chiavi contestuali IAM e AWS STS condition

Puoi utilizzare l'Conditionelemento in una policy JSON per testare il valore delle chiavi incluse nel contesto di richiesta di tutte le AWS richieste. Queste chiavi forniscono informazioni sulla richiesta in sé o sulle risorse a cui la richiesta fa riferimento. È possibile controllare che le chiavi abbiano determinati valori prima di consentire l'operazione richiesta dall'utente. Ciò consente un controllo granulare sulla corrispondenza o meno delle istruzioni della policy JSON rispetto a una richiesta API in ingresso. Per informazioni su come utilizzare l'elemento Condition in una policy JSON, consulta Elementi delle policy JSON IAM: Condition.

Questo argomento descrive le chiavi definite e fornite dal servizio IAM (con un iam: prefisso) e dal servizio AWS Security Token Service (AWS STS) (con un sts: prefisso). Diversi altri AWS servizi forniscono anche chiavi specifiche del servizio che sono rilevanti per le azioni e le risorse definite da quel servizio. Per ulteriori informazioni, consulta Azioni, risorse e chiavi di condizione per i AWS servizi. La documentazione relativa a un servizio che supporta le chiavi di condizione contiene spesso ulteriori informazioni. Ad esempio, per informazioni sulle chiavi che puoi utilizzare nelle policy per le risorse Amazon S3, consulta Chiavi di policy Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service.

Chiavi disponibili per IAM

È possibile utilizzare le seguenti chiavi di condizione nelle policy che controllano l'accesso alle risorse IAM:

Sono: AssociatedResourceArn

Lavora con operatori ARN.

Specifica l'ARN della risorsa a cui verrà associato questo ruolo al servizio di destinazione. La risorsa in genere appartiene al servizio a cui l'entità sta passando il ruolo. A volte, la risorsa potrebbe appartenere a un terzo servizio. Ad esempio, potresti passare un ruolo a Amazon EC2 Auto Scaling che può essere utilizzato in un'istanza di Amazon EC2. In questo caso, la condizione corrisponderebbe all'ARN dell'istanza Amazon EC2.

Questa chiave di condizione si applica solo all'PassRoleazione in una politica. Non può essere usata per limitare altre operazioni.

Utilizzare questa chiave di condizione in un criterio per consentire a un'entità di passare un ruolo, ma solo se tale ruolo è associato alla risorsa specificata. È possibile utilizzare caratteri jolly (*) per consentire operazioni eseguite su un tipo specifico di risorsa senza limitare la regione o l'ID risorsa. Ad esempio, è possibile consentire a un utente o a un ruolo IAM di passare qualsiasi ruolo al servizio Amazon EC2 da utilizzare con istanze nella regione us-east-1 o us-west-1. L'utente o il ruolo IAM non è autorizzato a passare ruoli ad altri servizi. Inoltre, non consente ad Amazon EC2 di utilizzare il ruolo con istanze in altre regioni.

{
    "Effect": "Allow",
    "Action": "iam:PassRole",
    "Resource": "*",
    "Condition": {
        "StringEquals": {"iam:PassedToService": "ec2.amazonaws.com"},
        "ArnLike": {
            "iam:AssociatedResourceARN": [
                "arn:aws:ec2:us-east-1:111122223333:instance/*",
                "arn:aws:ec2:us-west-1:111122223333:instance/*"
            ]
        }
    }
}

Nota

AWS servizi che supportano iam: supportano PassedToService anche questa chiave di condizione.

sono: AWSServiceName

Lavora con operatori stringa.

Speciifica il AWS servizio a cui è associato questo ruolo.

In questo esempio, consenti a un'entità di creare un ruolo collegato ai servizi se il nome del servizio è access-analyzer.amazonaws.com.

{
   "Version": "2012-10-17",
   "Statement": [{
       "Effect": "Allow",
       "Action": "iam:CreateServiceLinkedRole",
       "Resource": "*",
       "Condition": {
         "StringLike": {
           "iam:AWSServiceName": "access-analyzer.amazonaws.com"
         }
       }
     }]
 }

iam:FIDO-certification

Lavora con operatori stringa.

Verifica il livello di certificazione FIDO del dispositivo MFA al momento della registrazione di una chiave di sicurezza FIDO. La certificazione del dispositivo viene recuperata dal FIDO Alliance Metadata Service (MDS). Se lo stato o il livello di certificazione della chiave di sicurezza FIDO cambia, questa non verrà aggiornata a meno che la registrazione del dispositivo non sia stata annullata e poi effettuata nuovamente per recuperare le informazioni di certificazione aggiornate.

Valori possibili di L1, L1plus, L2, L2plus, L3, L3plus

In questo esempio, registri una chiave di sicurezza e recuperi la certificazione FIDO Level 1 plus per il tuo dispositivo.

{
      "Version": "2012-10-17",
      "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-certification": "L1plus"
                }
            }
        }
    ]
                  
 }

iam:FIDO-FIPS-140-2-certification

Lavora con operatori stringa.

Verifica il livello di certificazione di convalida FIPS-140-2 del dispositivo MFA al momento della registrazione di una chiave di sicurezza FIDO. La certificazione del dispositivo viene recuperata dal FIDO Alliance Metadata Service (MDS). Se lo stato o il livello di certificazione della chiave di sicurezza FIDO cambia, questa non verrà aggiornata a meno che la registrazione del dispositivo non sia stata annullata e poi effettuata nuovamente per recuperare le informazioni di certificazione aggiornate.

Valori possibili di L1, L2, L3, L4

In questo esempio, registri una chiave di sicurezza e recuperi la certificazione FIPS-140-2 Level 2 per il tuo dispositivo.

