Operazioni Tipi di risorsa Chiavi di condizione

Operazioni, risorse e chiavi di condizione per AWS Security Token Service

AWS Security Token Service (prefisso del servizio:sts) fornisce le seguenti risorse, azioni e chiavi di contesto delle condizioni specifiche del servizio da utilizzare nelle politiche di autorizzazione IAM.

Riferimenti:

Scopri come configurare questo servizio.
Visualizza un elenco delle operazioni API disponibili per questo servizio.
Scopri come proteggere questo servizio e le sue risorse utilizzando le policy delle autorizzazioni di IAM.

Argomenti

Operazioni definite da AWS Security Token Service
Tipi di risorsa definiti da AWS Security Token Service
Chiavi di condizione per AWS Security Token Service

Operazioni definite da AWS Security Token Service

Puoi specificare le seguenti operazioni nell'elemento Action di un'istruzione di policy IAM. Utilizza le policy per concedere le autorizzazioni per eseguire un'operazione in AWS. Quando utilizzi un'operazione in una policy, in genere consenti o rifiuti l'accesso all'operazione API o al comando CLI con lo stesso nome. Tuttavia, in alcuni casi, una singola operazione controlla l'accesso a più di una operazione. In alternativa, alcune operazioni richiedono operazioni differenti.

La colonna Tipi di risorsa della tabella Operazioni indica se ogni operazione supporta le autorizzazioni a livello di risorsa. Se non vi è nessun valore in corrispondenza di questa colonna, è necessario specificare tutte le risorse ("*") alle quali si applica la policy nell'elemento Resource dell'istruzione di policy. Se la colonna include un tipo di risorsa, puoi specificare un ARN di quel tipo in una istruzione con tale operazione. Se l'operazione ha una o più risorse richieste, il chiamante deve disporre dell'autorizzazione per utilizzare l'operazione con tali risorse. Le risorse richieste sono indicate nella tabella con un asterisco (*). Se si limita l'accesso alle risorse con l'elemento Resource in una policy IAM, è necessario includere un ARN o un modello per ogni tipo di risorsa richiesta. Alcune operazioni supportano più tipi di risorse. Se il tipo di risorsa è facoltativo (non indicato come obbligatorio), puoi scegliere di utilizzare uno tra i tipi di risorsa facoltativi.

La colonna Chiavi di condizione della tabella Operazioni contiene le chiavi che è possibile specificare nell'elemento Condition di un'istruzione di policy. Per ulteriori informazioni sulle chiavi di condizione associate alle risorse per il servizio guarda la colonna Chiavi di condizione della tabella Tipi di risorsa.

Nota

Le chiavi relative alle condizioni delle risorse sono elencate nella tabella Tipi di risorse. Nella colonna Tipi di risorse (*obbligatorio) della tabella Operazioni è presente un collegamento al tipo di risorsa che si applica a un'operazione. Il tipo di risorsa nella tabella Tipi di risorse include la colonna Chiavi di condizione, che contiene le chiavi delle condizioni delle risorse che si applicano a un'operazione nella tabella Operazioni.

Per dettagli sulle colonne nella tabella seguente, consultare Tabella delle operazioni.

