AWS Identity and Access Management
ユーザーガイド

IAM JSON ポリシーエレメント: Condition

Condition エレメント (またはCondition block) は、ポリシーを実行するタイミングの条件を指定することができます。Conditionエレメントはオプションです。Condition エレメントには、条件演算子 (等しい、未満など) を使用してポリシー内の条件をリクエスト内の値に対して一致させる式を組み込みます。条件値には、日付、時間、リクエスタの IP アドレス、リクエストソースの ARN、ユーザー名、ユーザー ID、およびリクエスタのユーザーエージェントを含めることができます。一部のサービスでは、条件に追加的な値を指定できます。たとえば、Amazon S3 では s3:VersionId キーを使用してそのサービス固有の条件を書き込むことができます。

条件ブロック

以下の例は、Conditionエレメントの基本フォーマットを示します。

"Condition": { "DateGreaterThan" : { "aws:CurrentTime" : "2013-12-15T12:00:00Z" } }

リクエストからの値は、キーによって表現されます。この場合は aws:CurrentTime です。キー値は、後で説明するとおり、リテラル値 (2013-08-16T12:00:00Z) またはポリシー変数として指定した値と比較されます。比較の種類は、条件演算子によって指定されます (ここでは DateGreaterThan)。等号、大なり記号、小なり記号といった一般的なブール演算子を使用して、文字列、日付、数値などを比較する条件を作成できます。

一部の環境では、キーに複数の値が含まれる可能性があります。たとえば、DynamoDB へのリクエストによって、テーブルの複数の属性を返すまたは更新することが要求される場合があります。DynamoDB テーブルへのアクセス用のポリシーには、リクエストに含まれるすべての属性を含む dynamodb:Attributes キーが含まれる可能性があります。Condition 要素で設定演算子を使用することで、リクエスト内のすべての属性を、ポリシー内の許可された属性のリストと照合できます。詳細については、「複数のキー値をテストする条件を作成する (オペレーションの設定) 」を参照してください。

リクエスト中にポリシーが評価される際、AWS はキーをリクエストからの対応する値に置き換えます。 (この例では、AWS はリクエストの日時を使用します。)条件が評価された上で「true (真) 」または「false (偽) 」が返され、それを考慮に入れてポリシー全体がリクエストを許可または拒否します。

条件内の複数の値

Condition エレメントは複数の条件を含むことができ、各条件は複数のキー値ペアを含むことができます。以下の図が解説したものです。他に特定のない限り、すべてのキーには複数の値を含むことができます。

数値 foo が A または B と等しく、かつもう 1 つの数値 bar が C と等しいときに限り、リソースをジョンに使用させるとします。このような場合、次の図のような Condition ブロックを作成します。

2 つの NumericEquals 条件を含む条件ブロック

加えて、ジョンのアクセスを 2009 年 1 月 1 日以降に制限する場合を考えます。2009 年 1 月 1 日を含めた日付と共に、他の条件、DateGreaterThan、を追加することになります。このような条件が付いたブロックは、以下の図のようになります。

条件を超える日付を含む条件ブロック

複数の条件演算子がある場合、または 1 つの条件演算子に複数のキーがアタッチされている場合、条件は論理 AND を使用して評価されます。1 つの条件演算子に 1 つのキーのための複数の値が含まれる場合、条件演算子は論理 OR を使用して評価されます。許可または明示的な拒否の決定を返すためには、すべての条件演算子に一致する必要があります。いずれかの条件演算子が一致しない場合、結果は拒否となります。

AND および OR がどのように複数の値に適用されるかを示した条件ブロック

前述のように、AWS には所定の条件演算子およびキー (aws:CurrentTime など) があります。各 AWS のサービスもまた、サービス固有のキーを定義します。

たとえば、以下の条件でユーザーのジョンに Amazon SQS キューへのアクセスを許可するとします。

  • 日時は 2013/8/16 の正午を過ぎたところです。

  • 日時は 2013/8/16 の午後 3 時前です。

  • リクエスト (IAM または SQS) またはメッセージ (SNS) が、IP アドレスの 192.0.2.0 から 192.0.2.255 の範囲または 203.0.113.0 から 203.0.113.255 の範囲で入ってきます。

お客様の条件ブロックには 3 つの個別の条件演算子があり、ジョンはお客様のキュー、トピック、またはリソースにアクセスするためには、それら 3 つすべての条件演算子に一致しなければいけません。

お客様のポリシーにおいて、条件ブロックは以下のようなものになります。aws:SourceIp の 2 つの値は、OR を使用して評価されます。個別の 3 つの条件演算子が、AND を使用して、評価されます。

"Condition" : { "DateGreaterThan" : { "aws:CurrentTime" : "2013-08-16T12:00:00Z" }, "DateLessThan": { "aws:CurrentTime" : "2013-08-16T15:00:00Z" }, "IpAddress" : { "aws:SourceIp" : ["192.0.2.0/24", "203.0.113.0/24"] } }

最終的に、ある特定の条件では、ポリシー内の個々のキーに複数の値が含まれる可能性があります。条件設定演算子を使用して、これらの複数値のキーを、ポリシーに含まれる 1 つ以上の値と照合できます。詳細については、「複数のキー値をテストする条件を作成する (オペレーションの設定) 」を参照してください。

このページの内容: