AWS Kontextschlüssel für globale Bedingungen

Wenn ein Principal eine Anfrage an stellt AWS, werden AWS die Anforderungsinformationen in einem Anfragekontext zusammengefasst. Sie können das Condition Element einer JSON Richtlinie verwenden, um Schlüssel im Anforderungskontext mit Schlüsselwerten zu vergleichen, die Sie in Ihrer Richtlinie angeben. Anforderungsinformationen werden aus verschiedenen Quellen bereitgestellt, einschließlich des Principals, der die Anfrage stellt, der Ressource, für die die Anfrage gestellt wird, und der Metadaten zur Anfrage selbst.

Globale Bedingungsschlüssel können für alle AWS Dienste verwendet werden. Diese Bedingungsschlüssel können zwar in allen Richtlinien verwendet werden, der Schlüssel ist jedoch nicht in jedem Anforderungskontext verfügbar. Beispielsweise ist der aws:SourceAccount Bedingungsschlüssel nur verfügbar, wenn der Aufruf Ihrer Ressource direkt von einem AWS Service Principal erfolgt. Weitere Informationen zu den Umständen, unter denen ein globaler Schlüssel im Anforderungskontext enthalten ist, finden Sie in den Verfügbarkeitsinformationen für jeden Schlüssel.

Einige einzelne Dienste erstellen ihre eigenen Bedingungsschlüssel, die im Anforderungskontext für andere Dienste verfügbar sind. Serviceübergreifende Bedingungsschlüssel sind eine Art globaler Bedingungsschlüssel, die ein Präfix enthalten, das dem Namen des Dienstes entspricht, z. B. ec2: oderlambda:, aber für andere Dienste verfügbar sind.

Dienstspezifische Bedingungsschlüssel werden für die Verwendung mit einem einzelnen AWS Dienst definiert. Mit Amazon S3 können Sie beispielsweise eine Richtlinie mit dem s3:VersionId Bedingungsschlüssel schreiben, um den Zugriff auf eine bestimmte Version eines Amazon S3 S3-Objekts zu beschränken. Dieser Bedingungsschlüssel ist für den Service einzigartig, was bedeutet, dass er nur mit Anfragen an den Amazon S3 S3-Service funktioniert. Informationen zu servicespezifischen Bedingungsschlüsseln finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste. Wählen Sie dort den Service aus, dessen Schlüssel Sie anzeigen möchten.

"Condition": {
    "IpAddressIfExists": {"aws:SourceIp" : ["xxx"] },
    "StringEqualsIfExists" : {"aws:SourceVpc" : ["yyy"]} 
}

Schlüssel zu sensiblen Zuständen

Die folgenden Bedingungsschlüssel gelten als sensibel, da ihre Werte maschinell generiert wurden. Für die Verwendung von Platzhaltern in diesen Bedingungsschlüsseln gibt es keine gültigen Anwendungsfälle, auch nicht bei einer Teilzeichenfolge des Schlüsselwerts mit einem Platzhalter. Dies liegt daran, dass der Platzhalter den Bedingungsschlüssel einem beliebigen Wert zuordnen kann, was ein Sicherheitsrisiko darstellen könnte.

Eigenschaften des Prinzipals

Verwenden Sie die folgenden Bedingungsschlüssel, um Details über den Prinzipal, der die Anfrage stellt, mit den Prinzipaleigenschaften zu vergleichen, die Sie in der Richtlinie angeben. Eine Liste der Prinzipale, die Anfragen stellen können, finden Sie unterWie spezifiziert man einen Prinzipal.

war: PrincipalArn

Verwenden Sie diesen Schlüssel, um den Amazon-Ressourcennamen (ARN) des Prinzipals, der die Anfrage gestellt hat, mit dem zu vergleichenARN, den Sie in der Richtlinie angeben. Bei IAM Rollen gibt der Anforderungskontext die Rolle zurück, nicht die ARN des Benutzers, der die Rolle übernommen hat. ARN

Sie können den Root-Benutzer ARN als Wert für den Bedingungsschlüssel aws:PrincipalArn in AWS Organizations Dienststeuerungsrichtlinien () SCPs angeben. SCPssind eine Art von Organisationsrichtlinie, die zur Verwaltung von Berechtigungen in Ihrer Organisation verwendet wird und sich nur auf Mitgliedskonten in der Organisation auswirkt. Eine SCP schränkt die Berechtigungen für IAM Benutzer und Rollen in Mitgliedskonten ein, einschließlich des Root-Benutzers des Mitgliedskontos. Weitere Informationen zu den Auswirkungen von SCPs auf Berechtigungen finden Sie unter SCPAuswirkungen auf Berechtigungen im Organizations User Guide.

als: PrincipalAccount

Verwenden Sie diesen Schlüssel, um das Konto, zu dem der anfordernde Auftraggeber gehört, mit der Konto-ID zu vergleichen, die Sie in der Richtlinie angeben. Bei anonymen Anforderungen gibt der Anforderungskontext anonymous zurück.

Im folgenden Beispiel wird der Zugriff verweigert, mit Ausnahme von Auftraggebern mit der Kontonummer 123456789012.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAccessFromPrincipalNotInSpecificAccount",
      "Action": "service:*",
      "Effect": "Deny",
      "Resource": [
        "arn:aws:service:region:accountID:resource"
      ],
      "Condition": {
        "StringNotEquals": {
          "aws:PrincipalAccount": [
            "123456789012"
          ]
        }
      }
    }
  ]
}
        

als: PrincipalOrgPaths

Verwenden Sie diesen Schlüssel, um den AWS Organizations Pfad für den Principal, der die Anfrage stellt, mit dem Pfad in der Richtlinie zu vergleichen. Dieser Prinzipal kann ein IAM Benutzer, eine IAM Rolle, ein Verbundbenutzer oder Root-Benutzer des AWS-Kontos sein. In einer Richtlinie stellt dieser Bedingungsschlüssel sicher, dass der Anforderer ein Kontomitglied innerhalb des angegebenen Organisationsstamms oder der angegebenen Organisationseinheiten (OUs) ist. AWS Organizations Ein AWS Organizations Pfad ist eine Textdarstellung der Struktur einer Organisationseinheit. Weitere Hinweise zum Verwenden und Verstehen von Pfaden finden Sie unter Der AWS Organizations -Entitätspfad.

Die folgende Bedingung gilt beispielsweise true für Principals in Konten, die direkt mit der ou-ab12-22222222 Organisationseinheit verknüpft sind, aber nicht für deren untergeordnete OUs Organisation.

"Condition" : { "ForAnyValue:StringEquals" : {
     "aws:PrincipalOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/"]
}}

Die folgende Bedingung gilt true für Hauptbenutzer in einem Konto, das direkt mit der Organisationseinheit oder einem ihrer untergeordneten Unternehmen verknüpft ist. OUs Wenn Sie einen Platzhalter hinzufügen, müssen Sie den StringLike-Bedingungsoperator verwenden.

"Condition" : { "ForAnyValue:StringLike" : {
     "aws:PrincipalOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/*"]
}}

Die folgende Bedingung gilt true für Hauptkunden in einem Konto, das direkt mit einer der untergeordneten Organisationseinheiten verknüpft istOUs, jedoch nicht direkt mit der übergeordneten Organisationseinheit. Die vorherige Bedingung gilt für die Organisationseinheit oder für untergeordnete Elemente. Die folgende Bedingung gilt nur für untergeordnete Elemente (und für untergeordnete Elemente dieser Kinder).

"Condition" : { "ForAnyValue:StringLike" : {
     "aws:PrincipalOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/ou-*"]
}}

Die folgende Bedingung ermöglicht den Zugriff für jeden Auftraggeber in der o-a1b2c3d4e5-Organisation, unabhängig von der übergeordneten Organisationseinheit.