Azioni	Descrizione	Livello di accesso	Tipi di risorsa (*obbligatorio)	Chiavi di condizione
AssumeRole	Concede l'autorizzazione a ottenere un set di credenziali di sicurezza temporanee che è possibile utilizzare per accedere a AWS risorse a cui normalmente non si ha accesso	Scrittura	role*
AssumeRole		Scrittura		aws:TagKeys aws:RequestTag/${TagKey} sts:TransitiveTagKeys sts:ExternalId sts:RoleSessionName iam:ResourceTag/${TagKey} sts:SourceIdentity cognito-identity.amazonaws.com:amr cognito-identity.amazonaws.com:aud cognito-identity.amazonaws.com:sub www.amazon.com:app_id www.amazon.com:user_id graph.facebook.com:app_id graph.facebook.com:id accounts.google.com:aud accounts.google.com:sub saml:namequalifier saml:sub saml:sub_type
AssumeRoleWithSAML	Concede l'autorizzazione per ottenere un set di credenziali di sicurezza provvisorie per utenti autenticati tramite una risposta di autenticazione SAML	Scrittura	role*
AssumeRoleWithSAML		Scrittura		saml:namequalifier saml:sub saml:sub_type saml:aud saml:iss saml:doc saml:cn saml:commonName saml:eduorghomepageuri saml:eduorgidentityauthnpolicyuri saml:eduorglegalname saml:eduorgsuperioruri saml:eduorgwhitepagesuri saml:edupersonaffiliation saml:edupersonassurance saml:edupersonentitlement saml:edupersonnickname saml:edupersonorgdn saml:edupersonorgunitdn saml:edupersonprimaryaffiliation saml:edupersonprimaryorgunitdn saml:edupersonprincipalname saml:edupersonscopedaffiliation saml:edupersontargetedid saml:givenName saml:mail saml:name saml:organizationStatus saml:primaryGroupSID saml:surname saml:uid saml:x500UniqueIdentifier aws:TagKeys aws:RequestTag/${TagKey} sts:TransitiveTagKeys sts:SourceIdentity sts:RoleSessionName
AssumeRoleWithWebIdentity	Concede l'autorizzazione per ottenere un set di credenziali di sicurezza provvisorie per utenti autenticati in un'applicazione Web o mobile con un provider di identità Web	Scrittura	role*
AssumeRoleWithWebIdentity		Scrittura		cognito-identity.amazonaws.com:amr cognito-identity.amazonaws.com:aud cognito-identity.amazonaws.com:sub www.amazon.com:app_id www.amazon.com:user_id graph.facebook.com:app_id graph.facebook.com:id accounts.google.com:aud accounts.google.com:oaud accounts.google.com:sub aws:TagKeys aws:RequestTag/${TagKey} sts:TransitiveTagKeys sts:SourceIdentity sts:RoleSessionName
DecodeAuthorizationMessage	Concede l'autorizzazione a decodificare informazioni aggiuntive sullo stato di autorizzazione di una richiesta da un messaggio codificato restituito in risposta a una richiesta AWS	Scrittura
GetAccessKeyInfo	Concede l'autorizzazione per ottenere dettagli sull'ID chiave di accesso passato come parametro alla richiesta	Lettura
GetCallerIdentity	Concede l'autorizzazione per ottenere dettagli sull'identità IAM le cui credenziali vengono utilizzate per chiamare l'API	Lettura
GetFederationToken	Concede l'autorizzazione per ottenere un set di credenziali di sicurezza provvisorie (che consiste nell'ID chiave di accesso, in una chiave di accesso segreta e in un token di sicurezza) per un utente federato	Lettura	user
GetFederationToken		Lettura		aws:TagKeys aws:RequestTag/${TagKey}
GetServiceBearerToken [solo autorizzazione]	Concede l'autorizzazione a ottenere un token portatore STS per un utente AWS root, un ruolo IAM o un utente IAM	Lettura		sts:AWSServiceName sts:DurationSeconds
GetSessionToken	Concede l'autorizzazione a ottenere un set di credenziali di sicurezza temporanee (costituite da un ID della chiave di accesso, una chiave di accesso segreta e un token di sicurezza) per un utente o IAM Account AWS	Lettura
SetContext [solo autorizzazione]	Concede l'autorizzazione per impostare le chiavi di contesto in una sessione STS	Scrittura	role
			self-session
				sts:RequestContext/${ContextKey} sts:RequestContextProviders
SetSourceIdentity [solo autorizzazione]	Concede l'autorizzazione per impostare un'identità di origine in una sessione STS	Write	role
			user
				sts:SourceIdentity
TagSession [solo autorizzazione]	Concede l'autorizzazione per aggiungere tag a una sessione STS.	Applicazione di tag	role
			user
				aws:TagKeys aws:RequestTag/${TagKey} sts:TransitiveTagKeys saml:aud

Tipi di risorsa definiti da AWS Security Token Service

I seguenti tipi di risorse sono definiti da questo servizio e possono essere utilizzati nell'elemento Resource delle istruzioni di policy delle autorizzazioni IAM. Ogni operazione nella Tabella delle operazioni identifica i tipi di risorse che possono essere specificati con tale operazione. Un tipo di risorsa può anche definire quali chiavi di condizione puoi includere in una policy. Queste chiavi vengono visualizzate nell'ultima colonna della tabella. Per dettagli sulle colonne nella tabella seguente, consulta Tabella dei tipi di risorsa.

Tipi di risorsa ARN Chiavi di condizione

Tipi di risorsa	ARN	Chiavi di condizione
role	`arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}`	aws:ResourceTag/${TagKey} iam:ResourceTag/${TagKey}
user	`arn:${Partition}:iam::${Account}:user/${UserNameWithPath}`
self-session	`arn:${Partition}:sts::${Account}:self`

role

arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}

aws:ResourceTag/${TagKey}

iam:ResourceTag/${TagKey}

user arn:${Partition}:iam::${Account}:user/${UserNameWithPath}

self-session arn:${Partition}:sts::${Account}:self

Chiavi di condizione per AWS Security Token Service

AWS Security Token Service definisce le seguenti chiavi di condizione che possono essere utilizzate nell'Conditionelemento di una policy IAM. Puoi utilizzare queste chiavi per perfezionare ulteriormente le condizioni in base alle quali si applica l'istruzione di policy. Per dettagli sulle colonne nella tabella seguente, consulta Tabella delle chiavi di condizione.

Per visualizzare le chiavi di condizione globali disponibili per tutti i servizi, consulta Chiavi di condizione globali disponibili.

