Kunci konteks IAM dan AWS STS kondisi - AWS Identity and Access Management
Kunci yang tersedia untuk IAMKunci yang tersedia untuk AWS federasi OIDCKunci yang tersedia untuk federasi AWS STS berbasis SAMLKunci konteks federasi berbasis SAML AWS STS lintas layananKunci yang tersedia untuk AWS STS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kunci konteks IAM dan AWS STS kondisi

Anda dapat menggunakan Condition elemen dalam kebijakan JSON untuk menguji nilai kunci yang disertakan dalam konteks permintaan semua AWS permintaan. Kunci-kunci ini menyediakan informasi tentang permintaannya sendiri atau sumber daya yang dirujuk oleh permintaan. Anda dapat memeriksa bahwa kunci telah menentukan nilai sebelum mengizinkan tindakan yang diminta oleh pengguna. Hal ini memberi Anda kendali terperinci ketika pernyataan kebijakan JSON Anda cocok atau tidak cocok dengan permintaan masuk. Untuk informasi tentang penggunaan elemen Condition dalam kebijakan JSON, lihat Elemen kebijakan IAM JSON: Condition.

Topik ini menjelaskan kunci yang ditentukan dan disediakan oleh layanan IAM (dengan iam: awalan) dan layanan AWS Security Token Service (AWS STS) (dengan sts: awalan). Beberapa AWS layanan lain juga menyediakan kunci khusus layanan yang relevan dengan tindakan dan sumber daya yang ditentukan oleh layanan tersebut. Untuk informasi selengkapnya, lihat Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS Layanan. Dokumentasi untuk layanan yang mendukung kunci kondisi sering kali memiliki informasi tambahan. Misalnya, untuk informasi tentang kunci yang dapat Anda gunakan dalam kebijakan untuk sumber daya Amazon S3, lihat Kunci Kebijakan Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Kunci yang tersedia untuk IAM

Anda dapat menggunakan kunci-kunci kondisi berikut dalam kebijakan yang mengontrol akses ke sumber daya IAM:

saya: AssociatedResourceArn

Bekerja IT Operator ARN .

Menentukan ARN sumber daya yang akan dihubungkan dengan peran ini di layanan tujuan. Sumber daya biasanya dimiliki oleh layanan yang perannya diteruskan oleh prinsipal. Terkadang, sumber daya mungkin dimiliki oleh layanan ketiga. Sebagai contoh, Anda mungkin meneruskan peran ke Amazon EC2 Auto Scaling yang mereka gunakan di instans Amazon EC2. Dalam kasus ini, kondisi akan cocok dengan ARN dari instans Amazon EC2.

Kunci kondisi ini hanya berlaku untuk PassRoletindakan dalam kebijakan. Kondisi ini tidak dapat digunakan untuk membatasi tindakan lainnya.

Gunakan kunci kondisi ini dalam kebijakan untuk mengizinkan entitas meneruskan peran, tetapi hanya jika peran tersebut terkait dengan sumber daya yang ditentukan. Anda dapat menggunakan wildcard (*) untuk memungkinkan operasi dilakukan pada tipe sumber daya yang spesifik tanpa membatasi Wilayah atau ID sumber daya. Misalnya, Anda dapat mengizinkan pengguna atau peran IAM untuk meneruskan peran apa pun ke layanan Amazon EC2 untuk digunakan dengan instans di Wilayah atau. us-east-1 us-west-1 Pengguna atau peran IAM tidak akan diizinkan untuk meneruskan peran ke layanan lain. Selain itu, Amazon EC2 tidak mengizinkan Amazon EC2 untuk menggunakan peran dengan instans di Wilayah lain. 

{
    "Effect": "Allow",
    "Action": "iam:PassRole",
    "Resource": "*",
    "Condition": {
        "StringEquals": {"iam:PassedToService": "ec2.amazonaws.com"},
        "ArnLike": {
            "iam:AssociatedResourceARN": [
                "arn:aws:ec2:us-east-1:111122223333:instance/*",
                "arn:aws:ec2:us-west-1:111122223333:instance/*"
            ]
        }
    }
}
catatan

AWS layanan yang mendukung iam: PassedToService juga mendukung kunci kondisi ini.

saya: AWSServiceName

Bekerja dengan operator string.

Menentukan AWS layanan yang peran ini dilampirkan.

Dalam contoh ini, Anda mengizinkan entitas untuk membuat peran terkait layanan jika nama layanan adalah access-analyzer.amazonaws.com.

{
   "Version": "2012-10-17",
   "Statement": [{
       "Effect": "Allow",
       "Action": "iam:CreateServiceLinkedRole",
       "Resource": "*",
       "Condition": {
         "StringLike": {
           "iam:AWSServiceName": "access-analyzer.amazonaws.com"
         }
       }
     }]
 }
IAM:Sertifikasi FIDO

Bekerja dengan operator string.

Memeriksa tingkat sertifikasi FIDO perangkat MFA pada saat pendaftaran kunci keamanan FIDO. Sertifikasi perangkat diambil dari FIDO Alliance Metadata Service (MDS). Jika status sertifikasi atau tingkat kunci keamanan FIDO Anda berubah, itu tidak akan diperbarui kecuali perangkat tidak terdaftar dan terdaftar lagi untuk mengambil informasi sertifikasi yang diperbarui.

Nilai yang mungkin dari L1, L1plus, L2, L2plus, L3, L3plus

Dalam contoh ini, Anda mendaftarkan kunci keamanan dan mengambil sertifikasi FIDO Level 1 plus untuk perangkat Anda.

{
      "Version": "2012-10-17",
      "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-certification": "L1plus"
                }
            }
        }
    ]
                  
 }
IAM: Sertifikasi FIDO-FIPS-140-2-

Bekerja dengan operator string.

Memeriksa perangkat MFA FIPS-140-2 tingkat sertifikasi validasi pada saat pendaftaran kunci keamanan FIDO. Sertifikasi perangkat diambil dari FIDO Alliance Metadata Service (MDS). Jika status sertifikasi atau tingkat kunci keamanan FIDO Anda berubah, itu tidak akan diperbarui kecuali perangkat tidak terdaftar dan terdaftar lagi untuk mengambil informasi sertifikasi yang diperbarui.

Nilai yang mungkin dari L1, L2, L3, L4

Dalam contoh ini, Anda mendaftarkan kunci keamanan dan mengambil sertifikasi FIPS-140-2 Level 2 untuk perangkat Anda.

{
      "Version": "2012-10-17",
      "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        }
    ]
                  
 }
IAM: Sertifikasi FIDO-FIPS-140-3-

Bekerja dengan operator string.

Memeriksa perangkat MFA FIPS-140-3 tingkat sertifikasi validasi pada saat pendaftaran kunci keamanan FIDO. Sertifikasi perangkat diambil dari FIDO Alliance Metadata Service (MDS). Jika status sertifikasi atau tingkat kunci keamanan FIDO Anda berubah, itu tidak akan diperbarui kecuali perangkat tidak terdaftar dan terdaftar lagi untuk mengambil informasi sertifikasi yang diperbarui.

Nilai yang mungkin dari L1, L2, L3, L4

Dalam contoh ini, Anda mendaftarkan kunci keamanan dan mengambil sertifikasi FIPS-140-3 Level 3 untuk perangkat Anda.

{
      "Version": "2012-10-17",
      "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-3-certification": "L3"
                }
            }
        }
    ]
                  
 }
saya: RegisterSecurityKey

Bekerja dengan operator string.

Memeriksa status pemberdayaan perangkat MFA saat ini.

Nilai yang mungkin dari Create atauActivate.

Dalam contoh ini, Anda mendaftarkan kunci keamanan dan mengambil sertifikasi FIPS-140-3 Level 1 untuk perangkat Anda.

{
      "Version": "2012-10-17",
      "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-3-certification": "L1"
                }
            }
        }
    ]
                  
 }
saya: OrganizationsPolicyId

Bekerja dengan operator string.

Memeriksa apakah kebijakan dengan AWS Organizations ID yang ditentukan cocok dengan kebijakan yang digunakan dalam permintaan. Untuk melihat contoh kebijakan IAM yang menggunakan kunci kondisi ini, lihat IAM: Melihat informasi layanan yang terakhir diakses untuk kebijakan Organizations.

saya: PassedToService

Bekerja dengan operator string.

Menentukan prinsipal layanan untuk peran yang dapat diteruskan. Kunci kondisi ini hanya berlaku untuk PassRoletindakan dalam kebijakan. Kondisi ini tidak dapat digunakan untuk membatasi tindakan lainnya.

Saat Anda menggunakan kunci kondisi ini dalam suatu kebijakan, tentukan layanan menggunakan prinsipal layanan. Prinsipal layanan adalah nama layanan yang dapat ditentukan dalam elemen Principal dari suatu kebijakan. Ini adalah format biasa: SERVICE_NAME_URL.amazonaws.com.

Anda dapat menggunakan iam:PassedToService untuk membatasi pengguna Anda sehingga mereka dapat meneruskan peran ke layanan tertentu. Misalnya, pengguna dapat membuat peran layanan yang dipercaya CloudWatch untuk menulis data log ke bucket Amazon S3 atas nama mereka. Kemudian pengguna harus memberlakukan kebijakan izin dan kebijakan kepercayaan pada peran layanan baru. Dalam hal ini, kebijakan kepercayaan harus menyebutkan cloudwatch.amazonaws.com dalam elemen Principal. Untuk melihat kebijakan yang memungkinkan pengguna meneruskan peran CloudWatch, lihatIAM: Lulus peran IAM ke layanan tertentu AWS.

Dengan menggunakan kunci kondisi ini, Anda dapat memastikan bahwa pengguna membuat peran layanan hanya untuk layanan yang Anda tentukan. Misalnya, jika pengguna dengan kebijakan sebelumnya mencoba membuat peran layanan untuk Amazon EC2, operasi akan gagal. Kegagalan terjadi karena pengguna tidak memiliki izin untuk meneruskan peran ke Amazon EC2.

Kadang-kadang Anda meneruskan peran ke layanan yang kemudian memberikan peran ke layanan lain. iam:PassedToService hanya mencakup layanan akhir yang mengasumsikan peran, bukan layanan perantara yang meneruskan peran.

catatan

Beberapa layanan tidak mendukung kunci kondisi ini.

saya: PermissionsBoundary

Bekerja IT Operator ARN .

Memastikan bahwa kebijakan yang ditentukan diberlakukan sebagai batas izin pada sumber daya utama IAM. Untuk informasi selengkapnya, lihat Batas izin untuk entitas IAM

iam:PolicyARN

Bekerja IT Operator ARN .

Memeriksa Amazon Resource Name (ARN) dari kebijakan terkelola dengan permintaan yang melibatkan kebijakan terkelola. Untuk informasi selengkapnya, lihat Mengendalikan akses ke kebijakan.

iam:ResourceTag/nama-kunci

Bekerja dengan operator string.

Memeriksa apakah tanda yang dilampirkan ke sumber daya identitas (pengguna atau peran) cocok dengan nama dan nilai kunci yang ditentukan.

catatan

IAM dan AWS STS mendukung kunci kondisi iam:ResourceTag IAM dan kunci kondisi aws:ResourceTag global.

Anda dapat menambahkan atribut kustom ke sumber daya IAM dalam bentuk pasangan kunci-nilai. Untuk informasi selengkapnya tentang tag untuk sumber daya IAM, lihatMenandai sumber daya IAM. Anda dapat menggunakan ResourceTag untuk mengontrol akses ke AWS sumber daya, termasuk sumber daya IAM. Namun, karena IAM tidak mendukung tag untuk grup, Anda tidak dapat menggunakan tag untuk mengontrol akses ke grup.

Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan menghapus pengguna dengan tag. status=terminated Untuk menggunakan kebijakan ini, ganti teks placeholder yang dicetak miring dalam kebijakan contoh dengan informasi Anda sendiri. Lalu, ikuti petunjuk di buat kebijakan atau ubah kebijakan.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": "iam:DeleteUser",
        "Resource": "*",
        "Condition": {"StringEquals": {"iam:ResourceTag/status": "terminated"}}
    }]
}

Kunci yang tersedia untuk AWS federasi OIDC

Anda dapat menggunakan federasi OIDC untuk memberikan kredensi keamanan sementara kepada pengguna yang telah diautentikasi melalui penyedia identitas yang kompatibel dengan OpenID Connect (IDP) ke penyedia identitas OpenID Connect (OIDC) IAM di akun Anda. AWS Contoh penyedia tersebut termasuk GitHub, Amazon Cognito, Login with Amazon, dan Google. Token identitas dan token akses dari IDP Anda sendiri dapat digunakan, serta token akun layanan yang diberikan kepada beban kerja Amazon Elastic Kubernetes Service.

Anda dapat menggunakan kunci konteks kondisi AWS OIDC untuk menulis kebijakan yang membatasi akses pengguna federasi ke sumber daya yang terkait dengan penyedia, aplikasi, atau pengguna tertentu. Kunci ini biasanya digunakan dalam kebijakan kepercayaan untuk suatu peran. Tentukan kunci kondisi menggunakan nama penyedia OIDC (token.actions.githubusercontent.com) diikuti dengan klaim (:aud):. token.actions.githubusercontent.com:aud

Beberapa kunci kondisi federasi OIDC dapat digunakan dalam sesi peran untuk mengotorisasi akses sumber daya. Jika nilainya adalah Ya di kolom Tersedia dalam sesi, Anda dapat menggunakan kunci kondisi ini dalam kebijakan untuk menentukan pengguna yang diizinkan mengakses AWS layanan lain. Jika klaim tidak tersedia dalam sesi, kunci konteks kondisi OIDC hanya dapat digunakan dalam kebijakan kepercayaan peran untuk otentikasi awal AssumeRoleWithWebIdentity.

Pilih iDP Anda untuk melihat bagaimana klaim dari peta idP Anda ke kunci konteks kondisi IAM masuk. AWS

Default

Default mencantumkan klaim OIDC standar dan cara mereka memetakan untuk AWS STS mengkondisikan kunci konteks. AWS Anda dapat menggunakan kunci ini untuk mengontrol akses ke sebuah peran. Untuk melakukan itu, bandingkan kunci AWS STS kondisi dengan nilai di kolom klaim IDP JWT. Gunakan pemetaan ini jika IDP Anda tidak tercantum dalam opsi tab.

GitHub Alur kerja tindakan dan Google adalah beberapa contoh IdPs yang menggunakan implementasi default dalam token ID OIDC JWT mereka.

AWS STS kunci kondisi Klaim IDP JWT Tersedia dalam sesi

amr

amr

Ya

aud

azp

Jika tidak ada nilai yang ditetapkanazp, kunci aud kondisi akan dipetakan ke aud klaim.

Ya

Email

Email

Tidak

oaud

aud

Tidak

sub

sub

Ya

Untuk informasi selengkapnya tentang menggunakan kunci konteks kondisi OIDC dengan GitHub, lihat. Mengkonfigurasi peran untuk penyedia identitas GitHub OIDC Untuk informasi selengkapnya tentang kolom aud dan azp Google, lihat Panduan Google Identity Platform OpenID Connect.

amr

Bekerja dengan operator string. Kunci ini memiliki banyak nilai, artinya jika Anda mengujinya dalam suatu kebijakan yang menggunakan operator kumpulan kondisi.

Contoh: token.actions.githubusercontent.com:amr

Referensi Metode Otentikasi mencakup informasi login tentang pengguna. Kunci dapat berisi nilai-nilai berikut:

  • Jika pengguna tidak autentikasi, kunci hanya berisi unauthenticated.

  • Jika pengguna diautentikasi, kunci berisi nilai authenticated dan nama penyedia login yang digunakan dalam panggilan (accounts.google.com).

aud

Bekerja dengan operator string.

Contoh:

  • accounts.google.com:aud

  • token.actions.githubusercontent.com:aud

Gunakan tombol aud kondisi untuk memverifikasi bahwa audiens cocok dengan yang Anda tentukan dalam kebijakan. Anda dapat menggunakan kunci aud dengan sub kunci untuk penyedia identitas yang sama.

Kunci kondisi ini diatur dari bidang token berikut:

  • aud untuk ID klien Google OAuth 2.0 dari aplikasi Anda, jika kolom azp belum ditetapkan. Ketika azp bidang diatur, aud bidang cocok dengan kunci accounts.google.com:oaud kondisi.

  • azp jika kolom azp ditetapkan. Ini dapat terjadi pada aplikasi hybrid dengan aplikasi web dan aplikasi Android yang memiliki ID klien Google OAuth 2.0, tetapi memiliki proyek API Google yang sama.

Ketika Anda menulis kebijakan menggunakan kunci kondisi accounts.google.com:aud, Anda harus mengetahui apakah aplikasi tersebut merupakan aplikasi hibrida yang menetapkan kolom azp tersebut atau bukan.

azpKolom Tidak Ditetapkan

Contoh kebijakan berikut bekerja untuk aplikasi non-hibrida yang tidak menetapkan kolom azp. Dalam hal ini, nilai kolom Token ID Google aud sesuai dengan nilai kunci kondisi accounts.google.com:aud dan accounts.google.com:oaud.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"Federated": "accounts.google.com"},
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "accounts.google.com:aud": "aud-value",
                    "accounts.google.com:oaud": "aud-value",
                    "accounts.google.com:sub": "sub-value"
                }
            }
        }
    ]
}

Kumpulan Kolom azp

Contoh kebijakan berikut berfungsi untuk aplikasi non-hibrida yang tidak menetapkan kolom azp. Dalam hal ini, nilai kolom aud Token ID Google hanya sesuai dengan nilai kunci kondisi accounts.google.com:oaud. Nilai kolom azp sesuai dengan nilai kunci kondisi accounts.google.com:aud.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"Federated": "accounts.google.com"},
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "accounts.google.com:aud": "azp-value",
                    "accounts.google.com:oaud": "aud-value",
                    "accounts.google.com:sub": "sub-value"
                }
            }
        }
    ]
}
email

Bekerja dengan operator string.

Contoh: accounts.google.com:email

Kunci kondisi ini memvalidasi alamat email pengguna. Nilai klaim ini mungkin tidak unik untuk akun ini dan dapat berubah seiring waktu, oleh karena itu Anda tidak boleh menggunakan nilai ini sebagai pengenal utama untuk memverifikasi catatan pengguna Anda.

oaud

Bekerja dengan operator string.

Contoh: accounts.google.com:oaud

Kunci ini menentukan audience (aud) lain yang dimaksudkan untuk token ID ini. Kunci ini harus salah satu dari ID klien OAuth 2.0 aplikasi Anda.

sub

Bekerja dengan operator string.

Contoh:

  • accounts.google.com:sub

  • token.actions.githubusercontent.com:sub

Gunakan kunci ini untuk memverifikasi bahwa subjek cocok dengan yang Anda tentukan dalam kebijakan. Anda dapat menggunakan kunci sub dengan kunci aud untuk penyedia identitas yang sama.

Dalam kebijakan kepercayaan peran berikut, kunci sub kondisi membatasi peran ke GitHib cabang bernamademo.

{
   "Version": "2012-10-17",
   "Statement": [
      "Condition": {
         "StringEquals": {
            "token.actions.githubusercontent.com:aud": "sts.amazonaws.com",
            "token.actions.githubusercontent.com:sub": "repo:octo-org/octo-repo:ref:refs/heads/demo"
         }
      }
   ]
}
Amazon Cognito

Tab ini menjelaskan bagaimana Amazon Cognito memetakan klaim OIDC untuk AWS STS mengondisikan kunci konteks. AWS Anda dapat menggunakan kunci ini untuk mengontrol akses ke sebuah peran. Untuk melakukan itu, bandingkan kunci AWS STS kondisi dengan nilai di kolom klaim IDP JWT.

Untuk peran yang digunakan oleh Amazon Cognito, kunci ditentukan menggunakan cognito-identity.amazonaws.com diikuti oleh klaim.

Untuk informasi selengkapnya tentang pemetaan klaim kumpulan identitas, lihat Pemetaan penyedia default di Panduan Pengembang Amazon Cognito. Untuk informasi selengkapnya tentang pemetaan klaim kumpulan pengguna, lihat Menggunakan token ID di Panduan Pengembang Amazon Cognito.

AWS STS kunci kondisi Klaim IDP JWT Tersedia dalam sesi

amr

amr

Ya

aud

aud

Ya

oaud

aud

Tidak

sub

sub

Ya
amr

Bekerja dengan operator string. Kunci ini memiliki banyak nilai, artinya jika Anda mengujinya dalam suatu kebijakan yang menggunakan operator kumpulan kondisi.

Contoh - cognito-identity.amazonaws.com:amr

Referensi Metode Otentikasi mencakup informasi login tentang pengguna. Kunci dapat berisi nilai-nilai berikut:

  • Jika pengguna tidak autentikasi, kunci hanya berisi unauthenticated.

  • Jika pengguna diautentikasi, kunci berisi nilai authenticated dan nama penyedia login yang digunakan dalam panggilan (cognito-identity.amazonaws.com).

Sebagai contoh, kondisi berikut dalam kebijakan kepercayaan untuk peran Amazon Cognito menguji apakah pengguna tidak diautentikasi.

"Condition": {
  "StringEquals": 
    { "cognito-identity.amazonaws.com:aud": "us-east-2:identity-pool-id" },
  "ForAnyValue:StringLike": 
    { "cognito-identity.amazonaws.com:amr": "unauthenticated" }
}
aud

Bekerja dengan operator string.

Contoh - cognito-identity.amazonaws.com:aud

Klien aplikasi kumpulan pengguna yang mengautentikasi pengguna Anda. Amazon Cognito memberikan nilai yang sama dalam klaim token akses. client_id

oaud

Bekerja dengan operator string.

Contoh - cognito-identity.amazonaws.com:oaud

Klien aplikasi kumpulan pengguna yang mengautentikasi pengguna Anda. Amazon Cognito memberikan nilai yang sama dalam klaim token akses. client_id

sub

Bekerja dengan operator string.

Contoh - cognito-identity.amazonaws.com:sub

Pengenal unik (UUID), atau subjek, untuk pengguna yang diautentikasi. Nama pengguna mungkin tidak unik di kumpulan pengguna Anda. Sub klaim adalah cara terbaik untuk mengidentifikasi pengguna tertentu. Anda dapat menggunakan kunci sub dengan kunci aud untuk penyedia identitas yang sama.

{
   "Version": "2012-10-17",
   "Statement": [
      "Condition": {
         "StringEquals": {
            "cognito-identity.amazonaws.com:aud": "us-east-1:12345678-abcd-abcd-abcd-123456790ab",
            "cognito-identity.amazonaws.com:sub": [
               "us-east-1:12345678-1234-1234-1234-123456790ab",
               "us-east-1:98765432-1234-1234-1243-123456790ab"
            ]
         }
      }
   ]
}
Login with Amazon

Tab ini menjelaskan bagaimana Login with Amazon memetakan klaim OIDC untuk AWS STS mengkondisikan kunci konteks. AWS Anda dapat menggunakan kunci ini untuk mengontrol akses ke sebuah peran. Untuk melakukan itu, bandingkan kunci AWS STS kondisi dengan nilai di kolom klaim IDP JWT.

AWS STS kunci kondisi Klaim IDP JWT Tersedia dalam sesi

app_id

ID Aplikasi

Ya

sub

ID Pengguna

Ya

user_id

ID Pengguna

Ya
app_id

Bekerja dengan operator string.

Contoh - www.amazon.com:app_id

Kunci ini menentukan konteks audiens yang cocok dengan aud bidang yang digunakan oleh penyedia identitas lainnya.

sub

Bekerja dengan operator string.

Contoh - www.amazon.com:sub

Kunci ini memverifikasi bahwa ID pengguna cocok dengan yang Anda tentukan dalam kebijakan. Anda dapat menggunakan kunci sub dengan kunci aud untuk penyedia identitas yang sama.

user_id

Bekerja dengan operator string.

Contoh - www.amazon.com:user_id

Kunci ini menentukan konteks audiens yang cocok dengan aud bidang yang digunakan oleh penyedia identitas lain.Anda dapat menggunakan user_id kunci dengan id kunci untuk penyedia identitas yang sama.

Facebook

Tab ini menjelaskan bagaimana Facebook memetakan klaim OIDC untuk AWS STS mengkondisikan kunci konteks di. AWS Anda dapat menggunakan kunci ini untuk mengontrol akses ke sebuah peran. Untuk melakukan itu, bandingkan kunci AWS STS kondisi dengan nilai di kolom klaim IDP JWT.

AWS STS kunci kondisi Klaim IDP JWT Tersedia dalam sesi

app_id

ID Aplikasi

Ya

id

id

Ya
app_id

Bekerja dengan operator string.

Contoh - graph.facebook.com:app_id

Kunci ini memverifikasi bahwa konteks audiens cocok dengan aud bidang yang digunakan oleh penyedia identitas lain.

id

Bekerja dengan operator string.

Contoh - graph.facebook.com:id

Kunci ini memverifikasi bahwa ID aplikasi (atau situs) cocok dengan ID yang Anda tentukan dalam kebijakan.

Informasi lebih lanjut tentang federasi OIDC

Kunci yang tersedia untuk federasi AWS STS berbasis SAML

Jika Anda bekerja dengan federasi berbasis SAMP menggunakan AWS Security Token Service (AWS STS), Anda dapat menyertakan kunci kondisi tambahan dalam kebijakan.

Kebijakan kepercayaan peran SAML

Dalam kebijakan kepercayaan dari suatu peran, Anda dapat menyertakan kunci-kunci berikut yang membantu Anda menentukan apakah pemanggil diperbolehkan untuk memegang peran tersebut. Kecuali untuk saml:doc, semua nilai berasal dari pernyataan SAML. Semua item dalam daftar tersedia di editor visual konsol IAM saat Anda membuat atau mengedit kebijakan dengan kondisi. Item ditandai denganx [] dapat memiliki nilai yang merupakan daftar jenis yang ditentukan.

sml:aud

Bekerja dengan operator string.

URL titik akhir tempat pernyataan SAML disajikan. Nilai untuk kunci ini berasal dari kolom SAML Recipient dalam pernyataan, bukan kolom Audience.

saml:commonName[]

Bekerja dengan operator string.

Ini adalah atribut commonName.

saml:cn[]

Bekerja dengan operator string.

Ini adalah atribut eduOrg.

saml:doc

Bekerja dengan operator string.

Ini mewakili prinsipal yang digunakan untuk menerima peran tersebut. Formatnya adalah Account-ID/provider-friendly-name, seperti. 123456789012/SAMLProviderName Nilai account-ID merujuk pada akun yang memiliki penyedia SAML.

saml:edupersonaffiliation[]

Bekerja dengan operator string.

Ini adalah atribut eduPerson.

saml:edupersonassurance[]

Bekerja dengan operator string.

Ini adalah atribut eduPerson.

saml:edupersonentitlement[]

Bekerja dengan operator string.

Ini adalah atribut eduPerson.

saml:edupersonnickname[]

Bekerja dengan operator string.

Ini adalah atribut eduPerson.

saml:edupersonorgdn

Bekerja dengan operator string.

Ini adalah atribut eduPerson.

saml:edupersonorgunitdn[]

Bekerja dengan operator string.

Ini adalah atribut eduPerson.

saml:edupersonprimaryaffiliation

Bekerja dengan operator string.

Ini adalah atribut eduPerson.

saml:edupersonprimaryorgunitdn

Bekerja dengan operator string.

Ini adalah atribut eduPerson.

saml:edupersonprincipalname

Bekerja dengan operator string.

Ini adalah atribut eduPerson.

saml:edupersonscopedaffiliation[]

Bekerja dengan operator string.

Ini adalah atribut eduPerson.

saml:edupersontargetedid[]

Bekerja dengan operator string.

Ini adalah atribut eduPerson.

saml:eduorghomepageuri[]

Bekerja dengan operator string.

Ini adalah atribut eduOrg.

saml:eduorgidentityauthnpolicyuri[]

Bekerja dengan operator string.

Ini adalah atribut eduOrg.

saml:eduorglegalname[]

Bekerja dengan operator string.

Ini adalah atribut eduOrg.

saml:eduorgsuperioruri[]

Bekerja dengan operator string.

Ini adalah atribut eduOrg.

saml:eduorgwhitepagesuri[]

Bekerja dengan operator string.

Ini adalah atribut eduOrg.

saml:givenName[]

Bekerja dengan operator string.

Ini adalah atribut givenName.

sml:iss

Bekerja dengan operator string.

Penerbit yang diwakili oleh URN.

saml:mail[]

Bekerja dengan operator string.

Ini adalah atribut mail.

saml:name[]

Bekerja dengan operator string.

Ini adalah atribut name.

saml:namequalifier

Bekerja dengan operator string.

Nilai hash berdasarkan nama yang penyedia SAML yang dikenal. Nilai adalah rangkaian dari nilai-nilai berikut, diurutkan dan dipisahkan oleh karakter '/':

  1. Nilai tanggapan Issuer (saml:iss)

  2. ID akun AWS

  3. Nama yang dikenal (bagian terakhir ARN) penyedia SAML di IAM

Gabungan ID akun dan nama ramah penyedia SAMP tersedia untuk kebijakan IAM sebagai kuncinya. saml:doc Untuk informasi selengkapnya, lihat Mengidentifikasi pengguna secara unik dalam federasi berbasis SAML.

saml:organizationStatus[]

Bekerja dengan operator string.

Ini adalah atribut organizationStatus.

saml:primaryGroupSID[]

Bekerja dengan operator string.

Ini adalah atribut primaryGroupSID.

saml:sub

Bekerja dengan operator string.

Ini adalah subjek klaim, yang mencakup nilai yang secara unik mengidentifikasi pengguna individu dalam suatu organisasi (misalnya, _cbb88bf52c2510eabe00c1642d4643f41430fe25e3).

saml:sub_type

Bekerja dengan operator string.

Kunci ini dapat memiliki nilai persistent, transient, atau terdiri atas URL Format penuh dari elemen Subject dan NameID yang digunakan dalam pernyataan SAML Anda. Nilai dari persistent menunjukkan bahwa nilai dalam saml:sub sama untuk pengguna di antara sesi. Jika nilainya transient, pengguna memiliki nilai saml:sub untuk setiap sesi. Untuk informasi tentang elemen NameID Format atribut, lihat Konfigurasikan pernyataan SAMP untuk respons otentikasi.

saml:surname[]

Bekerja dengan operator string.

Ini adalah atribut surnameuid.

saml:uid[]

Bekerja dengan operator string.

Ini adalah atribut uid.

saml:x500 [] UniqueIdentifier

Bekerja dengan operator string.

Ini adalah atribut x500UniqueIdentifier.

Untuk informasi umum tentang atribut eduPerson dan eduOrg, lihat situs web Wiki REFEDS. Untuk daftar atribut eduPerson, lihat Spesifikasi Kelas Objek eduPerson (201602).

Kunci kondisi dengan tipe berupa daftar dapat mencakup beberapa nilai. Untuk membuat kondisi dalam kebijakan untuk nilai-nilai daftar, Anda dapat menggunakan operator kumpulan (ForAllValues, ForAnyValue). Misalnya, untuk mengizinkan pengguna yang berafiliasi dengan "fakultas" atau "staf" (tetapi bukan "mahasiswa"), Anda dapat menggunakan ketentuan seperti berikut: 

"Condition": {
   "ForAllValues:StringLike": {
     "saml:edupersonaffiliation":[ "faculty", "staff"] 
   }
}

Kunci konteks federasi berbasis SAML AWS STS lintas layanan

Beberapa kunci kondisi federasi berbasis SAMP dapat digunakan dalam permintaan berikutnya untuk mengotorisasi AWS operasi di layanan dan panggilan lain. AssumeRole Ini adalah kunci kondisi berikut yang dapat digunakan dalam kebijakan kepercayaan peran ketika kepala sekolah federasi mengambil peran lain, dan dalam kebijakan sumber daya dari AWS layanan lain untuk mengotorisasi akses sumber daya oleh prinsipal federasi. Untuk informasi selengkapnya tentang penggunaan kunci ini, lihat Tentang federasi berbasis SAMP 2.0.

Pilih tombol kondisi untuk melihat deskripsi.

catatan

Tidak ada kunci kondisi federasi berbasis SAML lainnya yang tersedia untuk digunakan setelah respons otentikasi penyedia identitas eksternal (iDP) awal.

Kunci yang tersedia untuk AWS STS

Anda dapat menggunakan kunci kondisi berikut dalam kebijakan kepercayaan peran IAM untuk peran yang diasumsikan menggunakan operasi AWS Security Token Service (AWS STS).

saml:sub

Bekerja dengan operator string.

Ini adalah subjek klaim, yang mencakup nilai yang secara unik mengidentifikasi pengguna individu dalam suatu organisasi (misalnya, _cbb88bf52c2510eabe00c1642d4643f41430fe25e3).

sts: AWSServiceName

Bekerja dengan operator string.

Gunakan kunci ini untuk menentukan layanan di mana token pembawa dapat digunakan. Saat Anda menggunakan kunci kondisi ini dalam suatu kebijakan, tentukan layanan menggunakan prinsipal layanan. Prinsipal layanan adalah nama layanan yang dapat ditentukan dalam elemen Principal dari suatu kebijakan. Misalnya, codeartifact.amazonaws.com adalah kepala AWS CodeArtifact layanan.

Beberapa AWS layanan mengharuskan Anda memiliki izin untuk mendapatkan token pembawa AWS STS layanan sebelum Anda dapat mengakses sumber daya mereka secara terprogram. Misalnya, AWS CodeArtifact mengharuskan prinsipal untuk menggunakan token pembawa untuk melakukan beberapa operasi. Perintah aws codeartifact get-authorization-token mengembalikan token pembawa. Anda kemudian dapat menggunakan token pembawa untuk melakukan AWS CodeArtifact operasi. Untuk informasi lebih lanjut tentang token pembawa, lihat Menggunakan token pembawa.

Ketersediaan – Kunci ini tersedia dalam permintaan yang mendapatkan token pembawa. Anda tidak dapat melakukan panggilan langsung AWS STS untuk mendapatkan token pembawa. Saat Anda melakukan beberapa operasi dalam layanan lain, layanan meminta token pembawa atas nama Anda.

Anda dapat menggunakan kunci kondisi ini untuk mengizinkan prinsipal mendapatkan token pembawa untuk digunakan dengan layanan tertentu.

sts: DurationSeconds

Bekerja dengan operator numerik.

Gunakan kunci ini untuk menentukan durasi (dalam detik) yang dapat digunakan prinsipal saat mendapatkan token AWS STS pembawa.

Beberapa AWS layanan mengharuskan Anda memiliki izin untuk mendapatkan token pembawa AWS STS layanan sebelum Anda dapat mengakses sumber daya mereka secara terprogram. Misalnya, AWS CodeArtifact mengharuskan prinsipal untuk menggunakan token pembawa untuk melakukan beberapa operasi. Perintah aws codeartifact get-authorization-token mengembalikan token pembawa. Anda kemudian dapat menggunakan token pembawa untuk melakukan AWS CodeArtifact operasi. Untuk informasi lebih lanjut tentang token pembawa, lihat Menggunakan token pembawa.

Ketersediaan – Kunci ini tersedia dalam permintaan yang mendapatkan token pembawa. Anda tidak dapat melakukan panggilan langsung AWS STS untuk mendapatkan token pembawa. Saat Anda melakukan beberapa operasi dalam layanan lain, layanan meminta token pembawa atas nama Anda. Kuncinya tidak tersedia untuk operasi assume-role AWS STS .

sts: ExternalId

Bekerja dengan operator string.

Gunakan kunci ini untuk mengharuskan kepala sekolah memberikan pengenal khusus saat mengambil peran IAM.

Ketersediaan — Kunci ini hadir dalam permintaan ketika prinsipal memberikan ID eksternal sambil mengambil peran menggunakan AWS API AWS CLI atau.

Pengidentifikasi unik yang mungkin diperlukan saat Anda menerima peran dalam akun lain. Jika administrator akun yang memiliki peran tersebut memberi Anda ID eksternal, berikan nilai tersebut di parameter ExternalId. Nilai ini dapat berupa string, seperti frasa sandi atau nomor akun. Fungsi utama dari ID eksternal adalah mengatasi dan mencegah masalah deputi yang membingungkan. Untuk informasi selengkapnya tentang ID eksternal dan masalah deputi yang membingungkan, lihat Cara menggunakan ID eksternal saat memberikan akses ke AWS sumber daya Anda kepada pihak ketiga.

Nilai ExternalId harus memiliki minimal 2 karakter dan maksimal 1.224 karakter. Nilai harus berupa alfanumerik tanpa spasi. Alfanumerik dapat mencakup simbol berikut: plus (+), sama (=), koma (,), titik (.), di (@), titik dua (:), garis miring (/), dan tanda hubung (-).

sts:RequestContext/kunci-konteks

Bekerja dengan operator string.

Gunakan kunci ini untuk membandingkan pasangan nilai kunci konteks sesi yang disematkan dalam pernyataan konteks yang ditandatangani penerbit token tepercaya yang diteruskan dalam permintaan dengan nilai kunci konteks yang ditentukan dalam kebijakan kepercayaan peran.

Ketersediaan — Kunci ini hadir dalam permintaan ketika pernyataan konteks disediakan dalam parameter ProvidedContexts permintaan sambil mengasumsikan peran menggunakan operasi API. AWS STS AssumeRole

Kunci konteks ini diformat sebagai "sts:RequestContext/context-key":"context-value" where context-key dan context-value merupakan pasangan kunci-nilai konteks. Ketika beberapa kunci konteks disematkan dalam pernyataan konteks yang ditandatangani yang diteruskan dalam permintaan, ada satu kunci konteks untuk setiap pasangan kunci-nilai. Anda harus memberikan izin untuk sts:SetContext tindakan dalam kebijakan kepercayaan peran untuk mengizinkan prinsipal menyetel kunci konteks dalam token sesi yang dihasilkan. Untuk mempelajari selengkapnya tentang kunci konteks Pusat Identitas IAM yang didukung yang dapat digunakan dengan kunci ini, lihat tombol AWS STS kondisi untuk Pusat Identitas IAM di AWS IAM Identity Center Panduan Pengguna.

Anda dapat menggunakan kunci ini dalam kebijakan kepercayaan peran untuk menerapkan kontrol akses berbutir halus berdasarkan pengguna atau atributnya saat mereka mengambil peran. Misalnya, Anda dapat mengonfigurasi Amazon Redshift sebagai aplikasi Pusat Identitas IAM untuk mengakses sumber daya Amazon S3 atas nama tenaga kerja atau identitas federasi Anda.

Kebijakan kepercayaan peran berikut memungkinkan kepala layanan Amazon Redshift untuk berperan dalam akun. 111122223333 Ini juga memberikan izin kepada prinsipal layanan Amazon Redshift untuk menyetel kunci konteks dalam permintaan, selama set nilai identitystore:UserId kunci-konteks. 1111-22-3333-44-5555 Setelah peran diasumsikan, aktivitas muncul di AWS CloudTrail log dalam AdditionalEventData elemen, yang berisi pasangan nilai kunci konteks sesi yang ditetapkan oleh penyedia konteks dalam permintaan peran asumsikan. Ini memudahkan administrator membedakan di antara sesi peran saat peran digunakan oleh prinsipal yang berbeda. Pasangan kunci-nilai ditetapkan oleh penyedia konteks yang ditentukan, bukan oleh AWS CloudTrail atau. AWS STS Ini memberi penyedia konteks kontrol atas konteks apa yang disertakan dalam CloudTrail log dan informasi sesi.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "redshift.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ],
            "Condition": {
                "ForAllValues:ArnEquals": {
                    "sts:RequestContextProviders": [
                        "arn:aws:iam::aws:contextProvider/IdentityCenter"
                    ]
                },
                "StringEquals": {
                    "aws:SourceAccount": "111122223333",
                    "sts:RequestContext/identitystore:UserId": "1111-22-3333-44-5555"
                }
            }
        }
    ]
}
sts: RequestContextProviders

Bekerja IT Operator ARN .

Gunakan kunci ini untuk membandingkan ARN penyedia konteks dalam permintaan dengan penyedia konteks ARN yang ditentukan dalam kebijakan kepercayaan peran.

Ketersediaan — Kunci ini hadir dalam permintaan ketika pernyataan konteks disediakan dalam parameter ProvidedContexts permintaan sambil mengasumsikan peran menggunakan operasi API. AWS STS AssumeRole

Contoh kondisi berikut memeriksa apakah penyedia konteks ARN yang diteruskan dalam permintaan cocok dengan ARN yang ditentukan dalam kondisi kebijakan kepercayaan peran.

      "Condition": {
        "ForAllValues:ArnEquals": {
          "sts:RequestContextProviders": [
            "arn:aws:iam::aws:contextProvider/IdentityCenter"
          ]
        }
      }
sts: RoleSessionName

Bekerja dengan operator string.

Gunakan kunci ini untuk membandingkan nama sesi yang ditentukan oleh prinsipal saat mengambil peran dengan nilai yang ditentukan dalam kebijakan.

Ketersediaan — Kunci ini hadir dalam permintaan ketika prinsipal mengambil peran menggunakan, perintah CLI peran apa pun AWS Management Console, atau operasi API apa pun. AWS STS AssumeRole

Anda dapat menggunakan kunci ini dalam kebijakan kepercayaan peran untuk mewajibkan pengguna Anda memberikan nama sesi tertentu saat mereka mengambil peran. Misalnya, Anda dapat meminta pengguna IAM untuk menentukan nama pengguna mereka sendiri sebagai nama sesi mereka. Setelah pengguna IAM mengambil peran, aktivitas muncul di AWS CloudTrail log dengan nama sesi yang cocok dengan nama pengguna mereka. Ini memudahkan administrator membedakan di antara sesi peran saat peran digunakan oleh prinsipal yang berbeda.

