單一值與多重值的條件索引鍵。 - AWS Identity and Access Management

單一值與多重值的條件索引鍵。

單一值條件索引鍵在 API 呼叫的授權內容中最多有一個值。多重值條件索引鍵可以在 API 呼叫的授權內容中有多個值。讓條件具有單一值或多重值的原因是與 API 呼叫授權內容中的條件相關聯的潛在值數量,而不是政策中列出的值數量。

例如,要求可以來自最多一個 VPC 端點,因此 aws:SourceVpce 是單一值條件。由於服務可以有多個屬於該服務的服務委託人名稱,因此 aws:PrincipalServiceNamesList 是多重值條件索引鍵。

您可以使用任何可用的單一值條件索引鍵做為政策變數。您無法使用多重值條件索引鍵做為政策變數。如需有關政策變數的詳細資訊,請參閱 IAM 政策元素:變數與標籤

比較多重值條件索引鍵時,需要使用條件設定運算子。包含鍵值對的條件索引鍵 (例如 aws:RequestTag/tag-keyaws:ResourceTag/tag-key) 可能會導致混淆,因為可能有多個 tag-key 值。但是,由於每個 tag-key 只能有一個值,因此 aws:RequestTagaws:ResourceTag 都是單一值條件索引鍵。使用條件設定運算子搭配單一值條件索引鍵可能會導致過度寬鬆的政策。