Chiavi di condizione	Descrizione	Type
accounts.google.com:aud	Filtra l'accesso in base all'ID dell'applicazione Google	Stringa
accounts.google.com:oaud	Filtra l'accesso in base al pubblico di Google	Stringa
accounts.google.com:sub	Filtra l'accesso in base all'oggetto della richiesta (l'ID utente Google)	Stringa
aws:RequestTag/${TagKey}	Filtra l'accesso per i tag passati nella richiesta	Stringa
aws:ResourceTag/${TagKey}	Filtra l'accesso per i tag associati alla risorsa	Stringa
aws:TagKeys	Filtra l'accesso tramite le chiavi di tag passate nella richiesta	ArrayOfString
cognito-identity.amazonaws.com:amr	Filtra l'accesso in base alle informazioni di accesso per Amazon Cognito	Stringa
cognito-identity.amazonaws.com:aud	Filtra l'accesso in base all'ID del pool di identità Amazon Cognito	Stringa
cognito-identity.amazonaws.com:sub	Filtra l'accesso in base all'oggetto della richiesta (l'ID utente Amazon Cognito)	Stringa
graph.facebook.com:app_id	Filtra l'accesso in base all'ID dell'applicazione Facebook	Stringa
graph.facebook.com:id	Filtra l'accesso in base all'ID utente Facebook	Stringa
iam:ResourceTag/${TagKey}	Filtra l'accesso in base ai tag collegati al ruolo che si sta assumendo	Stringa
saml:aud	Filtra l'accesso in base all'URL dell'endpoint a cui vengono presentate le asserzioni SAML	Stringa
saml:cn	Filtra l'accesso in base all'attributo eduOrg	ArrayOfString
saml:commonName	Filtra l'accesso in base all'attributo commonName	Stringa
saml:doc	Filtra l'accesso in base al principale utilizzato per assumere il ruolo	Stringa
saml:eduorghomepageuri	Filtra l'accesso in base all'attributo eduOrg	ArrayOfString
saml:eduorgidentityauthnpolicyuri	Filtra l'accesso in base all'attributo eduOrg	ArrayOfString
saml:eduorglegalname	Filtra l'accesso in base all'attributo eduOrg	ArrayOfString
saml:eduorgsuperioruri	Filtra l'accesso in base all'attributo eduOrg	ArrayOfString
saml:eduorgwhitepagesuri	Filtra l'accesso in base all'attributo eduOrg	ArrayOfString
saml:edupersonaffiliation	Filtra l'accesso in base all'attributo eduPerson	ArrayOfString
saml:edupersonassurance	Filtra l'accesso in base all'attributo eduPerson	ArrayOfString
saml:edupersonentitlement	Filtra l'accesso in base all'attributo eduPerson	ArrayOfString
saml:edupersonnickname	Filtra l'accesso in base all'attributo eduPerson	ArrayOfString
saml:edupersonorgdn	Filtra l'accesso in base all'attributo eduPerson	Stringa
saml:edupersonorgunitdn	Filtra l'accesso in base all'attributo eduPerson	ArrayOfString
saml:edupersonprimaryaffiliation	Filtra l'accesso in base all'attributo eduPerson	Stringa
saml:edupersonprimaryorgunitdn	Filtra l'accesso in base all'attributo eduPerson	Stringa
saml:edupersonprincipalname	Filtra l'accesso in base all'attributo eduPerson	Stringa
saml:edupersonscopedaffiliation	Filtra l'accesso in base all'attributo eduPerson	ArrayOfString
saml:edupersontargetedid	Filtra l'accesso in base all'attributo eduPerson	ArrayOfString
saml:givenName	Filtra l'accesso in base all'attributo givenName	Stringa
saml:iss	Filtra l'accesso in base all'emittente, che è rappresentato da un URN	Stringa
saml:mail	Filtra l'accesso in base all'attributo mail	Stringa
saml:name	Filtra l'accesso in base all'attributo name	Stringa
saml:namequalifier	Filtra l'accesso in base al valore hash dell'emittente, dell'ID account e del nome descrittivo	Stringa
saml:organizationStatus	Filtra l'accesso in base all'attributo organizationStatus	Stringa
saml:primaryGroupSID	Filtra l'accesso in base all'attributo primaryGroupSID	Stringa
saml:sub	Filtra l'accesso in base all'oggetto della richiesta (l'ID utente SAML)	Stringa
saml:sub_type	Filtra l'accesso in base al valore persistente, transitorio o l'URI formato completo	Stringa
saml:surname	Filtra l'accesso in base all'attributo surname	Stringa
saml:uid	Filtra l'accesso in base all'attributo uid	Stringa
saml:x500UniqueIdentifier	Filtra l'accesso in base all'attributo uid	Stringa
sts:AWSServiceName	Filtra l'accesso in base al servizio che sta ottenendo un token portatore	Stringa
sts:DurationSeconds	Filtra l'accesso in base alla durata in secondi quando si ottiene un token portatore	Stringa
sts:ExternalId	Filtra l'accesso in base all'identificatore univoco richiesto quando si assume un ruolo in un altro account	Stringa
sts:RequestContext/${ContextKey}	Filtra l'accesso in base alle coppie chiave-valore del contesto della sessione incorporate nell'asserzione di contesto firmata recuperata da un provider di contesto affidabile	Stringa
sts:RequestContextProviders	Filtra l'accesso in base agli ARN del provider di contesto	ArrayOfARN
sts:RoleSessionName	Filtra l'accesso in base al nome della sessione del ruolo richiesto quando si assume un ruolo	Stringa
sts:SourceIdentity	Filtra l'accesso in base all'identità di origine passata nella richiesta	Stringa
sts:TransitiveTagKeys	Filtra l'accesso in base alle chiavi di tag transitive che vengono passate nella richiesta	ArrayOfString
www.amazon.com:app_id	Filtra l'accesso in base all'ID applicazione Login with Amazon	Stringa
www.amazon.com:user_id	Filtra l'accesso in base all'ID utente Login with Amazon	Stringa

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti