Ações, recursos e chaves de condição do AWSSecurity Token Service - Referência de autorização do serviço

Ações, recursos e chaves de condição do AWSSecurity Token Service

O AWSSecurity Token Service (prefixo de serviço: sts) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso em políticas de permissão do IAM.

Referências:

Ações definidas pelo AWSSecurity Token Service

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Resource types (Tipos de recursos) indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você especificar um ARN de permissão no nível do recurso em uma instrução que esteja usando essa ação, ele deverá ser desse tipo. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um, mas não o outro.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações Descrição Nível de acesso Tipos de recursos (*necessários) Chaves de condição Ações dependentes
AssumeRole Concede permissão para obter um conjunto de credenciais temporárias de segurança que pode ser usado para acessar recursos da AWS aos quais você talvez não tenha acesso normalmente Write

role*

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

sts:ExternalId

sts:RoleSessionName

iam:ResourceTag/${TagKey}

sts:SourceIdentity

aws:SourceIdentity

AssumeRoleWithSAML Concede permissão para obter um conjunto de credenciais de segurança temporárias para usuários que foram autenticados por meio de uma resposta de autenticação SAML Write

role*

saml:namequalifier

saml:sub

saml:sub_type

saml:aud

saml:iss

saml:doc

saml:cn

saml:commonName

saml:eduorghomepageuri

saml:eduorgidentityauthnpolicyuri

saml:eduorglegalname

saml:eduorgsuperioruri

saml:eduorgwhitepagesuri

saml:edupersonaffiliation

saml:edupersonassurance

saml:edupersonentitlement

saml:edupersonnickname

saml:edupersonorgdn

saml:edupersonorgunitdn

saml:edupersonprimaryaffiliation

saml:edupersonprimaryorgunitdn

saml:edupersonprincipalname

saml:edupersonscopedaffiliation

saml:edupersontargetedid

saml:givenName

saml:mail

saml:name

saml:organizationStatus

saml:primaryGroupSID

saml:surname

saml:uid

saml:x500UniqueIdentifier

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

sts:SourceIdentity

sts:RoleSessionName

AssumeRoleWithWebIdentity Concede permissão para obter um conjunto de credenciais de segurança temporárias para usuários que foram autenticados em uma aplicação móvel ou uma aplicação web com um provedor de identidades da web Write

role*

cognito-identity.amazonaws.com:amr

cognito-identity.amazonaws.com:aud

cognito-identity.amazonaws.com:sub

www.amazon.com:app_id

www.amazon.com:user_id

graph.facebook.com:app_id

graph.facebook.com:id

accounts.google.com:aud

accounts.google.com:oaud

accounts.google.com:sub

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

sts:SourceIdentity

sts:RoleSessionName

DecodeAuthorizationMessage Concede permissão para decodificar informações adicionais sobre o status da autorização de uma solicitação de uma mensagem codificada retornada em resposta a uma solicitação da AWS Write
GetAccessKeyInfo Concede permissão para obter detalhes sobre a ID da chave de acesso passada como um parâmetro para a solicitação Read
GetCallerIdentity Concede permissão para obter detalhes sobre a identidade do IAM cujas credenciais são usadas para chamar a API Read
GetFederationToken Concede permissão para obter um conjunto de credenciais de segurança temporárias (que consistem em um ID da chave de acesso, uma chave de acesso secreta e um token de segurança) de um usuário federado Read

user

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

GetServiceBearerToken [somente permissão] Concede permissão para obter um token de portador STS para um AWS Usuário raiz, uma função do IAM ou um usuário do IAM Read

sts:AWSServiceName

GetSessionToken Concede permissão para obter um conjunto de credenciais de segurança temporárias (que consistem em um ID da chave de acesso, uma chave de acesso secreta e um token de segurança) de um Conta da AWS ou usuário do IAM Read
SetSourceIdentity [somente permissão] Concede permissão para definir uma identidade de origem em uma sessão do STS Write

role

user

sts:SourceIdentity

aws:SourceIdentity

TagSession [somente permissão] Concede permissão para adicionar etiquetas a uma sessão do STS Marcação

role

user

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

Tipos de recursos definidos pelo AWSSecurity Token Service

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos ARN Chaves de condição
role arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}

aws:ResourceTag/${TagKey}

user arn:${Partition}:iam::${Account}:user/${UserNameWithPath}

Chaves de condição do AWSSecurity Token Service

O AWSSecurity Token Service define as seguintes chaves de condição que podem ser usadas no elemento Conditionde uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