{
      "Version": "2012-10-17",
      "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        }
    ]
                  
 }

iam:FIDO-FIPS-140-3-certification

Lavora con operatori stringa.

Verifica il livello di certificazione di convalida FIPS-140-3 del dispositivo MFA al momento della registrazione di una chiave di sicurezza FIDO. La certificazione del dispositivo viene recuperata dal FIDO Alliance Metadata Service (MDS). Se lo stato o il livello di certificazione della chiave di sicurezza FIDO cambia, questa non verrà aggiornata a meno che la registrazione del dispositivo non sia stata annullata e poi effettuata nuovamente per recuperare le informazioni di certificazione aggiornate.

Valori possibili di L1, L2, L3, L4

In questo esempio, registri una chiave di sicurezza e recuperi la certificazione FIPS-140-3 Level 3 per il tuo dispositivo.

{
      "Version": "2012-10-17",
      "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-3-certification": "L3"
                }
            }
        }
    ]
                  
 }

sono: RegisterSecurityKey

Lavora con operatori stringa.

Verifica lo stato corrente dell'abilitazione dei dispositivi MFA.

Valori possibili di Create o Activate.

In questo esempio, registri una chiave di sicurezza e recuperi la certificazione FIPS-140-3 Level 1 per il tuo dispositivo.

{
      "Version": "2012-10-17",
      "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-3-certification": "L1"
                }
            }
        }
    ]
                  
 }

Io sono: OrganizationsPolicyId

Lavora con operatori stringa.

Verifica che la politica con l' AWS Organizations ID specificato corrisponda alla politica utilizzata nella richiesta. Per visualizzare una policy IAM di esempio che utilizza la chiave di condizione, consulta IAM: visualizzazione delle informazioni dell'ultimo accesso al servizio per una policy di Organizations.

Io sono: PassedToService

Lavora con operatori stringa.

Specifica il principale del servizio a cui un ruolo può essere passato. Questa chiave di condizione si applica solo all'PassRoleazione in una politica. Non può essere usata per limitare altre operazioni.

Quando si utilizza questa chiave di condizione in una policy, specificare il servizio utilizzando un principale del servizio. Il principale di un servizio è il nome di un servizio che può essere specificato nell'elemento Principal di una policy. Il formato tipico è SERVICE_NAME_URL.amazonaws.com.

Puoi utilizzare iam:PassedToService per limitare gli utenti in modo che possano passare ruoli solo a servizi specifici. Ad esempio, un utente potrebbe creare un ruolo di servizio che si fida della scrittura CloudWatch di dati di log in un bucket Amazon S3 per suo conto. L'utente deve quindi collegare una policy di autorizzazione e una policy di affidabilità al nuovo ruolo di servizio. In questo caso, la policy di affidabilità deve specificare cloudwatch.amazonaws.com nell'elemento Principal. Per visualizzare una policy che consenta all'utente di trasferire il ruolo a CloudWatch, consulta. IAM: passa un ruolo IAM a un AWS servizio specifico

Utilizzando questa chiave di condizione, puoi assicurarti che gli utenti creino ruoli di servizio solo per i servizi specificati. Ad esempio, se un utente con la policy precedente tenta di creare un ruolo di servizio per Amazon EC2, l'operazione avrà esito negativo. L'errore si verifica perché l'utente non dispone dell'autorizzazione per trasferire il ruolo ad Amazon EC2.

A volte si passa un ruolo a un servizio che poi a sua volta lo passa a un servizio diverso. iam:PassedToService include solo il servizio finale che assume il ruolo, non il servizio intermedio che lo passa.

Nota

Alcuni servizi non supportano questa chiave di condizione.

Sono: PermissionsBoundary

Lavora con operatori ARN.

Verifica che la policy specificata è collegata come limite delle autorizzazioni sulla risorsa del principale IAM. Per ulteriori informazioni, consulta la sezione Limiti delle autorizzazioni per le entità IAM

iam:PolicyARN

Lavora con operatori ARN.

Controlla l'Amazon Resource Name (ARN) di una policy gestita nelle richieste che implicano una policy gestita. Per ulteriori informazioni, consulta Controllo dell'accesso alle policy.

iam:ResourceTag/nome-chiave

Lavora con operatori stringa.

Controlla che il tag collegato alla risorsa dell'identità (utente o ruolo) corrisponda al nome e al valore della chiave specificata.

Nota

IAM e AWS STS supportano sia la chiave di condizione iam:ResourceTag IAM che la chiave di condizione aws:ResourceTag globale.

Puoi aggiungere attributi personalizzati alle risorse IAM sotto forma di coppia chiave-valore. Per ulteriori informazioni sui tag per le risorse IAM, consulta Tagging delle risorse IAM. Puoi utilizzare ResourceTag per controllare l'accesso alle risorse AWS , incluse le risorse IAM. Tuttavia, poiché IAM non supporta i tag per i gruppi, non puoi utilizzare i tag per controllare l'accesso ai gruppi.

Questo esempio mostra come creare una policy basata sull'identità che consenta di eliminare gli utenti con il tag status=terminated. Per utilizzare questa policy, sostituisci il testo segnaposto in corsivo nella policy di esempio con le tue informazioni. Quindi, segui le indicazioni fornite in Creazione di una policy o Modifica di una policy.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": "iam:DeleteUser",
        "Resource": "*",
        "Condition": {"StringEquals": {"iam:ResourceTag/status": "terminated"}}
    }]
}

Chiavi disponibili per la federazione AWS OIDC

Puoi utilizzare la federazione OIDC per fornire credenziali di sicurezza temporanee agli utenti che sono stati autenticati tramite un provider di identità (IdP) compatibile con OpenID Connect a un provider di identità IAM OpenID Connect (OIDC) nel tuo account. AWS Esempi di tali fornitori includono GitHub Amazon Cognito, Login with Amazon e Google. È possibile utilizzare token di identità e token di accesso del proprio IdP, nonché token di account di servizio concessi ai carichi di lavoro di Amazon Elastic Kubernetes Service.

Puoi utilizzare le chiavi contestuali delle condizioni AWS OIDC per scrivere politiche che limitano l'accesso degli utenti federati alle risorse associate a un provider, un'app o un utente specifico. Queste chiavi vengono in genere utilizzate nelle policy di trust di un ruolo. Definisci le chiavi di condizione utilizzando il nome del provider OIDC (token.actions.githubusercontent.com) seguito da un claim ():. :aud token.actions.githubusercontent.com:aud

Alcune chiavi delle condizioni di federazione OIDC possono essere utilizzate nella sessione di ruolo per autorizzare l'accesso alle risorse. Se il valore è Sì nella colonna Disponibile nella sessione, è possibile utilizzare queste chiavi di condizione nelle politiche per definire a quali utenti è consentito accedere in altri servizi. AWS Quando un claim non è disponibile nella sessione, la chiave di contesto della condizione OIDC può essere utilizzata solo in una policy di fiducia dei ruoli per l'autenticazione iniziale AssumeRoleWithWebIdentity.

Seleziona il tuo IdP per vedere in che modo i claim del tuo IdP vengono mappati al contesto delle condizioni IAM. AWS

Default

L'impostazione predefinita elenca le attestazioni OIDC standard e il modo in cui vengono mappate alle chiavi di contesto AWS STS delle condizioni. AWS Puoi utilizzare queste chiavi per controllare l'accesso a un ruolo. A tale scopo, confronta le chiavi delle AWS STS condizioni con i valori nella colonna del claim IdP JWT. Usa questa mappatura se il tuo IdP non è elencato nelle opzioni della scheda.

GitHub Actions Workflows e Google sono alcuni esempi IdPs che utilizzano l'implementazione predefinita nel token ID JWT OIDC.

AWS STS chiave di condizione	Dichiarazione IdP JWT	Disponibile in sessione
amr	amr	Sì
aud	azp Se non è impostato alcun valoreazp, la chiave di aud condizione corrisponde al aud reclamo.	Sì
e-mail	e-mail	No
oaud	aud	No
sub	sub	Sì

Per ulteriori informazioni sull'utilizzo delle chiavi contestuali delle condizioni OIDC con GitHub, vedere. Configurazione di un ruolo per il provider di GitHub identità OIDC Per ulteriori informazioni sui campi aud e azp di Google, consulta la Guida OpenID Connect di Google Identity Platform .

amr

Lavora con operatori stringa. La chiave è multivalore, il che significa che è possibile testarla in una policy con operatori di definizione di condizioni.

Esempio: token.actions.githubusercontent.com:amr

Il riferimento ai metodi di autenticazione include le informazioni di accesso relative all'utente. La chiave può contenere i seguenti valori:

• Se l'utente non è autenticato, la chiave contiene solo unauthenticated.

• Se l'utente è autenticato, la chiave contiene il valore authenticated e il nome del provider di accesso utilizzato nella chiamata (accounts.google.com).

aud

Lavora con operatori stringa.

Esempi:

• accounts.google.com:aud

• token.actions.githubusercontent.com:aud

Utilizza la chiave di aud condizione per verificare che il pubblico corrisponda a quello specificato nella politica. È possibile utilizzare la chiave aud con la sottochiave per lo stesso provider di identità.

Questa chiave condizionale è impostata dai seguenti campi del token:

• aud per gli ID client Google OAuth 2.0 dell'applicazione, quando il campo azp non è impostato. Quando il campo azp è impostato, il campo aud corrisponde alla chiave della condizione accounts.google.com:oaud.

• azp quando il campo azp è impostato. Questo può accadere per app ibride in cui un'applicazione Web e un'app Android hanno un ID client Google OAuth 2.0 diverso ma condividono lo stesso progetto delle API di Google.

Quando si scrive una policy utilizzando la chiave di condizione accounts.google.com:aud, occorre sapere se l'app è un'app ibrida che imposta il campo azp.

Campo azp non impostato

La policy di esempio seguente funziona per le app non ibride che non impostano il campo azp. In questo caso, il valore del campo aud del token ID di Google corrisponde a entrambi i valori della chiave di condizione accounts.google.com:aud e accounts.google.com:oaud.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"Federated": "accounts.google.com"},
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "accounts.google.com:aud": "aud-value",
                    "accounts.google.com:oaud": "aud-value",
                    "accounts.google.com:sub": "sub-value"
                }
            }
        }
    ]
}

Campo azp impostato

La policy di esempio seguente funziona per app ibride che impostano il campo azp. In questo caso, il valore del campo aud del token ID di Google corrisponde solo al valore della chiave di condizione accounts.google.com:oaud. Il valore del campo azp corrisponde al valore della chiave di condizione accounts.google.com:aud.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"Federated": "accounts.google.com"},
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "accounts.google.com:aud": "azp-value",
                    "accounts.google.com:oaud": "aud-value",
                    "accounts.google.com:sub": "sub-value"
                }
            }
        }
    ]
}

e-mail

Lavora con operatori stringa.

Esempio: accounts.google.com:email

Questa chiave condizionale convalida l'indirizzo e-mail dell'utente. Il valore di questa dichiarazione potrebbe non essere univoco per questo account e potrebbe cambiare nel tempo, pertanto non dovresti utilizzare questo valore come identificatore principale per verificare il tuo record utente.

oaud

Lavora con operatori stringa.

Esempio: accounts.google.com:oaud

Questa chiave specifica l'altro pubblico (aud) a cui è destinato questo token ID. Deve essere uno degli ID client OAuth 2.0 dell'applicazione.

sub

Lavora con operatori stringa.