"Condition" : { "ForAnyValue:StringLike" : {
     "aws:PrincipalOrgPaths":["o-a1b2c3d4e5/*"]
}}

aws:PrincipalOrgPaths ist ein mehrwertiger Bedingungsschlüssel. Mehrwertige Bedingungsschlüssel können im Anforderungskontext mehrere Werte haben. Wenn Sie mehrere Werte mit dem ForAnyValue-Bedingungsoperator verwenden, muss der Pfad des Auftraggebers mit einem der in der Richtlinie aufgeführten Pfade übereinstimmen. Weitere Hinweise zu mehrwertigen Bedingungsschlüsseln finden Sie unter Mehrwertige Kontextschlüssel.

    "Condition": {
        "ForAnyValue:StringLike": {
            "aws:PrincipalOrgPaths": [
                "o-a1b2c3d4e5/r-ab12/ou-ab12-33333333/*",
                "o-a1b2c3d4e5/r-ab12/ou-ab12-22222222/*"
            ]
        }
    }

aws: ID PrincipalOrg

Verwenden Sie diesen Schlüssel, um die ID der Organisation, AWS Organizations zu der der anfordernde Principal gehört, mit der in der Richtlinie angegebenen ID zu vergleichen.

Dieser globale Schlüssel bietet eine Alternative zur Auflistung aller Konten IDs für alle AWS Konten in einer Organisation. Sie können diesen Bedingungsschlüssel verwenden, um das Angeben des Elements Principal in einer resource-based-Richtlinie zu vereinfachen. Sie können die Organisations-ID im Bedingungselement angeben. Wenn Sie Konten hinzufügen und entfernen, schließen Richtlinien, die den aws:PrincipalOrgID-Schlüssel enthalten, automatisch die richtigen Konten ein und müssen nicht manuell aktualisiert werden.

Mit der folgenden Amazon S3-Bucket-Richtlinie können beispielsweise Mitglieder aller Konten in der Organisation o-xxxxxxxxxxx ein Objekt in den Bucket amzn-s3-demo-bucket einfügen.

 {
  "Version": "2012-10-17",
  "Statement": {
    "Sid": "AllowPutObject",
    "Effect": "Allow",
    "Principal": "*",
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
    "Condition": {"StringEquals":
      {"aws:PrincipalOrgID":"o-xxxxxxxxxxx"}
    }
  }
}

Weitere Informationen zu AWS Organizations finden Sie unter Was ist AWS Organizations? im AWS Organizations Benutzerhandbuch.

PrincipalTagaws/tag-key

Verwenden Sie diesen Schlüssel, um das Tag, das dem Auftraggeber angefügt ist, der die Anforderung stellt, mit dem Tag zu vergleichen, das Sie in der Richtlinie angeben. Wenn dem Auftraggeber mehr als ein Tag angefügt ist, enthält der Anforderungskontext einen aws:PrincipalTag-Schlüssel für jeden angefügten Tag-Schlüssel.

Sie können einem Benutzer oder einer Rolle benutzerdefinierte Attribute in Form eines Schlüssel-Wert-Paares hinzufügen. Weitere Informationen zu IAM Tags finden Sie unterTags für AWS Identity and Access Management Ressourcen. Sie können aws:PrincipalTag für die Zugriffskontrolle für AWS -Auftraggeber einsetzen.

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen könnten, die es Benutzern mit dem department=hr Tag ermöglicht, IAM Benutzer, Gruppen oder Rollen zu verwalten. Um diese Richtlinie zu verwenden, ersetzen Sie die italicized placeholder text in der Beispielrichtlinie durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter Erstellen einer Richtlinie oder Bearbeiten einer Richtlinie.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iam:*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalTag/department": "hr"
        }
      }
    }
  ]
}

war: PrincipalIs AWSService

Verwenden Sie diesen Schlüssel, um zu überprüfen, ob der Aufruf Ihrer Ressource direkt von einem AWS Service Principal erfolgt. Zum Beispiel verwendet AWS CloudTrail den Service-Prinzipal cloudtrail.amazonaws.com, um Protokolle in Ihr Amazon S3-Bucket zu schreiben. Der Anforderungskontextschlüssel wird auf true festgelegt, wenn ein Dienst einen Dienstauftraggeber verwendet, um eine direkte Aktion für Ihre Ressourcen auszuführen. Der Kontextschlüssel ist auf False gesetzt, wenn der Dienst die Anmeldeinformationen eines IAM Prinzipals verwendet, um im Namen des Prinzipals eine Anfrage zu stellen. Er ist auch auf False gesetzt, wenn der Dienst eine Servicerolle oder eine dienstbezogene Rolle verwendet, um im Namen des Prinzipals einen Anruf zu tätigen.

Sie können diesen Bedingungsschlüssel verwenden, um den Zugriff auf Ihre vertrauenswürdigen Identitäten und erwarteten Netzwerkadressen zu beschränken und gleichzeitig den Zugriff auf Dienste sicher zu gewähren. AWS

Im folgenden Beispiel für eine Amazon S3 S3-Bucket-Richtlinie ist der Zugriff auf den Bucket eingeschränkt, es sei denn, die Anfrage stammt von einem Service Principal vpc-111bbb22 oder stammt von einem Service Principal, wie CloudTrail z.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ExpectedNetworkServicePrincipal",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/AWS Logs/AccountNumber/*",
      "Condition": {
        "StringNotEqualsIfExists": {
          "aws:SourceVpc": "vpc-111bbb22"
        },
        "BoolIfExists": {
          "aws:PrincipalIsAWSService": "false"
        }
      }
    }
  ]
}

Im folgenden Video erfahren Sie mehr darüber, wie Sie den Bedingungsschlüssel aws:PrincipalIsAWSService in einer Richtlinie verwenden können.

als: PrincipalServiceName

Verwenden Sie diesen Schlüssel, um den Dienstauftraggeber-Namen in der Richtlinie mit dem Dienstauftraggeber zu vergleichen, der Anforderungen an Ihre Ressourcen stellt. Sie können diesen Schlüssel verwenden, um zu überprüfen, ob dieser Aufruf von einem bestimmten Dienstauftraggeber erfolgt. Wenn ein Dienstauftraggeber eine direkte Anforderung an Ihre Ressource stellt, enthält der aws:PrincipalServiceName-Schlüssel den Namen des Dienstauftraggebers. Der AWS CloudTrail Dienstprinzipalname lautet beispielsweisecloudtrail.amazonaws.com.

Sie können diesen Bedingungsschlüssel verwenden, um den Zugriff auf Ihre vertrauenswürdigen Identitäten und erwarteten Netzwerkadressen zu beschränken und gleichzeitig den Zugriff auf einen AWS Dienst sicher zu gewähren.

Im folgenden Beispiel für eine Amazon S3 S3-Bucket-Richtlinie ist der Zugriff auf den Bucket eingeschränkt, es sei denn, die Anfrage stammt von einem Service Principal vpc-111bbb22 oder stammt von einem Service Principal, wie CloudTrail z.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ExpectedNetworkServicePrincipal",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/AWS Logs/AccountNumber/*",
      "Condition": {
        "StringNotEqualsIfExists": {
          "aws:SourceVpc": "vpc-111bbb22",
          "aws:PrincipalServiceName": "cloudtrail.amazonaws.com"
        }
      }
    }
  ]
}
        

aws: PrincipalServiceNamesList

Dieser Schlüssel enthält eine Liste aller-DienstauftraggeberNamen, die zum Dienst gehören. Dies ist ein erweiterter Bedingungsschlüssel. Sie können damit den Service daran hindern, nur von einer bestimmten Region aus auf Ihre Ressource zuzugreifen. Einige Dienste können regionale Dienstauftraggeber erstellen, um eine bestimmte Instance des Dienstes innerhalb einer bestimmten Region anzugeben. Sie können den Zugriff auf eine Ressource auf eine bestimmte Instance des Dienstes beschränken. Wenn ein Dienstauftraggeber eine direkte Anforderung an Ihre Ressource stellt, enthält der aws:PrincipalServiceNamesList eine ungeordnete Liste aller Dienst-Auftraggebernamen, die mit der regionalen Instance des Dienstes verbunden sind.

aws:PrincipalServiceNamesList ist ein mehrwertiger Bedingungsschlüssel. Mehrwertige Bedingungsschlüssel können im Anforderungskontext mehrere Werte haben. Sie müssen die Set-Operatoren ForAnyValue oder ForAllValues zusammen mit String-Bedingungsoperatoren für diesen Schlüssel verwenden. Weitere Hinweise zu mehrwertigen Bedingungsschlüsseln finden Sie unter Mehrwertige Kontextschlüssel.

als: PrincipalType

Verwenden Sie diesen Schlüssel, um den Typ des Auftraggebers, der die Anforderung stellt, mit dem Auftraggebertyp zu vergleichen, den Sie in der Richtlinie angeben. Weitere Informationen finden Sie unter Wie spezifiziert man einen Prinzipal. Für konkrete Beispiele von principal-Schlüsselwerten, siehe Auftraggeber-Schlüsselwerte.

aws:userid

Verwenden Sie diesen Schlüssel, um die Auftraggeber-ID des Anforderers mit der ID zu vergleichen, die Sie in der Richtlinie angeben. Für IAM Benutzer ist der Wert des Anforderungskontextes die Benutzer-ID. Bei IAM Rollen kann dieses Wertformat variieren. Weitere Informationen dazu, wie die Informationen für verschiedene Auftraggeber angezeigt werden, finden Sie unter Wie spezifiziert man einen Prinzipal. Für konkrete Beispiele von principal-Schlüsselwerten, siehe Auftraggeber-Schlüsselwerte.

aws:username

Verwenden Sie diesen Schlüssel, um den Benutzernamen des Anforderers mit dem Benutzernamen zu vergleichen, den Sie in der Richtlinie angeben. Weitere Informationen dazu, wie die Informationen für verschiedene Auftraggeber angezeigt werden, finden Sie unter Wie spezifiziert man einen Prinzipal. Für konkrete Beispiele von principal-Schlüsselwerten, siehe Auftraggeber-Schlüsselwerte.

Eigenschaften einer Rollensitzung

Verwenden Sie die folgenden Bedingungsschlüssel, um die Eigenschaften der Rollensitzung zum Zeitpunkt der Sitzungsgenerierung zu vergleichen. Diese Bedingungsschlüssel sind nur verfügbar, wenn eine Anfrage von einem Principal mit Rollensitzungs- oder Verbundbenutzeranmeldedaten gestellt wird. Die Werte für diese Bedingungsschlüssel sind in das Sitzungstoken der Rolle eingebettet.

Eine Rolle ist eine Art von Principal. Sie können auch die Bedingungsschlüssel aus dem Eigenschaften des Prinzipals Abschnitt verwenden, um die Eigenschaften einer Rolle auszuwerten, wenn eine Rolle eine Anfrage stellt.

als: AssumedRoot

Verwenden Sie diesen Schlüssel, um zu überprüfen, ob die Anfrage mit gestellt wurde AssumeRoot. AssumeRootgibt kurzfristige Anmeldeinformationen für eine privilegierte Root-Benutzersitzung zurück, mit der Sie privilegierte Aktionen für Mitgliedskonten ausführen können. Weitere Informationen finden Sie unter Verwalten Sie den Root-Zugriff für Mitgliedskonten zentral.

Im folgenden Beispiel verweigert die Richtlinie AssumeRoot Sitzungen das Löschen von Amazon S3 S3-Bucket-Richtlinien.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAssumeRoot",
            "Effect": "Deny",
            "Action": "s3:DeleteBucketPolicy",
            "Resource": "*",
            "Condition": {
                "StringEqualsIfExists": {
                    "aws:AssumedRoot": "true"
                }
            }
        }
    ]
}

aws: FederatedProvider

Verwenden Sie diesen Schlüssel, um die Auftraggeber-ID des Anforderers (IdP) mit der ID zu vergleichen, die Sie in der Richtlinie angeben. Dies bedeutet, dass mithilfe der AssumeRoleWithWebIdentity AWS STS Operation eine IAM Rolle übernommen wurde. Wenn die temporären Anmeldeinformationen der resultierenden Rollensitzung verwendet werden, um eine Anforderung zu stellen, identifiziert der Anforderungskontext den IdP, der die ursprüngliche Verbundidentität authentifiziert hat.

Wenn der Benutzer beispielsweise über Amazon Cognito authentifiziert wurde, enthält der Anforderungskontext den Wert cognito-identity.amazonaws.com. Wenn der Benutzer über Login with Amazon authentifiziert wurde, enthält der Anforderungskontext den Wert www.amazon.com.

Sie können jeden einwertigen Bedingungsschlüssel als Variable verwenden. Das folgende Beispiel für eine ressourcenbasierte Richtlinie verwendet den aws:FederatedProvider Schlüssel als Richtlinienvariable in ARN einer Ressource. Diese Richtlinie ermöglicht es Benutzern, die sich über einen Identitätsanbieter authentifiziert haben, Objekte aus einem Amazon-S3-Bucket mit einem für den ausstellenden Identitätsanbieter spezifischen Pfad abzurufen.

aws: TokenIssueTime

Verwenden Sie diesen Schlüssel, um das Datum und die Uhrzeit der Ausstellung der Sicherheitsanmeldeinformationen mit dem Datum und der Uhrzeit zu vergleichen, das bzw. die Sie in der Richtlinie angeben.

Informationen darüber, welche Services die Verwendung von temporären Anmeldeinformationen unterstützen, finden Sie unter AWS Dienste, die funktionieren mit IAM.

als: MultiFactorAuthAge

Verwenden Sie diesen Schlüssel, um die Anzahl der Sekunden, die seit der Autorisierung des anfordernden Prinzipals vergangen sind, MFA mit der Zahl zu vergleichen, die Sie in der Richtlinie angeben. Weitere Informationen zu finden MFA Sie unterAWS Multi-Faktor-Authentifizierung in IAM.

als: MultiFactorAuthPresent

Verwenden Sie diesen Schlüssel, um zu überprüfen, ob die Multi-Faktor-Authentifizierung (MFA) verwendet wurde, um die temporären Sicherheitsanmeldeinformationen zu validieren, die die Anfrage gestellt haben.

Temporäre Anmeldeinformationen werden verwendet, um IAM Rollen und IAM Benutzer mit temporären Tokens von AssumeRoleoder zu authentifizieren GetSessionToken, und Benutzer von. AWS Management Console

IAMBenutzerzugriffsschlüssel sind langfristige Anmeldeinformationen, in einigen Fällen werden jedoch temporäre Anmeldeinformationen im Namen von IAM Benutzern AWS erstellt, um Vorgänge auszuführen. In diesen Fällen ist der Schlüssel aws:MultiFactorAuthPresent in der Anforderung vorhanden und auf einen Wert von false gesetzt werden. Es gibt zwei häufige Fälle, in denen dies passieren kann:

Informationen darüber, welche Services die Verwendung von temporären Anmeldeinformationen unterstützen, finden Sie unter AWS Dienste, die funktionieren mit IAM.

Der aws:MultiFactorAuthPresent Schlüssel ist nicht vorhanden, wenn ein CLI Befehl API oder mit langfristigen Anmeldeinformationen aufgerufen wird, z. B. mit Schlüsselpaaren für den Benutzerzugriff. Wir empfehlen daher, beim Prüfen dieses Schlüssels die Versionen ...IfExists der Bedingungsoperatoren zu verwenden.

