Clés de contexte à valeur unique ou à valeurs multiples - AWS Identity and Access Management
Clés de contexte à valeurs multiples

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Clés de contexte à valeur unique ou à valeurs multiples

La différence entre les clés de contexte à valeur unique et à valeurs multiples réside dans le nombre de valeurs dans le contexte de demande, et non dans le nombre de valeurs dans la condition de politique.

  • Les clés de contexte de condition à valeur unique ont au plus une valeur dans le contexte de la demande. Par exemple, lorsque vous balisez des ressources AWS, chaque balise de ressource est stockée sous forme de paire clé-valeur. Comme une clé de balise de ressource ne peut avoir qu'une seule valeur de balise, aws :ResourceTag//tag-key il s'agit d'une clé de contexte à valeur unique. N'utilisez pas d'opérateur d'ensemble de conditions avec une clé de contexte à valeur unique.

  • Les clés de contexte de condition à valeurs multiples peuvent comporter plusieurs valeurs dans le contexte de la demande. Par exemple, lorsque vous balisez des ressources AWS, vous pouvez inclure plusieurs paires clé-valeur de balise dans une seule demande. Ainsi, lois : TagKeys est une clé de contexte à valeurs multiples. Les clés de contexte à valeurs multiples nécessitent un opérateur d'ensemble de conditions.

Important

Les clés de contexte à valeurs multiples nécessitent un opérateur d'ensemble de conditions. N'utilisez pas d'opérateurs d'ensemble de conditions ForAllValues ou ForAnyValue avec des clés de contexte à valeur unique. Pour en savoir plus sur les opérateurs d'ensemble de conditions, veuillez consulter la rubrique Clés de contexte à valeurs multiples.

Les classifications À valeur unique et À valeurs multiples sont incluses dans la description de chaque clé de contexte de condition, dans le Type de valeur de la rubrique AWS clés contextuelles de condition globale. La référence d'autorisation de service utilise une classification de type de valeur différente pour les clés contextuelles à valeurs multiples, en utilisant un ArrayOf préfixe suivi du type de catégorie de l'opérateur de condition, tel que ArrayOfString ou. ArrayOfARN

Par exemple, une demande peut provenir d'au plus un VPC point de terminaison, tout comme lois : SourceVpce une clé de contexte à valeur unique. Étant donné qu'un service peut avoir plus d'un nom de principal de service qui appartient au service, lois : PrincipalServiceNamesList est une clé de contexte à valeurs multiples.

Vous pouvez utiliser n'importe quelle clé de contexte à valeur unique disponible comme variable de stratégie, mais vous ne pouvez pas utiliser de clé de contexte à valeurs multiples comme variable de stratégie. Pour de plus amples informations sur les variables de politique, veuillez consulter Éléments des stratégies IAM : variables et balises.

Lorsque vous utilisez des clés contextuelles qui incluent des paires clé-valeur, il est important de noter que même s'il peut y avoir plusieurs valeurs balise-clé, chacune ne tag-key peut avoir qu'une seule valeur. Par conséquent, aws:RequestTag et aws:ResourceTag sont toutes deux des clés de contexte à valeur unique. L'utilisation d'opérateurs d'ensembles de conditions avec des clés de contexte à valeur unique peut entraîner des politiques trop permissives.

Clés de contexte à valeurs multiples

Pour comparer votre clé de contexte de condition à un contexte de demande à valeurs multiples, vous devez utiliser les opérateurs d'ensemble ForAllValues ou ForAnyValue. Ces opérateurs d'ensembles sont utilisés pour comparer deux ensembles de valeurs, tels que l'ensemble de balises dans une demande et l'ensemble de balises dans une condition de politique.

Les ForAnyValue qualificatifs ForAllValues et ajoutent une fonctionnalité d'opération de réglage à l'opérateur de condition, ce qui vous permet de tester les clés de contexte de demande contenant plusieurs valeurs par rapport à plusieurs valeurs de clé de contexte dans une condition de politique. En outre, si vous incluez une clé de contexte à valeurs multiples dans votre politique avec un caractère générique ou une variable, vous devez également utiliser l'opérateur de condition StringLike. Plusieurs valeurs de clé de condition doivent être placées entre crochets, comme dans un tableau, par exemple"Key2":["Value2A", "Value2B"].

  • ForAllValues : ce qualificateur teste si la valeur de chaque membre de la demande est un sous-ensemble de l'ensemble de clé de contexte de condition. La condition est renvoyée true si chaque valeur de clé de contexte de la demande correspond à au moins une valeur de clé de contexte de la politique. Elle renvoie également true si la demande ne contient aucune clé de contexte ou si la valeur de la clé de contexte se résout en un ensemble de données nul, tel qu'une chaîne vide. Pour éviter que les clés de contexte manquantes ou les clés de contexte contenant des valeurs vides ne soient évaluées àtrue, vous pouvez inclure l'opérateur de Nullcondition dans votre politique avec une false valeur permettant de vérifier si la clé de contexte existe et si sa valeur n'est pas nulle.

    Important

    Soyez prudent si vous l'utilisez ForAllValues avec un Allow effet, car cela peut être trop permissif si la présence de clés de contexte manquantes ou de clés de contexte contenant des valeurs vides dans le contexte de la demande est inattendue. Vous pouvez inclure l'opérateur de Null condition dans votre politique avec une false valeur pour vérifier si la clé de contexte existe et si sa valeur n'est pas nulle. Pour obtenir un exemple, consultez Contrôle de l'accès en fonction des clés de balise.

  • ForAnyValue : ce qualificateur teste si au moins un membre de l'ensemble des valeurs de clé de contexte de la demande correspond à au moins un membre de l'ensemble des valeurs de clé de contexte de votre condition de politique. La clé de contexte est renvoyée true si l'une des valeurs de clé de contexte de la demande correspond à l'une des valeurs de clé de contexte de la politique. Si aucune clé de contexte ne correspond ou si l'ensemble de données est nul, la condition est renvoyéefalse.

Note

La différence entre les clés de contexte à valeur unique et à valeurs multiples dépend du nombre de valeurs dans le contexte de la demande, et non du nombre de valeurs dans la condition de la politique.