Esempi:

• accounts.google.com:sub

• token.actions.githubusercontent.com: sub

Utilizza queste chiavi per verificare che l'oggetto corrisponda a quello specificato nella politica. È possibile utilizzare la chiave sub con la chiave aud per lo stesso provider di identità.

Nella seguente politica sulla fiducia dei ruoli, la chiave sub condition limita il ruolo al GitHib ramo denominatodemo.

{
   "Version": "2012-10-17",
   "Statement": [
      "Condition": {
         "StringEquals": {
            "token.actions.githubusercontent.com:aud": "sts.amazonaws.com",
            "token.actions.githubusercontent.com:sub": "repo:octo-org/octo-repo:ref:refs/heads/demo"
         }
      }
   ]
}

Amazon Cognito

Questa scheda spiega in che modo Amazon Cognito mappa le dichiarazioni OIDC per AWS STS condizionare le chiavi di contesto. AWS Puoi utilizzare queste chiavi per controllare l'accesso a un ruolo. A tale scopo, confronta le chiavi delle AWS STS condizioni con i valori nella colonna del claim IdP JWT.

Per i ruoli utilizzati da Amazon Cognito, le chiavi vengono definite utilizzando cognito-identity.amazonaws.com seguita dall'attestazione.

Per ulteriori informazioni sulla mappatura dei reclami del pool di identità, consulta le mappature dei provider predefinite nella Amazon Cognito Developer Guide. Per ulteriori informazioni sulla mappatura dei reclami del pool di utenti, consulta Using the ID token nella Amazon Cognito Developer Guide.

AWS STS chiave di condizione	Dichiarazione IdP JWT	Disponibile in sessione
amr	amr	Sì
aud	aud	Sì
oaud	aud	No
sub	sub	Sì

amr

Lavora con operatori stringa. La chiave è multivalore, il che significa che è possibile testarla in una policy con operatori di definizione di condizioni.

Esempio: cognito-identity.amazonaws.com:amr

Il riferimento ai metodi di autenticazione include le informazioni di accesso relative all'utente. La chiave può contenere i seguenti valori:

• Se l'utente non è autenticato, la chiave contiene solo unauthenticated.

• Se l'utente è autenticato, la chiave contiene il valore authenticated e il nome del provider di accesso utilizzato nella chiamata (cognito-identity.amazonaws.com).

Ad esempio, la seguente condizione nella politica di fiducia per un ruolo di Amazon Cognito verifica se l'utente non è autenticato.

"Condition": {
  "StringEquals": 
    { "cognito-identity.amazonaws.com:aud": "us-east-2:identity-pool-id" },
  "ForAnyValue:StringLike": 
    { "cognito-identity.amazonaws.com:amr": "unauthenticated" }
}

aud

Lavora con operatori stringa.

Esempio: cognito-identity.amazonaws.com:aud

Il client dell'app del pool di utenti che ha autenticato l'utente. Amazon Cognito restituisce lo stesso valore nell'attestazione client_id del token di accesso.

oaud

Lavora con operatori stringa.

Esempio — cognito-identity.amazonaws.com:oaud

Il client dell'app del pool di utenti che ha autenticato l'utente. Amazon Cognito restituisce lo stesso valore nell'attestazione client_id del token di accesso.

sub

Lavora con operatori stringa.

Esempio — cognito-identity.amazonaws.com:sub

L'identificatore univoco (UUID), o soggetto, dell'utente autenticato. Il nome utente potrebbe non essere univoco nel pool di utenti. La rivendicazione secondaria è il modo migliore per identificare un determinato utente. È possibile utilizzare la chiave sub con la chiave aud per lo stesso provider di identità.

{
   "Version": "2012-10-17",
   "Statement": [
      "Condition": {
         "StringEquals": {
            "cognito-identity.amazonaws.com:aud": "us-east-1:12345678-abcd-abcd-abcd-123456790ab",
            "cognito-identity.amazonaws.com:sub": [
               "us-east-1:12345678-1234-1234-1234-123456790ab",
               "us-east-1:98765432-1234-1234-1243-123456790ab"
            ]
         }
      }
   ]
}

Login with Amazon

Questa scheda spiega in che modo Login with Amazon mappa le dichiarazioni di OIDC di AWS STS condizionare le chiavi contestuali. AWS Puoi utilizzare queste chiavi per controllare l'accesso a un ruolo. A tale scopo, confronta le chiavi delle AWS STS condizioni con i valori nella colonna del claim IdP JWT.

AWS STS chiave di condizione	Dichiarazione IdP JWT	Disponibile in sessione
app_id	ID dell'applicazione	Sì
sub	ID utente	Sì
user_id	ID utente	Sì

app_id

Lavora con operatori stringa.

Esempio — www.amazon.com:app_id

Questa chiave specifica il contesto del pubblico che corrisponde al aud campo utilizzato da altri provider di identità.

sub

Lavora con operatori stringa.

Esempio: www.amazon.com:sub

Questa chiave verifica che l'ID utente corrisponda a quello specificato nella politica. È possibile utilizzare la chiave sub con la chiave aud per lo stesso provider di identità.

id_utente

Lavora con operatori stringa.

Esempio — www.amazon.com:user_id

Questa chiave specifica il contesto del pubblico che corrisponde al aud campo utilizzato da altri provider di identità. È possibile utilizzare la user_id chiave con la id chiave per lo stesso provider di identità.

Facebook

Questa scheda spiega in che modo Facebook mappa le chiavi contestuali dichiarate da OIDC. AWS STS AWS Puoi utilizzare queste chiavi per controllare l'accesso a un ruolo. A tale scopo, confronta le chiavi delle AWS STS condizioni con i valori nella colonna del claim IdP JWT.

AWS STS chiave di condizione	Dichiarazione IdP JWT	Disponibile in sessione
app_id	ID dell'applicazione	Sì
id	id	Sì

app_id

Lavora con operatori stringa.

Esempio — graph.facebook.com:app_id

Questa chiave verifica che il contesto del pubblico corrisponda al aud campo utilizzato da altri provider di identità.

id

Lavora con operatori stringa.

Esempio: graph.facebook.com:id

Questa chiave ha verificato che l'ID dell'applicazione (o del sito) corrisponda a quello specificato nella politica.

Ulteriori informazioni sulla federazione OIDC

• Guida per l'utente di Amazon Cognito

• Federazione OIDC

Chiavi disponibili per la federazione AWS STS basata su SAML

Se utilizzi una federazione basata su SAML utilizzando AWS Security Token Service (AWS STS), puoi includere chiavi di condizione aggiuntive nella politica.

Policy di affidabilità di un ruolo SAML

Nella policy di affidabilità di un ruolo è possibile includere le chiavi seguenti, che consentono di stabilire se il chiamante è autorizzato ad assumere il ruolo. Salvo per saml:doc, tutti i valori sono derivati dall'asserzione SAML. Tutti gli elementi nell'elenco sono disponibili nell'editor visivo della console IAM quando crei o modifichi una policy con condizioni. Gli elementi contrassegnati con [] possono avere un valore che è un elenco del tipo specificato.

saml:aud

Lavora con operatori stringa.

L'URL di un endpoint a cui vengono presentate le asserzioni SAML. Il valore di questa chiave proviene dal campo SAML Recipient dell'asserzione, non dal campo Audience.

saml:commonName[]

Lavora con operatori stringa.

Questo è un attributo commonName.

saml:cn[]

Lavora con operatori stringa.

Questo è un attributo eduOrg.

saml:doc

Lavora con operatori stringa.

Rappresenta il principale utilizzato per assumere il ruolo. Il formato è Account-ID/provider-friendly-name, ad esempio. 123456789012/SAMLProviderName Il valore ID account si riferisce all'account proprietario del provider SAML.

saml:edupersonaffiliation[]

Lavora con operatori stringa.

Questo è un attributo eduPerson.

saml:edupersonassurance[]

Lavora con operatori stringa.

Questo è un attributo eduPerson.

saml:edupersonentitlement[]

Lavora con operatori stringa.

Questo è un attributo eduPerson.

saml:edupersonnickname[]

Lavora con operatori stringa.

Questo è un attributo eduPerson.

saml:edupersonorgdn

Lavora con operatori stringa.

Questo è un attributo eduPerson.

saml:edupersonorgunitdn[]

Lavora con operatori stringa.

Questo è un attributo eduPerson.

saml:edupersonprimaryaffiliation

Lavora con operatori stringa.

Questo è un attributo eduPerson.

saml:edupersonprimaryorgunitdn

Lavora con operatori stringa.

Questo è un attributo eduPerson.

saml:edupersonprincipalname

Lavora con operatori stringa.

Questo è un attributo eduPerson.

saml:edupersonscopedaffiliation[]

Lavora con operatori stringa.

Questo è un attributo eduPerson.

saml:edupersontargetedid[]

Lavora con operatori stringa.

Questo è un attributo eduPerson.

saml:eduorghomepageuri[]

Lavora con operatori stringa.

Questo è un attributo eduOrg.

saml:eduorgidentityauthnpolicyuri[]

Lavora con operatori stringa.

Questo è un attributo eduOrg.

saml:eduorglegalname[]

Lavora con operatori stringa.

Questo è un attributo eduOrg.

saml:eduorgsuperioruri[]

Lavora con operatori stringa.

Questo è un attributo eduOrg.

saml:eduorgwhitepagesuri[]

Lavora con operatori stringa.

Questo è un attributo eduOrg.

saml:givenName[]

Lavora con operatori stringa.

Questo è un attributo givenName.

saml:iss

Lavora con operatori stringa.

L'approvatore, che è rappresentato da un URN.

saml:mail[]

Lavora con operatori stringa.

Questo è un attributo mail.

saml:name[]

Lavora con operatori stringa.

Questo è un attributo name.

saml:namequalifier

Lavora con operatori stringa.

Un valore hash basato sul nome descrittivo del provider SAML. Il valore è la concatenazione dei seguenti valori, in ordine e separati da un carattere '/':

1. Il valore di risposta Issuer (saml:iss)

2. L'ID dell'account AWS

3. Il nome descrittivo (l'ultima parte dell'ARN) del provider SAML in IAM

La concatenazione dell'ID account e del nome descrittivo del provider SAML è disponibile per le policy IAM sotto forma di chiave saml:doc. Per ulteriori informazioni, consulta Identificazione univoca degli utenti nella federazione basata su SAML.

saml:organizationStatus[]

Lavora con operatori stringa.

Questo è un attributo organizationStatus.

saml:primaryGroupSID[]

Lavora con operatori stringa.

Questo è un attributo primaryGroupSID.

saml:sub

Lavora con operatori stringa.

Questo è l'oggetto della richiesta, che include un valore che identifica in modo univoco un singolo utente in un'organizzazione (ad esempio, _cbb88bf52c2510eabe00c1642d4643f41430fe25e3).

saml:sub_type

Lavora con operatori stringa.

Questa chiave può avere il valore persistent o transient oppure consistere dell'URI Format completo, tratto dagli elementi Subject e NameID utilizzati nell'asserzione SAML. Il valore persistent indica che il valore in saml:sub è lo stesso per un utente da una sessione all'altra. Se il valore è transient, l'utente dispone di un valore saml:sub diverso per ogni sessione. Per ulteriori informazioni sull'attributo Format dell'elemento NameID, consulta Configurare le asserzioni SAML per la risposta di autenticazione.

saml:surname[]

Lavora con operatori stringa.

Questo è un attributo surnameuid.

saml:uid[]

Lavora con operatori stringa.

Questo è un attributo uid.

saml: x500 [] UniqueIdentifier

Lavora con operatori stringa.

Questo è un attributo x500UniqueIdentifier.

Per informazioni generali sugli attributi eduPerson ed eduOrg, consulta il sito Web REFEDS. Per un elenco di eduPerson attributi, consulta la specifica della classe di oggetti eduPerson (201602).

Le chiavi di condizione il cui tipo è un elenco possono includere più valori. Per creare condizioni nelle policy per valori con elenchi, è possibile utilizzare gli operatori di definizione (ForAllValues, ForAnyValue). Ad esempio, per consentire l'accesso a qualsiasi utente la cui affiliazione è "facoltà" o "staff" (ma non "studente") è possibile utilizzare una condizione come la seguente:

"Condition": {
   "ForAllValues:StringLike": {
     "saml:edupersonaffiliation":[ "faculty", "staff"] 
   }
}

Chiavi contestuali di federazione basate su SAML tra servizi AWS STS

Alcune chiavi di condizione di federazione basate su SAML possono essere utilizzate nelle richieste successive per autorizzare le AWS operazioni in altri servizi e chiamate. AssumeRole Queste sono le seguenti chiavi di condizione che possono essere utilizzate nelle politiche di fiducia dei ruoli quando i responsabili federati assumono un altro ruolo e nelle politiche delle risorse di altri AWS servizi per autorizzare l'accesso alle risorse da parte dei responsabili federati. Per ulteriori informazioni sull'utilizzo di queste chiavi, consulta Informazioni sulla federazione basata su SAML 2.0.

Seleziona una chiave di condizione per visualizzarne la descrizione.

• saml:namequalifier

• saml:sub

• saml:sub_type

Nota

Non sono disponibili altre chiavi di condizione di federazione basate su SAML da utilizzare dopo la risposta iniziale di autenticazione del gestore dell'identità digitale esterno.

Chiavi disponibili per AWS STS

È possibile utilizzare le seguenti chiavi di condizione nelle policy di fiducia dei ruoli IAM per i ruoli che vengono assunti utilizzando le operazioni AWS Security Token Service (AWS STS).

saml:sub

Lavora con operatori stringa.

Questo è l'oggetto della richiesta, che include un valore che identifica in modo univoco un singolo utente in un'organizzazione (ad esempio, _cbb88bf52c2510eabe00c1642d4643f41430fe25e3).

set: AWSServiceName

Lavora con operatori stringa.

Utilizzare questa chiave per specificare il servizio in cui è possibile utilizzare un token al portatore. Quando si utilizza questa chiave di condizione in una policy, specificare il servizio utilizzando un principale del servizio. Il principale di un servizio è il nome di un servizio che può essere specificato nell'elemento Principal di una policy. Ad esempio, codeartifact.amazonaws.com è il responsabile del AWS CodeArtifact servizio.

Alcuni AWS servizi richiedono l'autorizzazione per ottenere un token di AWS STS service bearer prima di poter accedere alle loro risorse a livello di programmazione. Ad esempio, AWS CodeArtifact richiede che le entità utilizzino token portatori per eseguire alcune operazioni. Il comando aws codeartifact get-authorization-token restituisce un token di connessione. È quindi possibile utilizzare il token bearer per eseguire operazioni. AWS CodeArtifact Per ulteriori informazioni sui token del portatore, vedere Utilizzo dei token di connessione.

Disponibilità: questa chiave è presente nelle richieste che ottengono un token di connessione. Non è possibile effettuare una chiamata diretta per ottenere un token AWS STS al portatore. Quando si eseguono alcune operazioni in altri servizi, il servizio richiede il token del portatore per conto dell'utente.

È possibile utilizzare questa chiave di condizione per consentire ai principal di ottenere un token di portatore da utilizzare con un servizio specifico.

set: DurationSeconds

Lavora con operatori numerici.

Usa questa chiave per specificare la durata (in secondi) che un principale può utilizzare per ottenere un token al AWS STS portatore.

Alcuni AWS servizi richiedono l'autorizzazione per ottenere un token AWS STS service bearer prima di poter accedere alle loro risorse a livello di codice. Ad esempio, AWS CodeArtifact richiede che le entità utilizzino token portatori per eseguire alcune operazioni. Il comando aws codeartifact get-authorization-token restituisce un token di connessione. È quindi possibile utilizzare il token bearer per eseguire operazioni. AWS CodeArtifact Per ulteriori informazioni sui token del portatore, vedere Utilizzo dei token di connessione.

Disponibilità: questa chiave è presente nelle richieste che ottengono un token di connessione. Non è possibile effettuare una chiamata diretta per ottenere un token AWS STS al portatore. Quando si eseguono alcune operazioni in altri servizi, il servizio richiede il token del portatore per conto dell'utente. La chiave non è presente per le operazioni AWS STS di assume-role.

set: ExternalId

Lavora con operatori stringa.

Utilizza questa chiave per richiedere che un'entità principale fornisca un identificatore specifico quando assume un ruolo IAM.

Disponibilità: questa chiave è presente nella richiesta quando il principale fornisce un ID esterno mentre assume un ruolo utilizzando l' AWS API AWS CLI or.

Un identificatore univoco che può essere richiesto quando assumi un ruolo in un altro account. Se l'amministratore dell'account a cui appartiene il ruolo ha fornito un ID esterno, specifica questo valore nel parametro ExternalId. Questo valore può essere qualsiasi stringa, ad esempio una passphrase o un numero di account. La funzione principale dell'ID esterno è quella di risolvere e prevenire il problema del "confused deputy" (delegato confuso). Per ulteriori informazioni sull'ID esterno e il problema del "confused deputy", consulta Come utilizzare un ID esterno per concedere l'accesso alle proprie AWS risorse a terzi.

Il valore ExternalId deve avere un minimo di 2 caratteri e un massimo di 1.224 caratteri. Il valore deve essere alfanumerico senza spazi. Può anche includere i seguenti simboli: più (+), uguale (=), virgola (,), punto (.), chiocciola (@), due punti (:), barra (/) e trattino (-).

sts:RequestContext//chiave contestuale

Lavora con operatori stringa.

Utilizza questa chiave per confrontare le coppie chiave-valore del contesto di sessione incorporate nell'asserzione di contesto firmata dall'emittente del token affidabile passata nella richiesta con i valori chiave-valore del contesto specificati nella policy di attendibilità del ruolo.

Disponibilità: questa chiave è presente nella richiesta quando viene fornita un'asserzione di contesto nel parametro di ProvidedContexts richiesta mentre si assume un ruolo utilizzando l'operazione API. AWS STS AssumeRole

Questa chiave di contesto è formattata come "sts:RequestContext/context-key":"context-value" dove context-key e context-value rappresentano una coppia chiave-valore di contesto. Quando più chiavi di contesto sono incorporate nell'asserzione di contesto firmata passata nella richiesta, è presente una chiave di contesto per ogni coppia chiave-valore. È necessario concedere l'autorizzazione per l'azione sts:SetContext nella policy di attendibilità del ruolo per consentire a un principale di impostare le chiavi di contesto all'interno del token di sessione risultante. Per ulteriori informazioni sulle chiavi di contesto IAM Identity Center supportate che possono essere utilizzate con questa chiave, consulta le chiavi di AWS STS condizione per IAM Identity Center nella Guida per l'AWS IAM Identity Center utente.

È possibile utilizzare questa chiave in una policy di attendibilità del ruolo per applicare un controllo di accesso granulare in base all'utente o ai suoi attributi quando assume un ruolo. Ad esempio, puoi configurare Amazon Redshift come applicazione IAM Identity Center per accedere alle risorse Amazon S3 per conto della tua forza lavoro o delle identità federate.

La seguente policy di attendibilità del ruolo consente al principale del servizio di Amazon Redshift di assumere un ruolo nell'account 111122223333. Concede inoltre l'autorizzazione al principale del servizio Amazon Redshift di impostare le chiavi di contesto nella richiesta, purché il set di valori della chiave di contesto identitystore:UserId sia 1111-22-3333-44-5555. Dopo aver assunto il ruolo, l'attività viene visualizzata nei AWS CloudTrail log all'interno dell'AdditionalEventDataelemento, contenenti le coppie chiave-valore del contesto di sessione che sono state impostate dal provider del contesto nella richiesta di assunzione del ruolo. Ciò consente agli amministratori di distinguere tra le sessioni di ruolo quando un ruolo viene utilizzato da principali diversi. Le coppie chiave-valore vengono impostate dal provider di contesto specificato, non da o. AWS CloudTrail AWS STS Ciò consente al provider di contesto il controllo sul contesto incluso nei CloudTrail log e nelle informazioni sulla sessione.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "redshift.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ],
            "Condition": {
                "ForAllValues:ArnEquals": {
                    "sts:RequestContextProviders": [
                        "arn:aws:iam::aws:contextProvider/IdentityCenter"
                    ]
                },
                "StringEquals": {
                    "aws:SourceAccount": "111122223333",
                    "sts:RequestContext/identitystore:UserId": "1111-22-3333-44-5555"
                }
            }
        }
    ]
}

set: RequestContextProviders

Lavora con operatori ARN.

Utilizza questa chiave per confrontare l'ARN del provider di contesto nella richiesta con l'ARN del provider di contesto specificato nella policy di attendibilità del ruolo.

Disponibilità: questa chiave è presente nella richiesta quando viene fornita un'asserzione di contesto nel parametro di ProvidedContexts richiesta mentre si assume un ruolo utilizzando l'operazione AWS STS AssumeRole API.

La condizione di esempio seguente verifica che l'ARN del provider di contesto passato nella richiesta corrisponda all'ARN specificato nella condizione della policy di attendibilità del ruolo.

      "Condition": {
        "ForAllValues:ArnEquals": {
          "sts:RequestContextProviders": [
            "arn:aws:iam::aws:contextProvider/IdentityCenter"
          ]
        }
      }

set: RoleSessionName

Lavora con operatori stringa.

Utilizzare questa chiave per confrontare il nome di sessione specificato da un'entità principale quando si assume un ruolo con il valore specificato nella policy.

Disponibilità: questa chiave è presente nella richiesta quando il principale assume il ruolo utilizzando il comando CLI AWS Management Console any assume-role o qualsiasi operazione API. AWS STS AssumeRole

È possibile utilizzare questa chiave in una policy di attendibilità del ruolo per richiedere che gli utenti forniscano un nome di sessione specifico quando assumono un ruolo. Ad esempio, è possibile richiedere che gli utenti IAM specifichino il proprio nome utente come nome di sessione. Dopo che l'utente IAM assume il ruolo, l'attività viene visualizzata nei log AWS CloudTrail con il nome della sessione corrispondente al nome utente. Ciò consente agli amministratori di distinguere tra le sessioni di ruolo quando un ruolo viene utilizzato da principali diversi.

La seguente policy di attendibilità del ruolo richiede che gli utenti IAM nell'account 111122223333 forniscano il nome utente IAM come nome di sessione quando assumono il ruolo. Questo requisito viene applicato utilizzando la variabile di condizione aws:username nella chiave di condizione. Questa policy consente agli utenti IAM di assumere il ruolo a cui è collegata la policy. Questa policy non consente a chiunque utilizzi credenziali temporanee di assumere il ruolo perché la variabile username è presente solo per gli utenti IAM.

Importante

È possibile utilizzare qualsiasi chiave di condizione a valore singolo come variabile. Non è possibile utilizzare una chiave della condizione multi-valore come variabile.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyRequireUsernameForSessionName",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Principal": {"AWS": "arn:aws:iam::111122223333:root"},
            "Condition": {
                "StringLike": {"sts:RoleSessionName": "${aws:username}"}
            }
        }
    ]
}

Quando un amministratore visualizza il AWS CloudTrail registro di un'azione, può confrontare il nome della sessione con i nomi utente del proprio account. Nell'esempio seguente, l'utente denominato matjac ha eseguito l'operazione utilizzando il ruolo denominato MateoRole. L'amministratore può quindi contattare Mateo Jackson, che ha il nome dell'utente matjac.

    "assumedRoleUser": {
        "assumedRoleId": "AROACQRSTUVWRAOEXAMPLE:matjac",
        "arn": "arn:aws:sts::111122223333:assumed-role/MateoRole/matjac"
    }

Se si consente l'accesso tra account mediante i ruoli, gli utenti di un account possono assumere un ruolo in un altro account. L'ARN dell'utente assunto elencato in CloudTrail include l'account in cui esiste il ruolo. Non include l'account dell'utente che ha assunto il ruolo. Gli utenti sono univoci solo all'interno di un account. Pertanto, ti consigliamo di utilizzare questo metodo per controllare CloudTrail i log solo per i ruoli assunti dagli utenti negli account che amministri. Gli utenti potrebbero utilizzare lo stesso nome utente in più account.

set: SourceIdentity

Lavora con operatori stringa.

Utilizza questa chiave per confrontare l'identità di origine che un principale specifica quando si assume un ruolo con il valore specificato nella policy.

Disponibilità: questa chiave è presente nella richiesta quando il principale fornisce un'identità di origine assumendo un ruolo utilizzando qualsiasi comando CLI o operazione API di AWS STS assume-role. AWS STS AssumeRole

È possibile utilizzare questa chiave in una policy di attendibilità del ruolo per richiedere che gli utenti forniscano un nome di sessione specifico quando assumono un ruolo. Ad esempio, è possibile richiedere alla forza lavoro o alle identità federate di specificare un valore per l'identità di origine. Puoi configurare il provider di identità (IdP) per utilizzare uno degli attributi associati agli utenti, ad esempio un nome utente o un messaggio di posta elettronica come identità di origine. L'IdP passa quindi l'identità di origine come attributo nelle asserzioni o nelle affermazioni a cui invia. AWS Il valore dell'attributo di identità di origine identifica l'utente o l'applicazione che assume il ruolo.

Dopo che l'utente assume il ruolo, l'attività viene visualizzata in Log di AWS CloudTrail con il valore dell'identità di origine impostato. In questo modo è più facile per gli amministratori determinare chi o cosa ha eseguito le azioni con un ruolo. AWS Per consentire a un'identità di impostare un'identità di origine, è necessario concedere le autorizzazioni per l'operazione sts:SetSourceIdentity.

A differenza di sts:RoleSessionName, dopo aver impostato l'identità di origine, il valore non può essere modificato. È presente nel contesto della richiesta di tutte le operazioni intraprese con il ruolo dall'identità di origine. Il valore persiste nelle sessioni di ruolo successive quando si utilizzano le credenziali di sessione per assumere un altro ruolo. L'assunzione di un ruolo partendo da un altro si chiama concatenamento del ruolo.

È possibile utilizzare la chiave di condizione aws:SourceIdentityglobale per controllare ulteriormente l'accesso alle AWS risorse in base al valore dell'identità di origine nelle richieste successive.

La seguente policy di attendibilità del ruolo consente all'utente IAM AdminUser di assumere un ruolo nell'account 111122223333. Inoltre, concede l'autorizzazione all'AdminUser per impostare un'identità di origine, purché il set di identità di origine sia DiegoRamirez.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAdminUserAssumeRole",
            "Effect": "Allow",
            "Principal": {"AWS": " arn:aws:iam::111122223333:user/AdminUser"},
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity"
            ],
            "Condition": {
                "StringEquals": {"sts:SourceIdentity": "DiegoRamirez"}
            }
        }
    ]
}

Per ulteriori informazioni sull'utilizzo dell'identità di origine, consulta Monitoraggio e controllo delle operazioni intraprese con i ruoli assunti.

set: TransitiveTagKeys

Lavora con operatori stringa.

Utilizzare questa chiave per confrontare le chiavi dei tag di sessione transitivi nella richiesta con quelle specificate nella policy.

Disponibilità: questa chiave è presente nella richiesta quando si effettua una richiesta utilizzando credenziali di sicurezza temporanee. Queste includono le credenziali create utilizzando qualsiasi operazione di assume-role o l'operazione GetFederationToken.

Quando si effettua una richiesta utilizzando credenziali di sicurezza temporanee, il contesto della richiesta include la chiave di contesto aws:PrincipalTag. Questa chiave include un elenco di tag di sessione, tag di sessione transitivi e tag di ruolo. I tag di sessione transitivi sono tag che persistono in tutte le sessioni successive quando si utilizzano le credenziali di sessione per assumere un altro ruolo. L'assunzione di un ruolo partendo da un altro si chiama concatenamento del ruolo.

È possibile utilizzare questa chiave di condizione in una policy per richiedere l'impostazione di specifici tag di sessione come transitivi quando si assume un ruolo o si federa un utente.