überprüft, ob ein Benutzer authentifiziert ist:
"Condition": { "StringEquals": { "cognito-identity.amazonaws.com:aud": "us-east-2:
identity-pool-id
" }, "ForAnyValue:StringLike": { "cognito-identity.amazonaws.com:amr": "unauthenticated" } } -
- aud
-
Funktioniert mit Zeichenfolgenoperatoren.
Verwenden Sie den
aud
-Bedingungsschlüssel, um zu überprüfen, ob die Google-Client-ID oder die Amazon Cognito Identitätspool-ID mit der in der Richtlinie angegebenen übereinstimmt. Sie können denaud
-Schlüssel mit demsub
-Schlüssel für denselben Identitätsanbieter verwenden.Beispiele:
-
graph.facebook.com:app_id
-
accounts.google.com:aud
-
cognito-identity.amazonaws.com:aud
Das Feld
graph.facebook.com:app_id
stellt den Zielgruppenkontext bereit, der dem Feld „aud“ entspricht, das von anderen Identitätsanbietern verwendet wird.Der
accounts.google.com:aud
-Bedingungsschlüssel stimmt mit den folgenden Google-ID-Token-Feldern überein.-
aud
for OAuth 2.0-Google-Client-IDs Ihrer Anwendung, wenn das Feldazp
nicht festgelegt ist. Wenn dasazp
-Feld festgelegt ist, stimmt dasaud
-Feld mit dem Bedingungsschlüssel accounts.google.com:oaud überein. -
azp
, wenn das Feldazp
festgelegt ist. Dies kann bei hybriden Anwendungen passieren, bei denen eine Webanwendung und eine Android-Anwendung eine unterschiedliche OAuth 2.0 Google-Client-ID haben, aber dasselbe Google-APIs-Projekt verwenden.
Weitere Informationen zu den Google-Feldern
aud
undazp
finden Sie im Google Identity Platform OpenID Connect-Leitfaden. Wenn Sie eine Richtlinie mit dem
accounts.google.com:aud
-Bedingungsschlüssel schreiben, müssen Sie wissen, ob die Anwendung eine Hybridanwendung ist, die das Feldazp
festlegt.azp
-Feld nicht festgelegtDie folgende Beispielrichtlinie funktioniert für nicht-hybride Anwendungen, die das Feld
azp
nicht festlegen. In diesem Fall stimmt der Wert des Google-ID-Tokenaud
-Felds mit demaccounts.google.com:aud
- und demaccounts.google.com:oaud
-Bedingungsschlüsselwert überein.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"Federated": "accounts.google.com"}, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "accounts.google.com:aud": "aud-value", "accounts.google.com:oaud": "aud-value", "accounts.google.com:sub": "sub-value" } } } ] }
azp
-Feld festgelegtDie folgende Beispielrichtlinie funktioniert für hybride Anwendungen, die das Feld
azp
festlegen. In diesem Fall stimmt der Wert des Google-ID-Tokenaud
-Felds nur mit dem Wert des Bedingungsschlüsselsaccounts.google.com:oaud
überein. Der Wert des Feldesazp
entspricht dem Wert desaccounts.google.com:aud
-Bedingungsschlüssels.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"Federated": "accounts.google.com"}, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "accounts.google.com:aud": "azp-value", "accounts.google.com:oaud": "aud-value", "accounts.google.com:sub": "sub-value" } } } ] }
-
- id
-
Funktioniert mit Zeichenfolgenoperatoren.
Beispiele:
-
graph.facebook.com:id
-
www.amazon.com:app_id
-
www.amazon.com:user_id
Verwenden Sie diese Schlüssel, um zu überprüfen, ob die ID der Anwendung (oder Website) oder die Benutzer-ID mit der übereinstimmt, die Sie in der Richtlinie angeben. Dies funktioniert für Facebook oder Login with Amazon. Sie können den
app_id
-Schlüssel mit demid
-Schlüssel für denselben Identitätsanbieter verwenden. -
- oaud
-
Funktioniert mit Zeichenfolgenoperatoren.
Beispiel:
accounts.google.com:oaud
Wenn Sie Google für den OIDC-Verbund verwenden, gibt dieser Schlüssel die Google-Zielgruppe (
aud
) an, für die dieses ID-Token vorgesehen ist. Es muss eine der OAuth 2.0-Client-IDs Ihrer Anwendung sein. - sub
-
Funktioniert mit Zeichenfolgenoperatoren.
