IAM-Richtlinienelemente: Variablen und Tags - AWS Identitäts- und Zugriffsverwaltung
EinführungVerwenden von Variablen in RichtlinienTags als RichtlinienvariablenWo Richtlinienvariablen verwendet werden könnenRichtlinienvariablen ohne WertAnforderungsinformationen, die Sie für Richtlinienvariablen verwenden könnenFestlegen von StandardwertenWeitere Informationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Richtlinienelemente: Variablen und Tags

Verwenden Sie AWS Identity and Access Management (IAM)-Richtlinienvariablen als Platzhalter, wenn Sie beim Schreiben der Richtlinie den genauen Wert einer Ressource oder eines Bedingungsschlüssels nicht kennen.

Anmerkung

Wenn eine Variable AWS nicht auflösen kann, kann dies dazu führen, dass die gesamte Anweisung ungültig ist. Wenn Sie beispielsweise die Variable aws:TokenIssueTime verwenden, wird diese nur dann in einen Wert aufgelöst, wenn der Anforderer für die Authentifizierung temporäre Anmeldeinformationen (eine IAM-Rolle) verwendet hat. Um zu verhindern, dass Variablen ungültige Anweisungen verursachen, verwenden Sie den ...IfExists -Bedingungsoperator.

Einführung

In IAM-Richtlinien ermöglichen Ihnen viele Aktionen, einen Namen für die speziellen Ressourcen bereitzustellen, für die Sie den Zugriff steuern möchten. Die folgende Richtlinie erlaubt Benutzern beispielsweise das Auflisten, Lesen und Schreiben von Objekten im S3-Bucket DOC-EXAMPLE-BUCKET für marketing-Projekte.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],      
      "Resource": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET"],
      "Condition": {"StringLike": {"s3:prefix": ["marketing/*"]}}
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],      
      "Resource": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET/marketing/*"]
    }
  ]
}

In manchen Fällen kennen Sie vielleicht den genauen Namen der Ressource nicht, wenn Sie die Richtlinie schreiben. Sie können die Richtlinie so verallgemeinern, dass sie für viele Benutzer funktioniert, ohne dass eine eindeutige Kopie der Richtlinie für jeden Benutzer erstellt werden muss. Anstatt für jeden Benutzer eine eigene Richtlinie zu erstellen, empfehlen wir Ihnen, eine einzelne Gruppenrichtlinie zu erstellen, die für jeden Benutzer in dieser Gruppe funktioniert.

Verwenden von Variablen in Richtlinien

Sie können dynamische Werte innerhalb von Richtlinien definieren, indem Sie Richtlinienvariablen verwenden, die Platzhalter in einer Richtlinie festlegen.

Variablen werden mit einem $-Präfix gefolgt von einem Paar geschweifter Klammern ({ }) markiert, die den Variablennamen des Werts aus der Anfrage enthalten.

Wenn die Richtlinie ausgewertet wird, werden die Richtlinienvariablen mit Werten aus den bedingten Kontextschlüsseln ersetzt, die in der Anforderung übermittelt wurden. Variablen können in identitätsbasierten Richtlinien, Ressourcenrichtlinien, Dienstverwaltungsrichtlinien, Sitzungsrichtlinien und VPC-Endpunkt-Richtlinien verwendet werden. Identitätsbasierte Richtlinien, die als Berechtigungsgrenzen verwendet werden, unterstützen auch Richtlinienvariablen.

Globale Bedingungskontextschlüssel können als Variablen in Anfragen über - AWS Services hinweg verwendet werden. Servicespezifische Bedingungsschlüssel können bei der Interaktion mit AWS -Ressourcen auch als Variablen verwendet werden, sind jedoch nur verfügbar, wenn Anfragen an Ressourcen gestellt werden, die sie unterstützen. Eine Liste der Kontextschlüssel, die für jeden AWS Service und jede Ressource verfügbar sind, finden Sie in der Service-Autorisierungs-Referenz. Unter bestimmten Umständen können Sie globale Bedingungskontextschlüssel nicht mit einem Wert füllen. Weitere Informationen zu den einzelnen Schlüsseln finden Sie unter AWS Globale Bedingungskontextschlüssel.

Wichtig

  • Bei Schlüsselnamen wird nicht zwischen Groß- und Kleinschreibung unterschieden. Beispiel: aws:CurrentTime ist gleichbedeutend mit AWS:currenttime.

