Chaves de condição com valor único vs. com valores múltiplos - AWS Identity and Access Management

Chaves de condição com valor único vs. com valores múltiplos

O número potencial de valores associados à chave de condição no contexto da solicitação de uma chamada de API define de uma chave de condição é de valor único ou de valores múltiplos, não o número de valores listados na política. Chaves de condição de valor único têm, no máximo, um valor no contexto de autorização de uma chamada de API. Chaves de condição de valores múltiplos podem ter mais de um valor no contexto da solicitação de uma chamada de API.

Por exemplo, uma solicitação pode ter origem de até um endpoint da VPC. Logo, aws:SourceVpce é uma condição de valor único. Como um serviço pode ter mais de um nome de entidade principal de serviço pertencente ao serviço, aws:PrincipalServiceNamesList é uma chave de condição de valores múltiplos.

É possível usar qualquer chave de condição de valor único disponível como uma variável de política. Você não pode usar uma chave de condição de valores múltiplos como uma variável de política. Para obter mais informações sobre variáveis de política, consulte Elementos de política do IAM: variáveis e etiquetas.

As chaves de condição de valores múltiplos exigem operadores de conjunto de condições ForAllValues ou ForAnyValue. Chaves de condição que incluem pares de chave-valor, como aws:RequestTag/tag-key e aws:ResourceTag/tag-key, podem causar confusão porque podem haver vários valores de tag-key. Porém, como cada tag-key pode ter apenas um valor, aws:RequestTag e aws:ResourceTag são ambas chaves de condição de valor único. O uso de operadores de conjunto de condições com chaves de condição de valor único pode levar a políticas excessivamente permissivas.