AWS STS kunci konteks kondisi untuk Pusat IAM Identitas - AWS IAM Identity Center
UserIdIdentityStoreArnApplicationArnCredentialIdInstanceArn

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS STS kunci konteks kondisi untuk Pusat IAM Identitas

Ketika kepala sekolah membuat permintaan AWS, AWS mengumpulkan informasi permintaan ke dalam konteks permintaan, yang digunakan untuk mengevaluasi dan mengotorisasi permintaan. Anda dapat menggunakan Condition elemen JSON kebijakan untuk membandingkan kunci dalam konteks permintaan dengan nilai kunci yang Anda tentukan dalam kebijakan Anda. Informasi permintaan disediakan oleh sumber yang berbeda, termasuk prinsipal yang membuat permintaan, sumber daya, permintaan yang dibuat terhadapnya, dan metadata tentang permintaan itu sendiri. Kunci kondisi khusus layanan didefinisikan untuk digunakan dengan layanan individual AWS .

IAMPusat Identitas mencakup penyedia AWS STS konteks yang memungkinkan aplikasi AWS terkelola dan aplikasi pihak ketiga untuk menambahkan nilai untuk kunci kondisi yang ditentukan oleh Pusat IAM Identitas. Kunci-kunci ini termasuk dalam IAMperan. Nilai-nilai kunci ditetapkan ketika aplikasi meneruskan token ke AWS STS. Aplikasi memperoleh token yang diteruskan dengan salah satu AWS STS cara berikut:

  • Selama otentikasi dengan Pusat IAM Identitas.

  • Setelah pertukaran token dengan penerbit token tepercaya untuk propagasi identitas tepercaya. Dalam hal ini, aplikasi memperoleh token dari penerbit token tepercaya dan menukar token itu dengan token dari IAM Identity Center.

Kunci ini biasanya digunakan oleh aplikasi yang terintegrasi dengan propagasi identitas tepercaya. Dalam beberapa kasus, ketika nilai kunci ada, Anda dapat menggunakan kunci ini dalam IAM kebijakan yang Anda buat untuk mengizinkan atau menolak izin.

Misalnya, Anda mungkin ingin memberikan akses bersyarat ke sumber daya berdasarkan nilaiUserId. Nilai ini menunjukkan pengguna Pusat IAM Identitas mana yang menggunakan peran tersebut. Contohnya mirip dengan menggunakanSourceId. Tidak sepertiSourceId, bagaimanapun, nilai untuk UserId mewakili pengguna tertentu yang diverifikasi dari toko identitas. Nilai ini hadir dalam token yang diperoleh aplikasi dan kemudian diteruskan ke AWS STS. Ini bukan string tujuan umum yang dapat berisi nilai arbitrer.

toko identitas: UserId

Kunci konteks ini adalah pengguna Pusat IAM Identitas yang merupakan subjek dari pernyataan konteks yang dikeluarkan oleh IAM Identity Center. UserId Pernyataan konteks diteruskan ke. AWS STS Anda dapat menggunakan kunci ini untuk membandingkan pengguna Pusat IAM Identitas atas nama siapa permintaan dibuat dengan pengenal untuk pengguna yang Anda tentukan dalam kebijakan. UserId

  • Ketersediaan — Kunci ini disertakan dalam konteks permintaan setelah pernyataan konteks yang dikeluarkan oleh Pusat IAM Identitas disetel, ketika peran diasumsikan menggunakan AWS STS assume-role perintah apa pun dalam operasi AWS CLI atau AWS STS AssumeRoleAPI.

  • Tipe data - String

  • Jenis nilai - Bernilai tunggal

toko identitas: IdentityStoreArn

Kunci konteks ini adalah penyimpanan identitas yang dilampirkan pada instance Pusat IAM Identitas yang mengeluarkan pernyataan konteks. ARN Ini juga merupakan toko identitas tempat Anda dapat mencari atributidentitystore:UserID. Anda dapat menggunakan kunci ini dalam kebijakan untuk menentukan apakah kunci tersebut identitystore:UserID berasal dari toko identitas yang diharapkanARN.

  • Ketersediaan — Kunci ini disertakan dalam konteks permintaan setelah pernyataan konteks yang dikeluarkan oleh Pusat IAM Identitas disetel, ketika peran diasumsikan menggunakan AWS STS assume-role perintah apa pun dalam operasi AWS CLI atau AWS STS AssumeRoleAPI.

  • Tipe data - Arn, String

  • Jenis nilai - Bernilai tunggal

pusat identitas: ApplicationArn

Kunci konteks ini adalah aplikasi ARN yang Pusat IAM Identitas mengeluarkan pernyataan konteks. Anda dapat menggunakan kunci ini dalam kebijakan untuk menentukan apakah identitycenter:ApplicationArn berasal dari aplikasi yang diharapkan. Menggunakan kunci ini dapat membantu mencegah IAM peran diakses oleh aplikasi yang tidak terduga.

  • Ketersediaan — Kunci ini disertakan dalam konteks permintaan AWS STS AssumeRole API operasi. Konteks permintaan mencakup pernyataan konteks yang dikeluarkan oleh IAM Identity Center.

  • Tipe data - Arn, String

  • Jenis nilai - Bernilai tunggal

pusat identitas: CredentialId

Kunci konteks ini adalah ID acak untuk kredensi peran yang disempurnakan identitas dan hanya digunakan untuk pencatatan. Karena nilai kunci ini tidak dapat diprediksi, sebaiknya Anda tidak menggunakannya untuk pernyataan konteks dalam kebijakan.

  • Ketersediaan — Kunci ini disertakan dalam konteks permintaan AWS STS AssumeRole API operasi. Konteks permintaan mencakup pernyataan konteks yang dikeluarkan oleh IAM Identity Center.

  • Tipe data - String

  • Jenis nilai - Bernilai tunggal

pusat identitas: InstanceArn

Kunci konteks ini adalah contoh ARN dari Pusat IAM Identitas yang mengeluarkan pernyataan konteks untuk. identitystore:UserID Anda dapat menggunakan kunci ini untuk menentukan apakah pernyataan identitystore:UserID dan konteks berasal dari instance Pusat IAM Identitas yang diharapkan. ARN

  • Ketersediaan — Kunci ini disertakan dalam konteks permintaan AWS STS AssumeRole API operasi. Konteks permintaan mencakup pernyataan konteks yang dikeluarkan oleh IAM Identity Center.

  • Tipe data - Arn, String

  • Jenis nilai - Bernilai tunggal