Beispiele:
-
accounts.google.com:sub
-
cognito-identity.amazonaws.com:sub
Verwenden Sie diese Schlüssel, um zu überprüfen, ob die Benutzer-ID mit der ID übereinstimmt, die Sie in der Richtlinie angeben. Sie können den
sub
-Schlüssel mit demaud
-Schlüssel für denselben Identitätsanbieter verwenden.{ "Version": "2012-10-17", "Statement": [ "Condition": { "StringEquals": { "oidc.eks.us-east-1.amazonaws.com/id/111122223333:aud": "sts.amazonaws.com", "oidc.eks.us-east-1.amazonaws.com/id/111122223333:sub": "system:serviceaccount:default:assumer" } } ] }
-
- Weitere Informationen zum OIDC-Verbund
-
Weitere Informationen zum OIDC-Verbund finden Sie hier:
Serviceübergreifende AWS OIDC-Verbundkontextschlüssel
Einige OIDC-Verbundbedingungsschlüssel können in Rollenvertrauensrichtlinien verwendet werden, um zu definieren, auf welche Benutzer in anderen AWS Services zugreifen dürfen. Dies sind die folgenden Bedingungsschlüssel, die in Rollenvertrauensrichtlinien verwendet werden können, wenn Verbundprinzipale eine andere Rolle übernehmen, und in Ressourcenrichtlinien von anderen - AWS Services, um den Ressourcenzugriff durch Verbundprinzipale zu autorisieren. Wenn Sie Amazon Cognito für den OIDC-Verbund verwenden, sind diese Schlüssel verfügbar, wenn der Benutzer authentifiziert wird.
Wählen Sie einen Bedingungsschlüssel aus, um die Beschreibung zu sehen.
Anmerkung
Nach der Authentifizierung und Autorisierung des externen Identitätsanbieters (IdP) für den ersten AssumeRoleWithWebIdentity Vorgang stehen keine anderen Bedingungsschlüssel für den Web-Identitätsverbund zur Verfügung.
Verfügbare Schlüssel für SAML-basierten AWS STS -Verbund
Wenn Sie mit dem SAML-basierten Verbund unter Verwendung von AWS Security Token Service (AWS STS) arbeiten, können Sie zusätzliche Bedingungsschlüssel in die Richtlinie aufnehmen.
Vertrauensrichtlinien der SAML-Rolle
Sie können in der Vertrauensrichtlinie einer Rolle die folgenden Schlüssel verwenden, um festzustellen, ob der Aufrufer die Rolle übernehmen darf. Abgesehen von saml:doc
werden alle Werte aus der SAML-Zusicherung abgeleitet. Alle Elemente in der Liste sind im visuellen Editor der IAM-Konsole verfügbar, wenn Sie eine Richtlinie mit Bedingungen erstellen oder bearbeiten. Elemente, die mit []
gekennzeichnet sind, können einen Wert enthalten, der eine Liste des angegebenen Typs ist.
- saml:aud
-
Funktioniert mit Zeichenfolgenoperatoren.
Eine Endpunkt-URL, für die SAML-Zusicherungen bereitgestellt werden. Der Wert dieses Schlüssels stammt aus dem Feld
SAML Recipient
der Zusicherung, nicht aus dem FeldAudience
. - saml:commonName[]
-
Funktioniert mit Zeichenfolgenoperatoren.
Dies ist ein
commonName
-Attribut. - saml:cn[]
-
Funktioniert mit Zeichenfolgenoperatoren.
Hierbei handelt es sich um ein
eduOrg
-Attribut. - saml:doc
-
Funktioniert mit Zeichenfolgenoperatoren.
Dieser Schlüssel steht für den Auftraggeber, der zum Übernehmen der Rolle verwendet wurde. Das Format ist
account-ID
/provider-friendly-name
, z. B.123456789012/SAMLProviderName
. Der Wert Konto-ID bezieht sich auf das Konto, zu dem der SAML-Anbieter gehört. - saml:edupersonaffiliation[]
-
Funktioniert mit Zeichenfolgenoperatoren.
Hierbei handelt es sich um ein
eduPerson
-Attribut. - saml:edupersonassurance[]
-
Funktioniert mit Zeichenfolgenoperatoren.
Hierbei handelt es sich um ein
eduPerson
-Attribut. - saml:edupersonentitlement[]
-
Funktioniert mit Zeichenfolgenoperatoren.
