選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

具有多個內容索引鍵或值的條件

PDF
RSS
焦點模式
具有多個內容索引鍵或值的條件 - AWS Identity and Access Management
多個內容索引鍵或值的評估邏輯否定相符條件運算子的評估邏輯

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

您可以使用政策的 Condition 元素來測試請求中單一內容索引鍵的多個內容索引鍵或多個值。當您對 AWS 提出請求時,不論是透過程式設計方式或透過 AWS Management Console,您的請求會包含主體、操作、標籤等的相關資訊。您可以使用內容索引鍵來測試請求中相符的內容索引鍵的值,以及政策條件中指定的內容索引鍵。若要了解請求中包含的資訊和資料,請參閱 請求內容

多個內容索引鍵或值的評估邏輯

Condition 元素可以包含多個條件運算子,而且每個條件運算子都可以包含多個內容索引鍵值對。除非另有指定,否則大多數內容索引鍵都支援使用多個值。

  • 如果您的政策陳述式有多個條件運算子,則使用邏輯 AND 評估條件運算子。

  • 如果您的政策陳述式已將多個內容索引鍵連接至單一條件運算子,則使用邏輯 AND 評估內容索引鍵。

  • 如果單一條件運算子包含一個內容索引鍵的多個值,則使用邏輯 OR 評估這些值。

  • 如果單一否定相符條件運算子包含一個內容索引鍵的多個值,則使用邏輯 NOR 評估這些值。

條件元素區塊中的所有內容索引鍵都必須解析為 true 才能調用所需的 AllowDeny 效果。下圖說明具有多個條件運算子和內容索引鍵值對的條件的計算邏輯。

條件區塊顯示如何將 AND 和 OR 套用到多個內容索引鍵和值

例如,下列 S3 儲存貯體政策說明上圖在政策中的表示方式。條件區塊包含條件運算子 StringEqualsArnLike,以及內容索引鍵 aws:PrincipalTagaws:PrincipalArn。若要調用所需的 AllowDeny 效果,條件區塊中的所有內容索引鍵都必須解析為 true。發出請求的用戶必須同時具有部門角色這兩個主體標籤索引鍵,其中包含政策中指定的其中一個標籤索引鍵值。此外,發出請求之使用者的主體 ARN 必須符合政策中指定的其中一個 aws:PrincipalArn 值才會評估為 true。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ExamplePolicy",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::222222222222:root"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalTag/department": [
            "finance",
            "hr",
            "legal"
          ],
          "aws:PrincipalTag/role": [
            "audit",
            "security"
          ]
        },
        "ArnLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::222222222222:user/Ana",
            "arn:aws:iam::222222222222:user/Mary"
          ]
        }
      }
    }
  ]
}

否定相符條件運算子的評估邏輯

部分條件運算子 (例如 StringNotEqualsArnNotLike) 使用否定相符將政策中的內容索引鍵值對與請求中的內容金鑰值對進行比較。使用否定相符條件運算子為政策中的單一內容索引鍵指定多個值時,有效許可的工作方式類似於邏輯 NOR。在否定相符中,僅當所有值都評估為 false 時,邏輯 NORNOT OR 才傳回 true。

下圖說明具有多個條件運算子和內容索引鍵值對的條件的計算邏輯。此圖包含內容索引鍵 3 的否定相符條件運算子。

條件區塊顯示在使用否定相符條件運算子時如何將 AND 和 OR 套用到多個內容索引鍵和值

例如,下列 S3 儲存貯體政策說明上圖在政策中的表示方式。條件區塊包含條件運算子 StringEqualsArnNotLike,以及內容索引鍵 aws:PrincipalTagaws:PrincipalArn。若要調用所需的 AllowDeny 效果,條件區塊中的所有內容索引鍵都必須解析為 true。發出請求的用戶必須同時具有部門角色這兩個主體標籤索引鍵,其中包含政策中指定的其中一個標籤索引鍵值。由於 ArnNotLike 條件運算子使用否定相符,因此發出請求的使用者的主體 ARN 必須符合要評估為 true 的政策中指定的任何 aws:PrincipalArn 值。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ExamplePolicy",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::222222222222:root"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalTag/department": [
            "finance",
            "hr",
            "legal"
          ],
          "aws:PrincipalTag/role": [
            "audit",
            "security"
          ]
        },
        "ArnNotLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::222222222222:user/Ana",
            "arn:aws:iam::222222222222:user/Mary"
          ]
        }
      }
    }
  ]
}

在本頁面

Related resources

AWS Identity and Access Management API 參考
AWS CLI 的 命令 AWS Identity and Access Management
SDK 與工具 

Related resources

AWS Identity and Access Management API 參考
AWS CLI 的 命令 AWS Identity and Access Management
SDK 與工具 
隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。