Ações, recursos e chaves de condição do AWS Security Token Service - Referência de autorização do serviço

Ações, recursos e chaves de condição do AWS Security Token Service

O AWS Security Token Service (prefixo de serviço: sts) fornece os recursos, ações e chaves de contexto de condição específicos do serviço a seguir para uso em políticas de permissão do IAM.

Referências:

Ações definidas pelo AWS Security Token Service

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma instrução com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o elemento Resource em uma política do IAM, deverá incluir um ARN ou padrão para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.

A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.

nota

As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações Descrição Nível de acesso Tipos de recursos (*necessários) Chaves de condição Ações dependentes
AssumeRole Concede permissão para obter um conjunto de credenciais temporárias de segurança que pode ser usado para acessar recursos da AWS aos quais você talvez não tenha acesso normalmente Gravação

role*

aws:TagKeys

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

sts:ExternalId

sts:RoleSessionName

iam:ResourceTag/${TagKey}

sts:SourceIdentity

cognito-identity.amazonaws.com:amr

cognito-identity.amazonaws.com:aud

cognito-identity.amazonaws.com:sub

www.amazon.com:app_id

www.amazon.com:user_id

graph.facebook.com:app_id

graph.facebook.com:id

accounts.google.com:aud

accounts.google.com:sub

saml:namequalifier

saml:sub

saml:sub_type

AssumeRoleWithSAML Concede permissão para obter um conjunto de credenciais de segurança temporárias para usuários que foram autenticados por meio de uma resposta de autenticação SAML Gravação

role*

saml:namequalifier

saml:sub

saml:sub_type

saml:aud

saml:iss

saml:doc

saml:cn

saml:commonName

saml:eduorghomepageuri

saml:eduorgidentityauthnpolicyuri

saml:eduorglegalname

saml:eduorgsuperioruri

saml:eduorgwhitepagesuri

saml:edupersonaffiliation

saml:edupersonassurance

saml:edupersonentitlement

saml:edupersonnickname

saml:edupersonorgdn

saml:edupersonorgunitdn

saml:edupersonprimaryaffiliation

saml:edupersonprimaryorgunitdn

saml:edupersonprincipalname

saml:edupersonscopedaffiliation

saml:edupersontargetedid

saml:givenName

saml:mail

saml:name

saml:organizationStatus

saml:primaryGroupSID

saml:surname

saml:uid

saml:x500UniqueIdentifier

aws:TagKeys

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

sts:SourceIdentity

sts:RoleSessionName

AssumeRoleWithWebIdentity Concede permissão para obter um conjunto de credenciais de segurança temporárias para usuários que foram autenticados em uma aplicação móvel ou uma aplicação web com um provedor de identidades da web Gravação

role*

cognito-identity.amazonaws.com:amr

cognito-identity.amazonaws.com:aud

cognito-identity.amazonaws.com:sub

www.amazon.com:app_id

www.amazon.com:user_id

graph.facebook.com:app_id

graph.facebook.com:id

accounts.google.com:aud

accounts.google.com:oaud

accounts.google.com:sub

aws:TagKeys

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

sts:SourceIdentity

sts:RoleSessionName

DecodeAuthorizationMessage Concede permissão para decodificar informações adicionais sobre o status da autorização de uma solicitação de uma mensagem codificada retornada em resposta a uma solicitação da AWS Gravação
GetAccessKeyInfo Concede permissão para obter detalhes sobre a ID da chave de acesso passada como um parâmetro para a solicitação Leitura
GetCallerIdentity Concede permissão para obter detalhes sobre a identidade do IAM cujas credenciais são usadas para chamar a API Leitura
GetFederationToken Concede permissão para obter um conjunto de credenciais de segurança temporárias (que consistem em um ID da chave de acesso, uma chave de acesso secreta e um token de segurança) de um usuário federado Leitura

user

aws:TagKeys

aws:RequestTag/${TagKey}

GetServiceBearerToken [somente permissão] Concede permissão para obter um token de portador STS para um AWS Usuário raiz, uma função do IAM ou um usuário do IAM Leitura

sts:AWSServiceName

GetSessionToken Concede permissão para obter um conjunto de credenciais de segurança temporárias (que consistem em um ID da chave de acesso, uma chave de acesso secreta e um token de segurança) de um Conta da AWS ou usuário do IAM Leitura
SetSourceIdentity [somente permissão] Concede permissão para definir uma identidade de origem em uma sessão do STS Write

role

user

sts:SourceIdentity

TagSession [somente permissão] Concede permissão para adicionar etiquetas a uma sessão do STS Marcação

role

user

aws:TagKeys

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

saml:aud

Tipos de recursos definidos pelo AWS Security Token Service

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos ARN Chaves de condição
role arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}

aws:ResourceTag/${TagKey}

user arn:${Partition}:iam::${Account}:user/${UserNameWithPath}

Chaves de condição do AWS Security Token Service

O AWS Security Token Service define as seguintes chaves de condição que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

Chaves de condição Descrição Tipo
accounts.google.com:aud Filtra o acesso pela ID da aplicação do Google Segmento
accounts.google.com:oaud Filtra o acesso pelo público do Google Segmento
accounts.google.com:sub Filtra o acesso pelo assunto da solicitação (o ID de usuário do Google) Segmento
aws:RequestTag/${TagKey} Filtra o acesso pelas etiquetas que são transmitidas na solicitação Segmento
aws:ResourceTag/${TagKey} Filtra o acesso pelas etiquetas associadas ao recurso Segmento
aws:TagKeys Filtra o acesso pelas chaves da etiqueta que são transmitidas na solicitação ArrayOfString
cognito-identity.amazonaws.com:amr Filtra o acesso pelas informações de login do Amazon Cognito Segmento
cognito-identity.amazonaws.com:aud Filtra o acesso pelo ID do grupo de identidades do Amazon Cognito Segmento
cognito-identity.amazonaws.com:sub Filtra o acesso pelo assunto da solicitação (o ID de usuário do Amazon Cognito) Segmento
graph.facebook.com:app_id Filtra o acesso pela ID da aplicação do Facebook Segmento
graph.facebook.com:id Filtra o acesso pela ID da aplicação do Facebook Segmento
iam:ResourceTag/${TagKey} Filtra o acesso pelas etiquetas anexadas à função que está sendo assumida Segmento
saml:aud Filtra o acesso pela URL do endpoint para o qual as declarações SAML são apresentadas Segmento
saml:cn Filtra o acesso pelo atributo eduOrg ArrayOfString
saml:commonName Filtra o acesso pelo atributo commonName Segmento
saml:doc Filtra o acesso pela entidade principal que foi usada para assumir a função Segmento
saml:eduorghomepageuri Filtra o acesso pelo atributo eduOrg ArrayOfString
saml:eduorgidentityauthnpolicyuri Filtra o acesso pelo atributo eduOrg ArrayOfString
saml:eduorglegalname Filtra o acesso pelo atributo eduOrg ArrayOfString
saml:eduorgsuperioruri Filtra o acesso pelo atributo eduOrg ArrayOfString
saml:eduorgwhitepagesuri Filtra o acesso pelo atributo eduOrg ArrayOfString
saml:edupersonaffiliation Filtra o acesso pelo atributo eduPerson ArrayOfString
saml:edupersonassurance Filtra o acesso pelo atributo eduPerson ArrayOfString
saml:edupersonentitlement Filtra o acesso pelo atributo eduPerson ArrayOfString
saml:edupersonnickname Filtra o acesso pelo atributo eduPerson ArrayOfString
saml:edupersonorgdn Filtra o acesso pelo atributo eduPerson Segmento
saml:edupersonorgunitdn Filtra o acesso pelo atributo eduPerson ArrayOfString
saml:edupersonprimaryaffiliation Filtra o acesso pelo atributo eduPerson Segmento
saml:edupersonprimaryorgunitdn Filtra o acesso pelo atributo eduPerson Segmento
saml:edupersonprincipalname Filtra o acesso pelo atributo eduPerson Segmento
saml:edupersonscopedaffiliation Filtra o acesso pelo atributo eduPerson ArrayOfString
saml:edupersontargetedid Filtra o acesso pelo atributo eduPerson ArrayOfString
saml:givenName Filtra o acesso pelo atributo givenName Segmento
saml:iss Filtra o acesso pelo emissor, que é representado por um URN Segmento
saml:mail Filtra o acesso pelo atributo e-mail Segmento
saml:name Filtra o acesso pelo atributo name Segmento
saml:namequalifier Filtra o acesso pelo valor hash do emissor, no ID da conta e no nome amigável Segmento
saml:organizationStatus Filtra o acesso pelo atributo organizationStatus Segmento
saml:primaryGroupSID Filtra o acesso pelo atributo primaryGroupSID Segmento
saml:sub Filtra o acesso pelo assunto da solicitação (o ID de usuário do SAML) Segmento
saml:sub_type Filtra o acesso pelo valor persistente, transitório ou no URI de formato completo Segmento
saml:surname Filtra o acesso pelo atributo sobrenome Segmento
saml:uid Filtra o acesso pelo atributo uid Segmento
saml:x500UniqueIdentifier Filtra o acesso pelo atributo uid Segmento
sts:AWSServiceName Filtra o acesso pelo serviço que está obtendo um token de portador Segmento
sts:ExternalId Filtra o acesso pelo identificador exclusivo necessário quando você assume uma função em outra conta Segmento
sts:RoleSessionName Filtra o acesso pelo nome da sessão de função necessário quando você assume uma função Segmento
sts:SourceIdentity Filtra o acesso pela identidade de fonte que é informada na solicitação Segmento
sts:TransitiveTagKeys Filtra o acesso pelas chaves da etiqueta transitiva transmitidas na solicitação ArrayOfString
www.amazon.com:app_id Filtra o acesso pela ID de aplicação do Login with Amazon Segmento
www.amazon.com:user_id Filtra o acesso pela ID de usuário do Login with Amazon Segmento