  • Sie können jeden einwertigen Bedingungsschlüssel als Variable verwenden. Sie können einen mehrwertigen Bedingungsschlüssel nicht als Variable verwenden.

Das folgende Beispiel zeigt eine Richtlinie für eine IAM-Rolle oder einen IAM-Benutzer, die einen bestimmten Ressourcennamen durch eine Richtlinienvariable ersetzt. Sie können diese Richtlinie wiederverwenden, indem Sie den aws:PrincipalTag-Bedingungsschlüssel nutzen. Bei der Auswertung dieser Richtlinie lässt ${aws:PrincipalTag/team} die Aktionen nur zu, wenn der Bucket-Name mit einem Teamnamen aus dem team-Prinzipal-Tag endet.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],      
      "Resource": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET"],
      "Condition": {"StringLike": {"s3:prefix": ["${aws:PrincipalTag/team}/*"]}}
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],      
      "Resource": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET/${aws:PrincipalTag/team}/*"]
    }
  ]
}

Die Variable wird mithilfe des Präfix $, gefolgt von einem Paar geschweifter Klammern ({ }), gekennzeichnet. Innerhalb der ${ }-Zeichen können Sie den Namen des Wertes aus der Anforderung einfügen, den Sie in der Richtlinie verwenden möchten. Die Werte, die Sie verwenden können, werden weiter unten auf dieser Seite besprochen.

Einzelheiten zu diesem globalen Bedingungsschlüssel finden Sie unter aws:PrincipalTag/tag-key in der Liste der globalen Bedingungsschlüssel.

Anmerkung

Zur Verwendung der Richtlinienvariablen müssen Sie das Version-Element in eine Anweisung einfügen und die Version muss auf eine Version gesetzt werden, die Richtlinienvariablen unterstützt. Variablen wurden in Version 2012-10-17 eingeführt. Frühere Versionen der Richtliniensprache unterstützen Richtlinienvariablen nicht. Wenn Sie das Version-Element nicht einfügen und nicht auf ein geeignetes Versionsdatum festlegen, werden Variablen wie ${aws:username} als tatsächliche Zeichenfolgen in der Richtlinie behandelt.

Das Richtlinienelement Version unterscheidet sich von einer Richtlinienversion. Das Richtlinienelement Version wird innerhalb einer Richtlinie verwendet und gibt die Version der Richtliniensprache an. Eine Richtlinienversion hingegen wird erstellt, wenn Sie in IAM eine kundenverwaltete Richtlinie bearbeiten. Die vorhandene Richtlinie wird von der geänderten Richtlinie nicht überschrieben. IAM erstellt stattdessen eine neue Version der verwalteten Richtlinie. Weitere Informationen zum Richtlinienelement Version finden Sie unter IAM-JSON-Richtlinienelemente: Version. Weitere Informationen zu den Richtlinienversionen finden Sie unter Versioning von IAM-Richtlinien.

Eine Richtlinie, die es einem Prinzipal ermöglicht, Objekte aus dem /David-Pfad eines S3-Buckets abzurufen, sieht wie folgt aus:

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": ["s3:GetObject"],    
    "Resource": ["arn:aws:s3::DOC-EXAMPLE-BUCKET/David/*"]
  }]
}

Wenn diese Richtlinie dem Benutzer David zugewiesen ist, erhält dieser Benutzer Objekte aus seinem eigenen S3-Bucket. Sie müssten jedoch für jeden Benutzer eine eigene Richtlinie erstellen, die den Namen des Benutzers enthält. Anschließend müssten Sie die einzelnen Richtlinien an die jeweiligen Benutzer anfügen.

Durch die Verwendung einer Richtlinienvariablen können Sie Richtlinien erstellen, die wiederverwendet werden können. Mit der folgenden Richtlinie kann ein Benutzer Objekte aus einem Amazon-S3-Bucket abrufen, wenn der Tag-Schlüsselwert für aws:PrincipalTag mit dem in der Anfrage übergebenen Tag-Schlüssel-Wert owner übereinstimmt. 