Kebijakan kepercayaan peran berikut mengharuskan pengguna IAM di akun 111122223333 memberikan nama pengguna IAM mereka sebagai nama sesi saat mereka mengambil peran tersebut. Persyaratan ini diberlakukan menggunakan aws:username variabel kondisi di dalam kunci kondisi. Pernyataan memungkinkan pengguna IAM untuk mengasumsikan peran yang diberlakukan pada kebijakan tersebut. Kebijakan ini tidak mengizinkan siapa pun yang menggunakan kredensial sementara untuk mengambil peran tersebut karena variabel username hanya tersedia untuk pengguna IAM.

penting

Anda dapat menggunakan kunci kondisi bernilai tunggal apa pun sebagai variabel. Anda tidak dapat menggunakan kunci kondisi multivalued sebagai variabel.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyRequireUsernameForSessionName",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Principal": {"AWS": "arn:aws:iam::111122223333:root"},
            "Condition": {
                "StringLike": {"sts:RoleSessionName": "${aws:username}"}
            }
        }
    ]
}

Saat administrator melihat AWS CloudTrail log untuk tindakan, mereka dapat membandingkan nama sesi dengan nama pengguna di akun mereka. Dalam contoh berikut, pengguna bernama matjac melakukan operasi menggunakan peran bernama MateoRole. Administrator selanjutnya dapat menghubungi Mateo Jackson, yang memiliki pengguna bernama matjac.

    "assumedRoleUser": {
        "assumedRoleId": "AROACQRSTUVWRAOEXAMPLE:matjac",
        "arn": "arn:aws:sts::111122223333:assumed-role/MateoRole/matjac"
    }

Jika Anda mengizinkan akses lintas akun menggunakan peran, maka pengguna di satu akun dapat mengambil peran di akun lain. ARN dari pengguna peran yang diasumsikan terdaftar CloudTrail termasuk akun tempat peran itu ada. Ini tidak termasuk akun pengguna yang mengambil peran tersebut. Pengguna hanya bersifat unik di dalam suatu akun. Oleh karena itu, kami menyarankan Anda menggunakan metode ini untuk memeriksa CloudTrail log hanya untuk peran yang diasumsikan oleh pengguna di akun yang Anda kelola. Pengguna Anda mungkin menggunakan nama pengguna yang sama dalam beberapa akun.

sts: SourceIdentity

Bekerja dengan operator string.

Gunakan kunci ini untuk membandingkan identitas sumber yang ditentukan oleh prinsipal saat mengambil peran dengan nilai yang ditentukan dalam kebijakan.

Ketersediaan — Kunci ini hadir dalam permintaan ketika prinsipal memberikan identitas sumber sambil mengasumsikan peran menggunakan perintah CLI AWS STS peran apa pun, atau operasi API. AWS STS AssumeRole

Anda dapat menggunakan kunci ini dalam kebijakan kepercayaan peran untuk mewajibkan pengguna Anda menetapkan identitas sumber tertentu saat mereka mengambil peran. Misalnya, Anda dapat meminta tenaga kerja Anda atau identitas gabungan untuk menentukan nilai identitas sumber. Anda dapat mengonfigurasi penyedia identitas Anda (IdP) untuk menggunakan salah satu atribut yang terkait dengan pengguna Anda, seperti nama pengguna atau email sebagai identitas sumber. IdP kemudian meneruskan identitas sumber sebagai atribut dalam pernyataan atau klaim yang dikirimkan ke. AWS Nilai atribut identitas sumber mengidentifikasi pengguna atau aplikasi yang mengambil peran.

Setelah pengguna mengambil peran, aktivitas muncul di log AWS CloudTrail dengan nilai identitas sumber yang ditetapkan. Ini memudahkan administrator untuk menentukan siapa atau apa yang melakukan tindakan dengan peran AWS. Anda harus memberikan izin untuk tindakan sts:SetSourceIdentity untuk mengizinkan identitas menetapkan identitas sumber.

Tidak seperti sts:RoleSessionName, setelah identitas sumber diatur, nilai tidak dapat diubah. Ini terdapat dalam konteks permintaan untuk semua tindakan yang diambil dengan peran menggunakan identitas sumber daya. Nilai tetap ada dalam sesi peran berikutnya saat Anda menggunakan kredensial sesi untuk mengambil peran lain. Mengasumsikan satu peran dari peran lain disebut rantai peran.

Anda dapat menggunakan kunci kondisi aws:SourceIdentityglobal untuk mengontrol akses lebih lanjut ke AWS sumber daya berdasarkan nilai identitas sumber dalam permintaan berikutnya.

Kebijakan kepercayaan peran berikut memungkinkan pengguna IAM AdminUser untuk mengambil peran dalam akun111122223333. Ini juga memberikan izin ke AdminUser untuk mengatur identitas sumber, selama identitas sumber yang ditetapkan adalah DiegoRamirez.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAdminUserAssumeRole",
            "Effect": "Allow",
            "Principal": {"AWS": " arn:aws:iam::111122223333:user/AdminUser"},
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity"
            ],
            "Condition": {
                "StringEquals": {"sts:SourceIdentity": "DiegoRamirez"}
            }
        }
    ]
}

Untuk informasi selengkapnya tentang menggunakan informasi identitas sumber, lihat Memantau dan mengontrol tindakan yang diambil dengan peran yang diasumsikan.

sts: TransitiveTagKeys

Bekerja dengan operator string.

Gunakan kunci ini untuk membandingkan kunci tag sesi transitif dalam permintaan dengan yang ditentukan dalam kebijakan.

Ketersediaan – Kunci ini tersedia dalam permintaan saat Anda mengajukan permintaan menggunakan kredensial keamanan sementara. Ini termasuk kredensial yang dibuat menggunakan operasi asumsi peran, atau operasi GetFederationToken.

Saat Anda menggunakan kredensial sesi untuk membuat permintaan berikutnya, konteks permintaan mencakup kunci konteks aws:PrincipalTag. Kunci ini mencakup daftar tanda sesi, tanda sesi transitif, dan tanda peran. Tanda sesi transitif adalah tanda yang tetap ada di semua sesi berikutnya saat Anda menggunakan kredensial sesi untuk menjalankan peran lain. Mengasumsikan satu peran dari peran lain disebut rantai peran.

Anda dapat menggunakan kunci kondisi ini dalam kebijakan untuk mewajibkan pengaturan tanda sesi tertentu sebagai transitif saat mengambil peran atau menggabungkan pengguna.