Chaves de condição Descrição Type
accounts.google.com:aud Filtra o acesso pela ID da aplicação do Google String
accounts.google.com:oaud Filtra o acesso pelo público do Google String
accounts.google.com:sub Filtra o acesso pelo assunto da solicitação (o ID de usuário do Google) String
aws:FederatedProvider Filtra o acesso pelo IdP que foi usado para autenticar o usuário String
aws:PrincipalTag/${TagKey} Filtra o acesso pela etiqueta associada à entidade principal que está fazendo a solicitação String
aws:RequestTag/${TagKey} Filtra o acesso pelas etiquetas que são transmitidas na solicitação String
aws:ResourceTag/${TagKey} Filtra o acesso pelas etiquetas associadas ao recurso String
aws:SourceIdentity Filtra o acesso pela identidade de fonte definida no chamador String
aws:TagKeys Filtra o acesso pelas chaves da etiqueta que são transmitidas na solicitação String
cognito-identity.amazonaws.com:amr Filtra o acesso pelas informações de login do Amazon Cognito String
cognito-identity.amazonaws.com:aud Filtra o acesso pelo ID do grupo de identidades do Amazon Cognito String
cognito-identity.amazonaws.com:sub Filtra o acesso pelo assunto da solicitação (o ID de usuário do Amazon Cognito) String
graph.facebook.com:app_id Filtra o acesso pela ID da aplicação do Facebook String
graph.facebook.com:id Filtra o acesso pela ID da aplicação do Facebook String
iam:ResourceTag/${TagKey} Filtra o acesso pelas etiquetas anexadas à função que está sendo assumida String
saml:aud Filtra o acesso pela URL do endpoint para o qual as declarações SAML são apresentadas String
saml:cn Filtra o acesso pelo atributo eduOrg ArrayOfString
saml:commonName Filtra o acesso pelo atributo commonName String
saml:doc Filtra o acesso pela entidade principal que foi usada para assumir a função String
saml:eduorghomepageuri Filtra o acesso pelo atributo eduOrg ArrayOfString
saml:eduorgidentityauthnpolicyuri Filtra o acesso pelo atributo eduOrg ArrayOfString
saml:eduorglegalname Filtra o acesso pelo atributo eduOrg ArrayOfString
saml:eduorgsuperioruri Filtra o acesso pelo atributo eduOrg ArrayOfString
saml:eduorgwhitepagesuri Filtra o acesso pelo atributo eduOrg ArrayOfString
saml:edupersonaffiliation Filtra o acesso pelo atributo eduPerson ArrayOfString
saml:edupersonassurance Filtra o acesso pelo atributo eduPerson ArrayOfString
saml:edupersonentitlement Filtra o acesso pelo atributo eduPerson ArrayOfString
saml:edupersonnickname Filtra o acesso pelo atributo eduPerson ArrayOfString
saml:edupersonorgdn Filtra o acesso pelo atributo eduPerson String
saml:edupersonorgunitdn Filtra o acesso pelo atributo eduPerson ArrayOfString
saml:edupersonprimaryaffiliation Filtra o acesso pelo atributo eduPerson String
saml:edupersonprimaryorgunitdn Filtra o acesso pelo atributo eduPerson String
saml:edupersonprincipalname Filtra o acesso pelo atributo eduPerson String
saml:edupersonscopedaffiliation Filtra o acesso pelo atributo eduPerson ArrayOfString
saml:edupersontargetedid Filtra o acesso pelo atributo eduPerson ArrayOfString
saml:givenName Filtra o acesso pelo atributo givenName String
saml:iss Filtra o acesso pelo emissor, que é representado por um URN String
saml:mail Filtra o acesso pelo atributo e-mail String
saml:name Filtra o acesso pelo atributo name String
saml:namequalifier Filtra o acesso pelo valor hash do emissor, no ID da conta e no nome amigável String
saml:organizationStatus Filtra o acesso pelo atributo organizationStatus String
saml:primaryGroupSID Filtra o acesso pelo atributo primaryGroupSID String
saml:sub Filtra o acesso pelo assunto da solicitação (o ID de usuário do SAML) String
saml:sub_type Filtra o acesso pelo valor persistente, transitório ou no URI de formato completo String
saml:surname Filtra o acesso pelo atributo sobrenome String
saml:uid Filtra o acesso pelo atributo uid String
saml:x500UniqueIdentifier Filtra o acesso pelo atributo uid String
sts:AWSServiceName Filtra o acesso pelo serviço que está obtendo um token de portador String
sts:ExternalId Filtra o acesso pelo identificador exclusivo necessário quando você assume uma função em outra conta String
sts:RoleSessionName Filtra o acesso pelo nome da sessão de função necessário quando você assume uma função String
sts:SourceIdentity Filtra o acesso pela identidade de fonte que é informada na solicitação String
sts:TransitiveTagKeys Filtra o acesso pelas chaves da etiqueta transitiva transmitidas na solicitação String
www.amazon.com:app_id Filtra o acesso pela ID de aplicação do Login with Amazon String
www.amazon.com:user_id Filtra o acesso pela ID de usuário do Login with Amazon String