Hierbei handelt es sich um ein
eduPerson
-Attribut. - saml:edupersonnickname[]
-
Funktioniert mit Zeichenfolgenoperatoren.
Hierbei handelt es sich um ein
eduPerson
-Attribut. - saml:edupersonorgdn
-
Funktioniert mit Zeichenfolgenoperatoren.
Hierbei handelt es sich um ein
eduPerson
-Attribut. - saml:edupersonorgunitdn[]
-
Funktioniert mit Zeichenfolgenoperatoren.
Hierbei handelt es sich um ein
eduPerson
-Attribut. - saml:edupersonprimaryaffiliation
-
Funktioniert mit Zeichenfolgenoperatoren.
Hierbei handelt es sich um ein
eduPerson
-Attribut. - saml:edupersonprimaryorgunitdn
-
Funktioniert mit Zeichenfolgenoperatoren.
Hierbei handelt es sich um ein
eduPerson
-Attribut. - saml:edupersonprincipalname
-
Funktioniert mit Zeichenfolgenoperatoren.
Hierbei handelt es sich um ein
eduPerson
-Attribut. - saml:edupersonscopedaffiliation[]
-
Funktioniert mit Zeichenfolgenoperatoren.
Hierbei handelt es sich um ein
eduPerson
-Attribut. - saml:edupersontargetedid[]
-
Funktioniert mit Zeichenfolgenoperatoren.
Hierbei handelt es sich um ein
eduPerson
-Attribut. - saml:eduorghomepageuri[]
-
Funktioniert mit Zeichenfolgenoperatoren.
Hierbei handelt es sich um ein
eduOrg
-Attribut. - saml:eduorgidentityauthnpolicyuri[]
-
Funktioniert mit Zeichenfolgenoperatoren.
Hierbei handelt es sich um ein
eduOrg
-Attribut. - saml:eduorglegalname[]
-
Funktioniert mit Zeichenfolgenoperatoren.
Hierbei handelt es sich um ein
eduOrg
-Attribut. - saml:eduorgsuperioruri[]
-
Funktioniert mit Zeichenfolgenoperatoren.
Hierbei handelt es sich um ein
eduOrg
-Attribut. - saml:eduorgwhitepagesuri[]
-
Funktioniert mit Zeichenfolgenoperatoren.
Hierbei handelt es sich um ein
eduOrg
-Attribut. - saml:givenName[]
-
Funktioniert mit Zeichenfolgenoperatoren.
Dies ist ein
givenName
-Attribut. - saml:iss
-
Funktioniert mit Zeichenfolgenoperatoren.
Der Aussteller in Form eines URN
- saml:mail[]
-
Funktioniert mit Zeichenfolgenoperatoren.
Dies ist ein
mail
-Attribut. - saml:name[]
-
Funktioniert mit Zeichenfolgenoperatoren.
Dies ist ein
name
-Attribut. - saml:namequalifier
-
Funktioniert mit Zeichenfolgenoperatoren.
Ein Hash-Wert basierend auf dem Anzeigenamen des SAML-Anbieters. Der Wert ist die Verkettung der folgenden Werte in der an gegebenen Reihenfolge und getrennt durch das Zeichen „/“:
-
Der
Issuer
Antwortwert (saml:iss
) -
Die
AWS
-Konto-ID. -
Der Anzeigename (der letzte Teil des ARN) des SAML-Anbieters in IAM
Die Verkettung der Konto-ID und des Anzeigenamens des SAML-Anbieters steht als der Schlüssel
saml:doc
für IAM-Richtlinien zur Verfügung. Weitere Informationen finden Sie unter Eindeutige Identifizierung von Benutzern im SAML-basierten Verbund. -
- saml:organizationStatus[]
-
Funktioniert mit Zeichenfolgenoperatoren.
Hierbei handelt es sich um ein
organizationStatus
-Attribut. - saml:primaryGroupSID[]
-
Funktioniert mit Zeichenfolgenoperatoren.
Dies ist ein
primaryGroupSID
-Attribut. - saml:sub
-
Funktioniert mit Zeichenfolgenoperatoren.
Dies ist der Betreff des Antrags, der einen Wert enthält, der einen einzelnen Benutzer innerhalb einer Organisation eindeutig identifiziert (zum Beispiel
_cbb88bf52c2510eabe00c1642d4643f41430fe25e3
). - saml:sub_type
-
Funktioniert mit Zeichenfolgenoperatoren.
Dieser Schlüssel kann den Wert
persistent
odertransient
oder die vollständigeFormat
-URI aus den in der SAML-Zusicherung verwendeten ElementenSubject
undNameID
enthalten. Der Wertpersistent
gibt an, dass der Wert insaml:sub
für einen Benutzer für alle Sitzungen identisch ist. Wenn der Werttransient
lautet, hat der Benutzer einen anderensaml:sub
-Wert für jede Sitzung. Weitere Informationen zumNameID
-Attribut desFormat
-Elements finden Sie unter Konfigurieren von SAML-Assertionen für die Authentifizierungsantwort. - saml:surname[]
-
Funktioniert mit Zeichenfolgenoperatoren.
Dies ist ein
surnameuid
-Attribut. - saml:uid[]
-
Funktioniert mit Zeichenfolgenoperatoren.
Dies ist ein
uid
-Attribut. - saml:x500UniqueIdentifier[]
-
Funktioniert mit Zeichenfolgenoperatoren.
Hierbei handelt es sich um ein
x500UniqueIdentifier
-Attribut.
Allgemeine Informationen zu den Attributen eduPerson
und eduOrg
finden Sie auf der Wiki-Website von REFEDSeduPerson
-Attribute finden Sie unter eduPerson Object Class Specification (201602)
Bedingungsschlüssel mit dem Typ "Liste" können mehrere Werte enthalten. Um in einer Richtlinie Bedingungen für Listenwerte zu erstellen, können Sie Mengenoperatoren (ForAllValues
, ForAnyValue
) verwenden. Um beispielsweise jeden Benutzer zuzulassen, dessen Zugehörigkeit „Lehrkörper“ oder „Personal“ (aber nicht „Student“) ist, können Sie eine Bedingung wie die folgende verwenden:
"Condition": { "ForAllValues:StringLike": { "saml:edupersonaffiliation":[ "faculty", "staff"] } }
Serviceübergreifende SAML-basierte AWS STS Verbundkontextschlüssel
Einige SAML-basierte Verbundbedingungsschlüssel können in nachfolgenden Anforderungen verwendet werden, um AWS Operationen in anderen Services und AssumeRole
Aufrufen zu autorisieren. Dies sind die folgenden Bedingungsschlüssel, die in Rollenvertrauensrichtlinien verwendet werden können, wenn Verbundprinzipale eine andere Rolle übernehmen, und in Ressourcenrichtlinien von anderen - AWS Services, um den Ressourcenzugriff durch Verbundprinzipale zu autorisieren. Weitere Informationen über die Verwendung dieser Schlüssel finden Sie unter Informationen zum SAML-2.0-basierten Verbund.
Wählen Sie einen Bedingungsschlüssel aus, um die Beschreibung zu sehen.
Anmerkung
Nach der ersten Authentifizierungsantwort des externen Identitätsanbieters (IDP) stehen keine anderen SAML-basierten Verbundbedingungsschlüssel zur Verfügung.
Verfügbare Schlüssel für AWS STS
Sie können die folgenden Bedingungsschlüssel in IAM-Rollenvertrauensrichtlinien für Rollen verwenden, die mithilfe von AWS Security Token Service (AWS STS)-Operationen angenommen werden.
- saml:sub
-
Funktioniert mit Zeichenfolgenoperatoren.
Dies ist der Betreff des Antrags, der einen Wert enthält, der einen einzelnen Benutzer innerhalb einer Organisation eindeutig identifiziert (zum Beispiel
_cbb88bf52c2510eabe00c1642d4643f41430fe25e3
). - sts:AWSServiceName
-
Funktioniert mit Zeichenfolgenoperatoren.
Verwenden Sie diesen Schlüssel, um einen Service anzugeben, in dem ein Bearertoken verwendet werden kann. Wenn Sie diesen Bedingungsschlüssel in einer Richtlinie verwenden, geben Sie den Service über einen Dienstauftraggeber an. Ein ServiceAuftraggeber ist der Name eines Services, der im Element
Principal
einer Richtlinie angegeben werden kann. Zum Beispielcodeartifact.amazonaws.com
ist der - AWS CodeArtifact Service-Prinzipal.Einige - AWS Services erfordern, dass Sie über die Berechtigung verfügen, ein - AWS STS Service-Bearer-Token zu erhalten, bevor Sie programmgesteuert auf ihre Ressourcen zugreifen können. AWS CodeArtifact erfordert beispielsweise, dass Prinzipale Bearer-Tokens verwenden, um einige Vorgänge auszuführen. Der Befehl
aws codeartifact get-authorization-token
gibt ein Bearertoken zurück. Sie können dann das Bearer-Token verwenden, um - AWS CodeArtifact Operationen auszuführen. Weitere Hinweise zu Bearer-Tokens finden Sie unter Verwenden von Bearertoken.Verfügbarkeit – Dieser Schlüssel ist in Anforderungen vorhanden, die ein Bearer-Token erhalten. Sie können keinen direkten Aufruf an tätigen, AWS STS um ein Bearer-Token zu erhalten. Wenn Sie einige Operationen in anderen Services ausführen, fordert der Service das Bearer-Token in Ihrem Namen an.
Sie können diesen Bedingungsschlüssel verwenden, um es Auftraggeber zu ermöglichen, ein Bearer-Token für die Verwendung mit einem bestimmten Service zu erhalten.
- sts:DurationSeconds
-
Funktioniert mit nummerischen Operatoren.
Verwenden Sie diesen Schlüssel, um die Dauer (in Sekunden) anzugeben, die ein Prinzipal beim Abrufen eines AWS STS Bearer-Tokens verwenden kann.
Einige - AWS Services erfordern, dass Sie über die Berechtigung verfügen, ein - AWS STS Service-Bearer-Token zu erhalten, bevor Sie programmgesteuert auf ihre Ressourcen zugreifen können. AWS CodeArtifact erfordert beispielsweise, dass Prinzipale Bearer-Tokens verwenden, um einige Vorgänge auszuführen. Der Befehl
aws codeartifact get-authorization-token
gibt ein Bearertoken zurück. Sie können dann das Bearer-Token verwenden, um - AWS CodeArtifact Operationen auszuführen. Weitere Hinweise zu Bearer-Tokens finden Sie unter Verwenden von Bearertoken.Verfügbarkeit – Dieser Schlüssel ist in Anforderungen vorhanden, die ein Bearer-Token erhalten. Sie können keinen direkten Aufruf an tätigen, AWS STS um ein Bearer-Token zu erhalten. Wenn Sie einige Operationen in anderen Services ausführen, fordert der Service das Bearer-Token in Ihrem Namen an. Der Schlüssel ist für AWS STS -assume-role-Operationen nicht vorhanden.
- sts:ExternalId
-
Funktioniert mit Zeichenfolgenoperatoren.
Verwenden Sie diesen Schlüssel, um zu verlangen, dass ein Auftraggeber bei der Übernahme einer IAM-Rolle einen bestimmten Bezeichner bereitstellt.
Verfügbarkeit – Dieser Schlüssel ist in der Anforderung vorhanden, wenn der Prinzipal eine externe ID bereitstellt, während er eine Rolle über die - AWS CLI oder - AWS API übernimmt.
Eine eindeutige Kennung, die erforderlich sein kann, wenn Sie eine Rolle in einem anderen Konto übernehmen. Wenn Ihnen der Administrator des Kontos, zu dem die Rolle gehört, eine externe ID zur Verfügung gestellt hat, geben Sie diesen Wert im Parameter
ExternalId
an. Dieser Wert kann eine beliebige Zeichenfolge sein, wie eine Passphrase oder Kontonummer. Die Hauptfunktion des externen Ausweises besteht darin, das Problem des verwirrten Stellvertreters zu lösen und zu verhindern. Weitere Informationen über die externe ID und den "verwirrten Stellvertreter" finden Sie unter Verwenden einer externen ID, um Dritten Zugriff auf Ihre AWS-Ressourcen zu gewähren.Der Wert
ExternalId
muss mindestens 2 Zeichen und darf höchstens 1.224 Zeichen lang sein. Der Wert muss alphanumerisch sein ohne Leerzeichen. Er kann auch die folgenden Zeichen enthalten: Pluszeichen (+), Gleichheitszeichen (=), Komma (,), Punkt (.), At-Zeichen (@), Doppelpunkt (:), Schrägstrich (/) und Bindestrich (-). - sts:RequestContext/context-key
-
Funktioniert mit Zeichenfolgenoperatoren.
Verwenden Sie diesen Schlüssel, um die Schlüssel-Wert-Paare aus dem Sitzungskontext, die in die signierte Kontext-Assertion des vertrauenswürdigen Token-Emittenten eingebettet sind, die in der Anfrage übergeben wurde, mit den in der Rollen-Vertrauensrichtlinie angegebenen Kontext-Schlüsselwerten zu vergleichen.
Verfügbarkeit – Dieser Schlüssel ist in der Anforderung vorhanden, wenn eine Kontext-Assertion im
ProvidedContexts
Anforderungsparameter bereitgestellt wird, während eine Rolle mithilfe der AWS STSAssumeRole
API-Operation übernommen wird.Dieser Kontextschlüssel ist formatiert als
"sts:RequestContext/context-key":"context-value"
, wobeicontext-key
undcontext-value
ein Kontext-Schlüssel-Wert-Paar sind. Wenn mehrere Kontextschlüssel in die in der Anforderung übergebene signierte Kontext-Assertion eingebettet sind, gibt es einen Kontextschlüssel für jedes Schlüssel-Wert-Paar. Sie müssen in der Rollen-Vertrauensrichtlinie die Erlaubnis für diests:SetContext
-Aktion erteilen, damit ein Prinzipal Kontextschlüssel innerhalb des resultierenden Sitzungs-Token festlegen kann.Sie können diesen Schlüssel in einer Rollen-Vertrauensrichtlinie verwenden, um eine detaillierte Zugriffskontrolle zu erzwingen, die auf dem Benutzer oder seinen Attributen basiert, wenn er eine Rolle übernimmt. Sie können Amazon Redshift beispielsweise als IAM-Identity-Center-Anwendung konfigurieren, um im Namen Ihrer Belegschaft oder Verbunds-Identitäten auf Amazon-S3-Ressourcen zuzugreifen.
Die folgende Rollen-Vertrauensrichtlinie erlaubt es dem Amazon-Redshift-Service-Prinzipal, eine Rolle im Konto
111122223333
zu übernehmen. Sie erteilt dem Amazon-Redshift-Service-Prinzipal auch die Berechtigung, Kontextschlüssel in der Anfrage festzulegen, sofern der Wert für den Kontextschlüsselidentitystore:UserId
auf1111-22-3333-44-5555
gesetzt ist. Nachdem die Rolle übernommen wurde, wird die Aktivität in den AWS CloudTrail Protokollen innerhalb des -AdditionalEventData
Elements angezeigt, die die Sitzungskontext-Schlüssel-Wert-Paare enthalten, die vom Kontextanbieter in der Anforderung zur Übernahmerolle festgelegt wurden. Dies erleichtert Administratoren die Unterscheidung zwischen Rollensitzungen, wenn eine Rolle von verschiedenen Auftraggeber verwendet wird. Die Schlüssel-Wert-Paare werden vom angegebenen Kontextanbieter festgelegt, nicht von AWS CloudTrail oder AWS STS. Dadurch hat der Kontextanbieter die Kontrolle darüber, welcher Kontext in den CloudTrail Protokollen und Sitzungsinformationen enthalten ist.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "redshift.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetContext" ], "Condition": { "ForAllValues:ArnEquals": { "sts:RequestContextProviders": [ "arn:aws:iam::aws:contextProvider/IdentityCenter" ] }, "StringEquals": { "aws:SourceAccount": "111122223333", "sts:RequestContext/identitystore:UserId": "1111-22-3333-44-5555" } } } ] }
- sts:RequestContextProviders
-
Funktioniert mit ARN-Operatoren.
Verwenden Sie diesen Schlüssel, um den Kontextanbieter-ARN in der Anfrage mit dem Kontextanbieter-ARN zu vergleichen, der in der Rollen-Vertrauensrichtlinie angegeben ist.
Verfügbarkeit – Dieser Schlüssel ist in der Anforderung vorhanden, wenn eine Kontext-Assertion im
ProvidedContexts
Anforderungsparameter bereitgestellt wird, während eine Rolle mithilfe der AWS STSAssumeRole
-API-Operation übernommen wird.Die folgende Beispielbedingung überprüft, ob der in der Anforderung übergebene Kontextanbieter-ARN mit dem in der Rollen-Vertrauensrichtlinien-Bedingung angegebenen ARN übereinstimmt.
"Condition": { "ForAllValues:ArnEquals": { "sts:RequestContextProviders": [ "arn:aws:iam::aws:contextProvider/IdentityCenter" ] } }
- sts:RoleSessionName
-
Funktioniert mit Zeichenfolgenoperatoren.
Verwenden Sie diesen Schlüssel, um den Sitzungsnamen zu vergleichen, den ein Auftraggeber angibt, wenn er eine Rolle mit dem Wert annimmt, der in der Richtlinie angegeben ist.
Verfügbarkeit – Dieser Schlüssel ist in der Anforderung vorhanden, wenn der Prinzipal die Rolle über die AWS Management Console, einen beliebigen assume-role-CLI-Befehl oder eine beliebige AWS STS
AssumeRole
API-Operation übernimmt.Sie können diesen Schlüssel in einer Rollenvertrauensrichtlinie verwenden, um zu verlangen, dass Ihre Benutzer einen bestimmten Sitzungsnamen angeben, wenn sie eine Rolle übernehmen. Sie können beispielsweise verlangen, dass IAM-Benutzer ihren eigenen Benutzernamen als Sitzungsnamen angeben. Nachdem der IAM-Benutzer die Rolle übernommen hat, wird die Aktivität in AWS CloudTrail -Protokollen mit dem Sitzungsnamen angezeigt, der dem Benutzernamen entspricht. Dies erleichtert Administratoren die Unterscheidung zwischen Rollensitzungen, wenn eine Rolle von verschiedenen Auftraggeber verwendet wird.
Die folgende Rollenvertrauensrichtlinie erfordert, dass IAM-Benutzer im Konto
111122223333
ihren IAM-Benutzernamen als Sitzungsnamen angeben, wenn sie die Rolle übernehmen. Diese Anforderung wird mit der Bedingungsvariablenaws:username
im Bedingungsschlüssel erzwungen. Mit dieser Richtlinie können IAM-Benutzer die Rolle übernehmen, an die die Richtlinie angefügt ist. Diese Richtlinie erlaubt niemandem, der temporäre Anmeldeinformationen verwendet, die Rolle zu übernehmen, da dieusername
-Variable nur für IAM-Benutzer vorhanden ist.Wichtig
Sie können jeden einwertigen Bedingungsschlüssel als Variable verwenden. Sie können einen mehrwertigen Bedingungsschlüssel nicht als Variable verwenden.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RoleTrustPolicyRequireUsernameForSessionName", "Effect": "Allow", "Action": "sts:AssumeRole", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Condition": { "StringLike": {"sts:RoleSessionName": "${aws:username}"} } } ] }
Wenn ein Administrator das AWS CloudTrail Protokoll für eine Aktion anzeigt, kann er den Sitzungsnamen mit den Benutzernamen in seinem Konto vergleichen. Im folgenden Beispiel führte der Benutzer
matjac
den Vorgang mit der Rolle namensMateoRole
. Der Administrator kann sich dann an Mateo Jackson wenden, den der Benutzer alsmatjac
benannt hat."assumedRoleUser": { "assumedRoleId": "AROACQRSTUVWRAOEXAMPLE:
matjac
", "arn": "arn:aws:sts::111122223333:assumed-role/MateoRole
/matjac
" }Wenn Sie kontenübergreifenden Zugriff mithilfe von Rollen zulassen, können Benutzer in einem Konto eine Rolle in einem anderen Konto übernehmen. Der ARN des in CloudTrail aufgeführten übernommenen Rollenbenutzers enthält das Konto, in dem die Rolle vorhanden ist. Darin ist nicht das Konto des Benutzers enthalten, der die Rolle übernommen hat. Benutzer sind nur innerhalb eines Kontos eindeutig. Daher empfehlen wir, diese Methode nur für die Überprüfung von CloudTrail Protokollen für Rollen zu verwenden, die von Benutzern in Konten übernommen werden, die Sie verwalten. Ihre Benutzer verwenden möglicherweise denselben Benutzernamen in mehreren Konten.
- sts:SourceIdentity
-
Funktioniert mit Zeichenfolgenoperatoren.
Verwenden Sie diesen Schlüssel, um den Sitzungsnamen zu vergleichen, den ein Auftraggeber angibt, wenn er eine Rolle mit dem Wert annimmt, der in der Richtlinie angegeben ist.
Verfügbarkeit – Dieser Schlüssel ist in der Anforderung vorhanden, wenn der Prinzipal eine Quellidentität bereitstellt, während er eine Rolle mit einem CLI-Befehl AWS STS assume-role oder AWS STS
AssumeRole
einer API-Operation übernimmt.Sie können diesen Schlüssel in einer Rollenvertrauensrichtlinie verwenden, um zu verlangen, dass Ihre Benutzer eine bestimmte Ursprungsidentität festlegen, wenn sie eine Rolle übernehmen. Beispielsweise können Sie verlangen, dass Ihre Mitarbeiter oder Verbundidentitäten einen Wert für die Quellidentität angeben. Sie können Ihren Identity Provider (IdP) so konfigurieren, dass eines der Attribute verwendet wird, die Ihren Benutzern zugeordnet sind, z. B. ein Benutzername oder eine E-Mail als Quellidentität. Der IdP übergibt dann die Quellidentität als Attribut in den Zusicherungen oder Ansprüchen, die er an sendet AWS. Der Wert des Quellidentitätsattributs identifiziert den Benutzer oder die Anwendung, der die Rolle übernimmt.
Nachdem der Benutzer die Rolle übernommen hat, erscheint die Aktivität in den AWS CloudTrail -Protokollen mit dem eingestellten Wert der Quellidentität. Auf diese Weise können Administratoren leichter feststellen, wer oder was Aktionen mit einer Rolle in ausgeführt hat AWS. Sie müssen für die Aktion
sts:SetSourceIdentity
die Berechtigung erteilen, dass eine Identität eine Quellidentität festlegen kann.Im Gegensatz zu sts:RoleSessionName, nachdem die Quellidentität festgelegt wurde, kann der Wert nicht geändert werden. Es ist im Anforderungskontext für alle Aktionen vorhanden, die mit der Rolle von der Quellidentität durchgeführt werden. Wenn Sie die Sitzungsanmeldeinformationen verwenden, bleibt der Wert in nachfolgenden Rollensitzungen bestehen, um eine andere Rolle anzunehmen. Die Annahme einer Rolle von einer anderen wird als Rollenverkettung bezeichnet.
Sie können den aws:SourceIdentity globalen Bedingungsschlüssel verwenden, um den Zugriff auf AWS Ressourcen basierend auf dem Wert der Quellidentität in nachfolgenden Anforderungen weiter zu steuern.
Die folgende Rollenvertrauensrichtlinie erlaubt dem IAM-Benutzer
AdminUser
, eine Rolle im Konto111122223333
zu übernehmen. Sie erteilt demAdminUser
auch die Erlaubnis, eine Quellidentität zu setzen, solange die gesetzte QuellidentitätDiegoRamirez
ist.{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAdminUserAssumeRole", "Effect": "Allow", "Principal": {"AWS": " arn:aws:iam::111122223333:user/AdminUser"}, "Action": [ "sts:AssumeRole", "sts:SetSourceIdentity" ], "Condition": { "StringEquals": {"sts:SourceIdentity": "DiegoRamirez"} } } ] }
Weitere Informationen zur Verwendung von Quellidentitätsinformationen finden Sie unter Überwachen und Steuern von Aktionen mit übernommenen Rollen.
- sts:TransitiveTagKeys
-
Funktioniert mit Zeichenfolgenoperatoren.
Verwenden Sie diesen Schlüssel, um die transitiven Sitzungstag-Schlüssel in der Anforderung mit den in der Richtlinie angegebenen Schlüsseln zu vergleichen.
Verfügbarkeit – Dieser Schlüssel ist in der Anforderung vorhanden, wenn Sie eine Anforderung mit temporären Sicherheitsanmeldeinformationen stellen. Dazu gehören Anmeldeinformationen, die mit einer beliebigen assume-role-Operation oder der
GetFederationToken
-Operation erstellt wurden.Wenn Sie eine Anforderung mit temporären Sicherheitsanmeldeinformationen erstellen, enthält der Anforderungskontext den
aws:PrincipalTag
-Kontextschlüssel. Dieser Schlüssel enthält eine Liste von Sitzungs-Tags, transitiven Sitzungs-Tags und Rollentags. Transitive Sitzungs-Tags sind Tags, die in allen nachfolgenden Sitzungen bestehen, wenn Sie die Sitzungsanmeldeinformationen verwenden, um eine andere Rolle anzunehmen. Die Annahme einer Rolle von einer anderen wird als Rollenverkettung bezeichnet.Sie können diesen Bedingungsschlüssel in einer Richtlinie verwenden, um bestimmte Sitzungs-Tags als transitiv festzulegen, wenn Sie eine Rolle übernehmen oder einen Benutzer föderieren.