IAMJSONéléments de politique : Condition

L'élément Condition (ou bloc Condition) vous permet de spécifier des conditions lorsqu'une politique est appliquée. L’élément Condition est facultatif. Dans l'élément Condition, vous créez des expressions dans lesquelles vous utilisez des opérateurs de condition (égal, inférieur à, etc.) pour faire correspondre les clés et valeurs de contexte de la politique avec les clés et valeurs du contexte de la demande. Pour de plus amples informations sur le contexte de la demande, veuillez consulter Composantes d'une demande.


"Condition" : { "{condition-operator}" : { "{condition-key}" : "{condition-value}" }}

La clé de contexte que vous spécifiez dans une condition de politique peut être une clé de contexte de condition globale ou une clé de contexte spécifique au service. Les clés de contexte de condition globale possèdent le préfixe aws:. Les clés de contexte spécifiques au service possèdent le préfixe du service. Par exemple, Amazon vous EC2 permet d'écrire une condition à l'aide de la clé de ec2:InstanceType contexte, qui est propre à ce service. Pour afficher les clés de IAM contexte spécifiques au service avec le iam: préfixe, consultez. IAMet clés contextuelles de AWS STS condition

Les noms de clé de contexte ne sont pas sensibles à la casse. Par exemple, inclure la clé de contexte aws:SourceIP revient à tester AWS:SourceIp. La sensibilité à la casse des valeurs des clés de contexte dépend de l'opérateur de condition que vous utilisez. Par exemple, la condition suivante inclut l'opérateur StringEquals pour garantir que seules les demandes effectuées par johndoe correspondent. Les utilisateurs nommés JohnDoe se voient refuser l'accès.


"Condition" : { "StringEquals" : { "aws:username" : "johndoe" }}

La condition suivante utilise l'opérateur StringEqualsIgnoreCase pour la correspondance avec les utilisateurs nommés johndoe ou JohnDoe.


"Condition" : { "StringEqualsIgnoreCase" : { "aws:username" : "johndoe" }}

Certaines clés de contexte prennent en charge des paires clé-valeur qui vous permettent de spécifier une partie du nom de clé. Les exemples incluent la clé de aws:RequestTag/tag-key contexte AWS KMS kms:EncryptionContext:encryption_context_key, la clé de contexte et la clé de ResourceTag/tag-key contexte prises en charge par plusieurs services.

Si vous utilisez la clé de ResourceTag/tag-key contexte pour un service tel qu'Amazon EC2, vous devez spécifier un nom de clé pour letag-key.
Les noms de clé ne sont pas sensibles à la casse. Cela signifie que si vous spécifiez "aws:ResourceTag/TagKey1": "Value1" dans l'élément de condition de votre politique, la condition correspond à une clé de balise de ressource nommée TagKey1 ou tagkey1, mais pas aux deux.
AWS les services qui prennent en charge ces attributs peuvent vous permettre de créer plusieurs noms de clés qui ne diffèrent qu'au cas par cas. Par exemple, vous pouvez étiqueter une EC2 instance Amazon avec ec2=test1 etEC2=test2. Lorsque vous utilisez une condition comme "aws:ResourceTag/EC2": "test1" pour autoriser l'accès à cette ressource, le nom de clé correspond aux deux balises, mais une seule valeur correspond. Cela peut entraîner des échecs de condition inattendus.

Important

En tant que bonne pratique, assurez-vous que les membres de votre compte suivent une convention de dénomination cohérente pour les attributs avec paire clé-valeur. Les exemples incluent les balises ou les contextes de chiffrement AWS KMS . Vous pouvez l'appliquer en utilisant la clé de aws:TagKeyscontexte pour le balisage ou kms:EncryptionContextKeyspour le contexte de AWS KMS chiffrement.

Pour obtenir une liste de tous les opérateurs de condition et une description de leur fonctionnement, veuillez consulter la rubrique Opérateurs de condition.
Sauf indication contraire, toutes les clés de contexte peuvent comporter plusieurs valeurs. Pour savoir comment traiter des clés de contexte qui ont plusieurs valeurs, veuillez consulter la rubrique Clés de contexte à valeurs multiples.
Pour obtenir la liste de l'ensemble des clés de contexte disponibles dans le monde entier, veuillez consulter la rubrique AWS clés contextuelles de condition globale.
Pour les clés de contexte de condition définies par chaque service, voir Actions, ressources et clés de condition pour les AWS services.

Contexte de la demande

Lorsqu'un principal fait une demande à AWS, AWS rassemble les informations de la demande dans un contexte de demande. Ces informations servent à évaluer et autoriser la demande. Vous pouvez utiliser l'Conditionélément d'une JSON politique pour tester des clés de contexte spécifiques par rapport au contexte de la demande. Par exemple, vous pouvez créer une politique qui utilise la clé de CurrentTime contexte aws : pour permettre à un utilisateur d'effectuer des actions dans un intervalle de dates spécifique uniquement.

Lorsqu'une demande est soumise, AWS évalue chaque clé de contexte de la politique et renvoie une valeur vraie, fausse, absente et parfois nulle (une chaîne de données vide). L'absence de clé de contexte dans la demande est considérée comme une absence de correspondance. Par exemple, la politique suivante permet de supprimer votre propre dispositif d'authentification multifactorielle (MFA), mais uniquement si vous vous êtes connecté au cours de la dernière heure (3 600 secondes). MFA


{
    "Version": "2012-10-17",
    "Statement": {
        "Sid": "AllowRemoveMfaOnlyIfRecentMfa",
        "Effect": "Allow",
        "Action": [
            "iam:DeactivateMFADevice"
        ],
        "Resource": "arn:aws:iam::*:user/${aws:username}",
        "Condition": {
            "NumericLessThanEquals": {"aws:MultiFactorAuthAge": "3600"}
        }
    }
}

Le contexte de la demande peut renvoyer les valeurs suivantes :

Vrai : si le demandeur s'est connecté MFA au cours de la dernière heure ou moins, la condition renvoie true.
Faux — Si le demandeur s'est connecté il y a MFA plus d'une heure, la condition renvoie la valeur false.
Absence : si le demandeur a fait une demande en utilisant ses clés IAM d'accès utilisateur dans le AWS CLI ou AWS API, la clé n'est pas présente. Dans ce cas, la clé est manquante et il n'y a pas de correspondance.
Null : pour les clés de contexte définies par l'utilisateur, telles que la transmission des balises d'une demande, il est possible d'inclure une chaîne vide. Dans ce cas, la valeur dans le contexte de la demande est null. Une valeur nulle peut renvoyer true dans certains cas. Par exemple, si vous utilisez l'opérateur de condition ForAllValues à valeurs multiples avec la clé de contexte aws:TagKeys, un résultat inattendu peut se produire si le contexte de la demande renvoie null. Pour plus d'informations, consultez aws : TagKeys etClés de contexte à valeurs multiples.

Bloc Condition

L'exemple suivant illustre le format de base d'un élément Condition :


"Condition": {"StringLike": {"s3:prefix": ["janedoe/*"]}}

Une valeur de la demande est représentée par une clé de contexte. Dans ce cas, il s'agit de s3:prefix. La valeur clé de contexte est comparée à une valeur que vous spécifiez comme valeur littérale, par exemple janedoe/*. Le type de comparaison à effectuer est spécifié par l'opérateur de condition (ici, StringLike). Vous pouvez créer des conditions qui comparent des chaînes, des dates, des numéros et autres à l'aide d'opérateurs de comparaison booléens standard comme est égal à, supérieur à ou inférieur à. Lorsque vous utilisez des opérateurs de chaîne ou des ARNopérateurs, vous pouvez également utiliser une variable de politique dans la valeur de la clé de contexte. L'exemple suivant inclut la variable aws:username.


"Condition": {"StringLike": {"s3:prefix": ["${aws:username}/*"]}}

Dans certains cas, les clés de contexte peuvent contenir plusieurs valeurs. Par exemple, une demande à Amazon DynamoDB peut retourner ou mettre à jour plusieurs attributs d'une table. Une politique d'accès aux tables DynamoDB peut inclure la clé de contexte dynamodb:Attributes, qui contient tous les attributs spécifiés dans la demande. Vous pouvez tester les divers attributs de la demande par rapport à une liste d'attributs autorisés dans une politique à l'aide d'opérateurs de définition dans l'élément Condition. Pour de plus amples informations, veuillez consulter Clés de contexte à valeurs multiples.

Lorsque la politique est évaluée lors d'une demande, AWS remplace la clé par la valeur correspondante de la demande. (Dans cet exemple, AWS utiliserait la date et l'heure de la demande.) L'évaluation de la condition retourne True ou False, ce qui est pris en compte pour déterminer si la politique dans sa totalité autorise ou refuse la demande.

Plusieurs valeurs dans un élément Condition

Un élément Condition peut contenir plusieurs opérateurs de condition, et chaque opérateur de condition peut également inclure plusieurs paires clé-valeur de contexte. L'illustration suivante décrit ce scénario.

deux schémas fonctionnels de l'opérateur de conditions. Le premier bloc inclut deux espaces réservés aux clés contextuelles, chacun contenant plusieurs valeurs. Le second bloc de conditions inclut une clé de contexte avec plusieurs valeurs.

Pour de plus amples informations, veuillez consulter Clés de contexte à valeurs multiples.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

NotResource

Opérateurs de condition