{
  "Version": "2012-10-17",
  "Statement": [{
    "Sid": "AllowUnlessOwnedBySomeoneElse",
    "Effect": "Allow",
    "Action": ["s3:GetObject"],    
    "Resource": ["*"],
    "Condition": {
        "StringEquals": {
          "${s3:ExistingObjectTag/owner}": "${aws:PrincipalTag/owner}"
        }
      }
    }
  ]
}

Wenn Sie eine Richtlinienvariable anstelle eines solchen Benutzers verwenden, müssen Sie nicht für jeden einzelnen Benutzer eine eigene Richtlinie erstellen. Im folgenden Beispiel ist die Richtlinie einer IAM-Rolle zugeordnet, die von Produktmanagern mithilfe temporärer Sicherheitsanmeldeinformationen übernommen wird. Wenn ein Benutzer eine Anfrage zum Hinzufügen eines Amazon-S3-Objekts stellt, ersetzt IAM den dept-Tag-Wert aus der aktuellen Anfrage durch die ${aws:PrincipalTag}-Variable und wertet die Richtlinie aus. 

{
  "Version": "2012-10-17",
  "Statement": [{
    "Sid": "AllowOnlyDeptS3Prefix",
    "Effect": "Allow",
    "Action": ["s3:GetObject"],    
    "Resource": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET/${aws:PrincipalTag/dept}/*"],    
    }
  ]
}

Tags als Richtlinienvariablen

In einigen AWS Services können Sie Ressourcen, die von diesen Services erstellt werden, Ihre eigenen benutzerdefinierten Attribute anfügen. Sie können beispielsweise Tags auf Amazon S3-Buckets oder IAM-Benutzer anwenden. Diese Tags sind Schlüssel-Wert-Paare. Sie definieren den Tag-Schlüsselnamen und den Wert, der diesem Schlüsselnamen zugeordnet ist. Beispielsweise können Sie ein Tag mit einem department-Schlüssel und einem Human Resources-Wert erstellen. Weitere Informationen zum Markieren von IAM-Entitäten finden Sie unter Markieren von IAM-Ressourcen. Informationen über das Markieren von Ressourcen, die von anderen AWS -Services erstellt wurden, finden Sie in der Dokumentation des jeweiligen Services. Informationen zur Verwendung des Tag-Editors finden Sie unter Arbeiten mit dem Tag-Editor im AWS Management Console -Leitfaden.

Sie können IAM-Ressourcen markieren, um das Entdecken, Organisieren und Nachverfolgen Ihrer IAM-Ressourcen zu vereinfachen. Sie können IAM-Identitäten auch markieren, um den Zugriff auf Ressourcen oder auf die Markierung zu kontrollieren. Weitere Informationen über die Verwendung von Tags zur Zugriffskontrolle finden Sie unter Steuerung des Zugriffs auf und für IAM-Benutzer und IAM-Rollen mithilfe von Tags.

Wo Richtlinienvariablen verwendet werden können

Sie können Richtlinienvariablen im Resource-Element und in Zeichenfolgenvergleichen im Condition-Element verwenden.

Ressourcen-Element

Sie können eine Richtlinienvariable im Resource-Element verwenden, jedoch nur im Ressourcenbereich des ARN. Dieser Teil des ARN erscheint nach dem 5. Doppelpunkt (:). Sie können keine Variable verwenden, um Teile des ARN vor dem 5. Doppelpunkt zu ersetzen, z. B. den Service oder das Konto. Weitere Informationen zum ARN-Format finden Sie unter IAM-ARNs.

Um einen Teil eines ARN durch einen Tag-Wert zu ersetzen, umgeben Sie das Präfix und den Schlüsselnamen mit ${ }. Das folgende Resource-Element bezieht sich beispielsweise nur auf einen Bucket, dessen Name mit dem Wert im Abteilungs-Tag des anfordernden Benutzers übereinstimmt.

"Resource": ["arn:aws::s3:::bucket/${aws:PrincipalTag/department}"]

Viele AWS Ressourcen verwenden ARNs, die einen vom Benutzer erstellten Namen enthalten. Die folgende IAM-Richtlinie stellt sicher, dass nur vorgesehene Benutzer mit übereinstimmenden access-project-, access-project- und access-environment-Tag-Werten ihre Ressourcen ändern können. Darüber hinaus können sie durch die Verwendung von *-Platzhalterübereinstimmungen benutzerdefinierte Suffixe für Ressourcennamen zulassen. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAccessBasedOnArnMatching",
      "Effect": "Allow",
      "Action": [
        "sns:CreateTopic",
        "sns:DeleteTopic"],      
      "Resource": ["arn:aws:sns:*:*:${aws:PrincipalTag/access-project}-${aws:PrincipalTag/access-application}-${aws:PrincipalTag/access-environment}-*"
      ]
    }
  ]
}

Condition-Element

Sie können eine Richtlinienvariable für Condition-Werte in jeder Bedingung verwenden, die die String-Operatoren oder die ARN-Operatoren beinhaltet. String-Operatoren beinhalten StringEquals, StringLike und StringNotLike. ARN-Operatoren beinhalten ArnEquals und ArnLike. Sie können eine Richtlinienvariable nicht mit anderen Operatoren wie Numeric, Date, Boolean, Binary, IP Address oder Null verwenden. Weitere Hinweise zu Bedingungsoperatoren finden Sie unter IAM-JSON-Richtlinienelemente: Bedingungsoperatoren.

Beim Referenzieren eines Tags in einem Condition-Elementausdruck verwenden Sie das entsprechende Präfix und den Schlüsselnamen als Bedingungsschlüssel. Verwenden Sie dann den Wert, den Sie testen möchten, im Bedingungswert.

Das folgende Richtlinienbeispiel ermöglicht Benutzern beispielsweise vollständigen Zugriff, jedoch nur, wenn dem Benutzer das Tag costCenter zugeordnet ist. Das Tag muss auch einen Wert von entweder 12345 oder 67890 haben. Wenn das Tag keinen Wert oder einen anderen Wert hat, schlägt die Anforderung fehl.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "iam:*user*"
       ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "iam:ResourceTag/costCenter": [ "12345", "67890" ]
        }
      }
    }
  ]
}

Richtlinienvariablen ohne Wert

Wenn Richtlinienvariablen auf einen Bedingungskontextschlüssel verweisen, der keinen Wert hat oder in einem Autorisierungskontext für eine Anforderung nicht vorhanden ist, ist der Wert effektiv Null. Es gibt keinen gleichen oder ähnlichen Wert. Bedingungskontextschlüssel sind im Autorisierungskontext möglicherweise nicht vorhanden, wenn:

  • Sie servicespezifische Bedingungskontextschlüssel in Anfragen an Ressourcen verwenden, die diesen Bedingungsschlüssel nicht unterstützen.

  • Tags für IAM-Prinzipale, Sitzungen, Ressourcen oder Anfragen nicht vorhanden sind.

  • Andere Umstände, wie sie für jeden globalen Bedingungskontextschlüssel in AWS Globale Bedingungskontextschlüssel aufgeführt sind.

Wenn Sie eine Variable ohne Wert im Bedingungselement einer IAM-Richtlinie verwenden, und ein IAM-JSON-Richtlinienelemente: Bedingungsoperatoren wie StringEquals oder StringLike nicht übereinstimmen, wird die Richtlinienanweisung nicht wirksam.

Invertierte Bedingungsoperatoren wie StringNotEquals oder StringNotLike entsprechen einem Nullwert oder stimmen mit ihm überein, da der Wert des Bedingungsschlüssels, anhand dessen sie testen, nicht dem tatsächlichen Nullwert entspricht oder diesem entspricht.

Im folgenden Beispiel muss aws:principaltag/Team gleich s3:ExistingObjectTag/Team sein, um den Zugriff zu gewähren. Der Zugriff wird ausdrücklich verweigert, wenn aws:principaltag/Team nicht festgelegt ist. Wenn eine Variable, die im Autorisierungskontext keinen Wert hat, als Teil des Resource- oder NotResource-Elements einer Richtlinie verwendet wird, entspricht die Ressource, die eine Richtlinienvariable ohne Wert enthält, keiner Ressource.

{
  "Version": "2012-10-17",
  "Statement": [
   {
    "Effect": "Deny", 
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::/example-bucket/*",
    "Condition": {
      "StringNotEquals": {
        "s3:ExistingObjectTag/Team": "${aws:PrincipalTag/Team}"
       }
      }
    }
  ]
}

Anforderungsinformationen, die Sie für Richtlinienvariablen verwenden können

Sie können das Condition-Element einer JSON-Richtlinie verwenden, um Schlüssel im Anforderungskontext mit Schlüsselwerten zu vergleichen, die Sie in Ihrer Richtlinie angeben. Wenn Sie eine Richtlinienvariable verwenden, AWS ersetzt einen Wert aus dem Anforderungskontextschlüssel anstelle der Variablen in Ihrer Richtlinie.

Auftraggeber-Schlüsselwerte

Die Werte für aws:username, aws:userid und aws:PrincipalType hängen davon ab, welche Art von Auftraggeber die Anforderung ausgelöst hat. Die Anforderung kann beispielsweise über die Anmeldeinformationen eines IAM-Benutzers, einer IAM-Rolle oder des Root-Benutzer des AWS-Kontos s erfolgen. In der folgenden Tabelle sind die Werte für diese Schlüssel für verschiedene Auftraggebertypen .

Auftraggeber aws:username aws:userid aws:PrincipalType
Root-Benutzer des AWS-Kontos (Nicht vorhanden) AWS-Konto ID Account
IAM-Benutzer IAM-Benutzername Eindeutige ID User
Verbundbenutzer (Nicht vorhanden) Konto :caller-specified-name FederatedUser
Web-Verbundbenutzer (Login with Amazon, Amazon Cognito, Facebook, Google)

Informationen über Richtlinienschlüssel, die verfügbar sind, wenn Sie den Web-Identitätsverbund verwenden, finden Sie unter Identifizieren von Benutzern mit OIDC-Verbund.

(Nicht vorhanden)

role-idcaller-specified-role-name:

wobei die eindeutige ID der Rolle role-id ist und durch den RoleSessionName Parameter angegeben caller-specified-role-name wird, der an die AssumeRoleWithWebIdentity Anforderung übergeben wird.

 AssumedRole
SAML-Verbundbenutzer

Informationen über Richtlinienschlüssel, die verfügbar sind, wenn Sie den SAML-Verbund verwenden, finden Sie unter Eindeutige Identifizierung von Benutzern im SAML-basierten Verbund.

(Nicht vorhanden)

role-idcaller-specified-role-name:

wobei die eindeutige ID der Rolle role-id ist und die durch das Attributelement angegeben caller-specified-role-name wird, wobei das Namensattribut auf https://aws.amazon.com/SAML/attributes/RoleSessionName festgelegt ist.

 AssumedRole
Angenommene Rolle (Nicht vorhanden)

Rollen-ID:caller-specified-role-name

wobei die eindeutige ID der Rolle role-id ist und durch den RoleSessionName Parameter angegeben caller-specified-role-name wird, der an die AssumeRole Anforderung übergeben wird.

 AssumedRole
Eine einer Amazon EC2-Instance zugeordnete Rolle (Nicht vorhanden)

Rollen-ID:EC2-Instance-ID

Hierbei ist role-id die eindeutige ID der Rolle und „es2-instance-id“ der eindeutige Bezeichner der EC2-Instance.

 AssumedRole
Anonymer Anrufer (nur Amazon SQS, Amazon SNS und Amazon S3) (Nicht vorhanden) anonymous Anonymous

Beachten Sie für die Elemente in dieser Tabelle Folgendes:

  • Nicht vorhanden bedeutet, dass der Wert nicht in den aktuellen Anforderungsinformationen vorhanden ist und jeder Versuch, ihn zuzuordnen, fehlschlägt und dafür sorgt, dass die Anforderung abgelehnt wird.

  • Rollen-ID ist ein eindeutiger Bezeichner, der jeder Rolle bei der Erstellung zugeordnet wird. Sie können die Rollen-ID mit dem AWS CLI Befehl anzeigen: aws iam get-role --role-name rolename

  • caller-specified-name und caller-specified-role-name sind Namen, die vom aufrufenden Prozess (z. B. einer Anwendung oder einem Service) übergeben werden, wenn er einen Aufruf tätigt, um temporäre Anmeldeinformationen zu erhalten.

  • EC2-Instance-ID ist ein Wert, der der Instance zugeordnet wird, wenn sie gestartet und auf der Seite Instances der Amazon EC2-Konsole angezeigt wird. Sie können die Instance-ID auch anzeigen, indem Sie den AWS CLI Befehl ausführen: aws ec2 describe-instances

In Anforderungen für Verbundbenutzer verfügbare Informationen

Verbundbenutzer sind Benutzer, die über ein anderes System als IAM authentifiziert werden. Beispielsweise könnte ein Unternehmen über eine Anwendung zur internen Verwendung verfügen, die Aufrufe an tätigt AWS. Es könnte unpraktisch sein, jedem Unternehmensbenutzer, der die Anwendung verwendet, eine IAM-Identität zu geben. Das Unternehmen kann stattdessen eine Proxy-Anwendung (Middle-Tier) verwenden, die eine einzige IAM-Identität aufweist, oder das Unternehmen könnte einen SAML-Identitätsanbieter nutzen. Die Proxy-Anwendung oder der SAML-Identitätsanbieter authentifiziert einzelne Benutzer, die das Unternehmensnetzwerk verwenden. Eine Proxy-Anwendung kann dann ihre IAM-Identität verwenden, um temporäre Sicherheitsanmeldeinformationen für einzelne Benutzer abzurufen. Ein SAML-IdP kann tatsächlich Identitätsinformationen gegen AWS temporäre Sicherheitsanmeldeinformationen austauschen. Die temporären Anmeldeinformationen können dann für den Zugriff auf - AWS Ressourcen verwendet werden.

Ebenso können Sie eine Anwendung für ein mobiles Gerät erstellen, in dem die Anwendung auf AWS -Ressourcen zugreifen muss. In diesem Fall können Sie den OIDC-Verbund verwenden, bei dem die App den Benutzer mit einem bekannten Identitätsanbieter wie Login with Amazon, Amazon Cognito, Facebook oder Google authentifiziert. Die Anwendung kann dann die Authentifizierungsinformationen des Benutzers von diesen Anbietern verwenden, um temporäre Sicherheitsanmeldeinformationen für den Zugriff auf AWS -Ressourcen abzurufen.

Die empfohlene Methode zur Verwendung des OIDC-Verbunds besteht darin, Amazon Cognito und die AWS mobilen SDKs zu nutzen. Weitere Informationen finden Sie hier:

Sonderzeichen

Es gibt einige spezielle vordefinierte Richtlinienvariablen, die feste Werte haben. Diese bieten Ihnen die Möglichkeit, Zeichen darzustellen, die sonst eine besondere Bedeutung haben. Wenn diese Sonderzeichen Teil der Zeichenfolge sind, die Sie versuchen zusammenzubringen, und Sie sie einfach einfügen, würden sie fehlinterpretiert werden. Beispielsweise würde das Einfügen eines Sternchens (*) in die Zeichenfolge als Platzhalter interpretiert werden, der für andere Zeichen steht, und nicht tatsächlich als *. In solchen Fällen können Sie die folgenden vordefinierten Richtlinienvariablen verwenden:

  • ${*} – zu verwenden, wenn Sie ein * (Sternchen) benötigen

  • ${?} – zu verwenden, wenn Sie ein ? (Fragezeichen) benötigen

  • ${$} – zu verwenden, wenn Sie ein $ (Dollarzeichen) benötigen

Diese vordefinierten Richtlinienvariablen können in einer beliebigen Zeichenfolge verwendet werden, in der Sie reguläre Richtlinien nutzen können.

Festlegen von Standardwerten

Um einer Variablen einen Standardwert hinzuzufügen, umgeben Sie den Standardwert mit einfachen Anführungszeichen (' '), und trennen Sie den Variablentext und den Standardwert durch Komma und Leerzeichen (, ) enthalten.

Zum Beispiel, wenn ein Prinzipal mit team=yellow gekennzeichnet ist, können sie auf ExampleCorp's-Amazon-S3-Bucket namens DOC-EXAMPLE-BUCKET-yellow zugreifen. Eine Richtlinie mit dieser Ressource ermöglicht es Teammitgliedern, auf ihren Team-Bucket zuzugreifen, nicht jedoch auf die anderer Teams. Für Benutzer ohne Team-Tags wird der Standardwert von company-wide für den Bucket-Namen eingestellt. Diese Benutzer können nur auf DOC-EXAMPLE-BUCKET-company-wideBucket zugreifen, wo umfassende Informationen anzeigt werden können, z. B. Anweisungen für den Beitritt zu einem Team.

"Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET-${aws:PrincipalTag/team, 'company-wide'}"

Weitere Informationen

Weitere Informationen zu Richtlinien finden Sie in den folgenden Themen: