AWS STS Bedingungskontextschlüssel für IAM Identity Center

Wenn ein Principal eine Anfrage an stellt AWS, AWS sammelt er die Anforderungsinformationen in einem Anforderungskontext, der zur Auswertung und Autorisierung der Anfrage verwendet wird. Sie können das Condition Element einer JSON Richtlinie verwenden, um Schlüssel im Anforderungskontext mit Schlüsselwerten zu vergleichen, die Sie in Ihrer Richtlinie angeben. Die Anforderungsinformationen werden aus verschiedenen Quellen bereitgestellt, darunter dem Auftraggeber, der die Anfrage stellt, der Ressource, der Anfrage, gegen die sie gestellt wurde, und den Metadaten zur Anfrage selbst. Dienstspezifische Bedingungsschlüssel werden für die Verwendung mit einem einzelnen AWS Dienst definiert.

IAMIdentity Center umfasst einen AWS STS Kontextanbieter, der AWS es verwalteten Anwendungen und Drittanbieteranwendungen ermöglicht, Werte für Bedingungsschlüssel hinzuzufügen, die von IAM Identity Center definiert werden. Diese Schlüssel sind in IAMRollen enthalten. Die Schlüsselwerte werden festgelegt, wenn eine Anwendung ein Token an übergibt AWS STS. Die Anwendung erhält das Token, an das sie weitergibt, AWS STS auf eine der folgenden Arten:

• Während der Authentifizierung mit IAM Identity Center.

• Nach dem Token-Austausch mit einem vertrauenswürdigen Token-Emittenten zur Weitergabe vertrauenswürdiger Identitäten. In diesem Fall erhält die Anwendung ein Token von einem vertrauenswürdigen Token-Aussteller und tauscht dieses Token gegen ein Token von Identity Center ausIAM.

Diese Schlüssel werden in der Regel von Anwendungen verwendet, die in die Verbreitung vertrauenswürdiger Identitäten integriert sind. In einigen Fällen können Sie, wenn Schlüsselwerte vorhanden sind, diese Schlüssel in IAM Richtlinien verwenden, die Sie erstellen, um Berechtigungen zuzulassen oder zu verweigern.

Beispielsweise möchten Sie möglicherweise bedingten Zugriff auf eine Ressource gewähren, die auf dem Wert von basiertUserId. Dieser Wert gibt an, welcher IAM Identity Center-Benutzer die Rolle verwendet. Das Beispiel ähnelt der Verwendung vonSourceId. Im SourceId Gegensatz dazu UserId steht der Wert für jedoch für einen bestimmten, verifizierten Benutzer aus dem Identitätsspeicher. Dieser Wert ist in dem Token enthalten, das die Anwendung erhält und an das sie dann AWS STS weiterleitet. Es handelt sich nicht um eine Allzweckzeichenfolge, die beliebige Werte enthalten kann.

Identitätsspeicher: UserId

Dieser Kontextschlüssel ist der UserId des IAM Identity Center-Benutzers, der Gegenstand der von Identity Center ausgegebenen Kontext-Assertion ist. IAM Die Kontext-Assertion wird an übergeben. AWS STS Sie können diesen Schlüssel verwenden, um den UserId IAM Identity Center-Benutzer, in dessen Namen die Anfrage gestellt wird, mit der ID für den Benutzer zu vergleichen, den Sie in der Richtlinie angeben.

• Verfügbarkeit — Dieser Schlüssel wird in den Anforderungskontext aufgenommen, nachdem eine von IAM Identity Center ausgegebene Kontext-Assertion eingerichtet wurde, wenn eine Rolle mit einem beliebigen AWS STS assume-role Befehl in der AWS STS AssumeRole API Operation AWS CLI or übernommen wird.

• Datentyp — Zeichenfolge

• Werttyp - Einzelwertig

Identitätsspeicher: IdentityStoreArn

Dieser Kontextschlüssel ist der ARN des Identitätsspeichers, der an die Identity Center-Instanz angehängt ist, die die Kontext-Assertion ausgegeben hat. IAM Es ist auch der Identitätsspeicher, in dem Sie nach Attributen suchen können. identitystore:UserID Sie können diesen Schlüssel in Richtlinien verwenden, um festzustellen, ob er aus einem erwarteten Identitätsspeicher identitystore:UserID stammtARN.

• Verfügbarkeit — Dieser Schlüssel wird in den Anforderungskontext aufgenommen, nachdem eine von IAM Identity Center ausgegebene Kontext-Assertion festgelegt wurde, wenn eine Rolle mit einem beliebigen AWS STS assume-role Befehl in der AWS STS AssumeRole API Operation AWS CLI or übernommen wird.

• Datentyp — Arn, String

• Werttyp - Einzelwertig

Identitätszentrum: ApplicationArn

Dieser Kontextschlüssel ist der ARN der Anwendung, für die IAM Identity Center eine Kontext-Assertion ausgegeben hat. Sie können diesen Schlüssel in Richtlinien verwenden, um festzustellen, ob er von einer erwarteten Anwendung identitycenter:ApplicationArn stammt. Mithilfe dieses Schlüssels kann verhindert werden, dass eine unerwartete Anwendung auf eine IAM Rolle zugreift.

• Verfügbarkeit — Dieser Schlüssel ist im Anforderungskontext eines AWS STS AssumeRole API Vorgangs enthalten. Der Anforderungskontext umfasst eine von IAM Identity Center ausgegebene Kontext-Assertion.

• Datentyp — Arn, Zeichenfolge

• Werttyp - Einzelwertig

Identitätszentrum: CredentialId

Dieser Kontextschlüssel ist eine zufällige ID für die Anmeldeinformationen der Rolle mit erweiterter Identität und wird nur für die Protokollierung verwendet. Da dieser Schlüsselwert nicht vorhersehbar ist, empfehlen wir, ihn nicht für Kontext-Assertionen in Richtlinien zu verwenden.

• Verfügbarkeit — Dieser Schlüssel ist im Anforderungskontext eines AWS STS AssumeRole API Vorgangs enthalten. Der Anforderungskontext umfasst eine von IAM Identity Center ausgegebene Kontext-Assertion.

• Datentyp — Zeichenfolge

• Werttyp - Einzelwertig

Identitätszentrum: InstanceArn

Dieser Kontextschlüssel ist der Instanz ARN von IAM Identity Center, die die Kontext-Assertion für die ausgegeben hat. identitystore:UserID Sie können diesen Schlüssel verwenden, um festzustellen, ob die identitystore:UserID und die Kontext-Assertion von einer erwarteten IAM Identity Center-Instanz stammen. ARN

• Verfügbarkeit — Dieser Schlüssel ist im Anforderungskontext eines AWS STS AssumeRole API Vorgangs enthalten. Der Anforderungskontext umfasst eine von IAM Identity Center ausgegebene Kontext-Assertion.

• Datentyp — Arn, Zeichenfolge

• Werttyp - Einzelwertig