Es ist wichtig zu verstehen, dass das folgende Condition Element keine zuverlässige Methode ist, um zu überprüfen, ob eine Anfrage mit MFA authentifiziert wurde.

#####   WARNING: NOT RECOMMENDED   #####
"Effect" : "Deny",
"Condition" : { "Bool" : { "aws:MultiFactorAuthPresent" : "false" } }

Diese Kombination aus Deny Effekt, Bool Element und false Wert lehnt Anfragen ab, die zwar authentifiziert werden könnenMFA, es aber nicht waren. Dies gilt nur für temporäre Anmeldeinformationen, die die Verwendung unterstützen. MFA Diese Aussage verweigert nicht den Zugriff auf Anfragen, die mit langfristigen Anmeldeinformationen gestellt wurden, oder auf Anfragen, die mit MFA authentifiziert wurden. Verwenden Sie dieses Beispiel mit Vorsicht, da seine Logik kompliziert ist und es nicht testet, ob MFA -authentication tatsächlich verwendet wurde.

Verwenden Sie auch nicht die Kombination aus Deny Effekt Null-Element und true, da sie sich genauso verhält und die Logik noch komplizierter ist.

Empfohlene Kombination

Wir empfehlen Ihnen, den BoolIfExistsOperator zu verwenden, um zu überprüfen, ob eine Anfrage mit authentifiziert wurde. MFA

"Effect" : "Deny",
"Condition" : { "BoolIfExists" : { "aws:MultiFactorAuthPresent" : "false" } }

Diese Kombination aus DenyBoolIfExists, und false lehnt Anfragen ab, die nicht mit authentifiziert wurden. MFA Insbesondere werden Anfragen mit temporären Anmeldeinformationen, die nicht enthalten, abgelehnt. MFA Es lehnt auch Anfragen ab, die mit langfristigen Anmeldeinformationen gestellt werden, z. B. AWS CLI oder AWS API Operationen, die mithilfe von Zugriffsschlüsseln ausgeführt werden. Der Operator *IfExists prüft das Vorhandensein des aws:MultiFactorAuthPresent-Schlüssels und ob er vorhanden sein könnte oder nicht, wie durch seine Existenz angezeigt wird. Verwenden Sie diese Option, wenn Sie Anfragen ablehnen möchten, die nicht mit authentifiziert wurden. MFA Dies ist sicherer, kann aber Code oder Skripts beschädigen, die Zugriffstasten für den Zugriff auf AWS CLI oder AWS API verwenden.

Alternative Kombinationen

Sie können den BoolIfExistsOperator auch verwenden, um MFA -authentifizierte Anfragen und/oder Anfragen, die mit langfristigen Anmeldeinformationen gestellt werden, zuzulassen. AWS CLI AWS API

"Effect" : "Allow",
"Condition" : { "BoolIfExists" : { "aws:MultiFactorAuthPresent" : "true" } }

Diese Bedingung ist erfüllt, wenn der Schlüssel existiert und vorhanden ist oder wenn der Schlüssel nicht vorhanden ist. Diese Kombination ausAllow, und true ermöglicht AnfragenBoolIfExists, die mit authentifiziert wurdenMFA, oder Anfragen, die nicht authentifiziert werden können. MFA Das bedeutet AWS CLI, dass AWS SDK Operationen AWS API, und zulässig sind, wenn der Anforderer seine langfristigen Zugriffsschlüssel verwendet. Diese Kombination erlaubt keine Anfragen von temporären Anmeldeinformationen, die enthalten könnten, aber nicht enthalten MFA könnten.

Wenn Sie mit dem visuellen Editor der IAM Konsole eine Richtlinie erstellen und „MFAErforderlich“ auswählen, wird diese Kombination angewendet. Diese Einstellung erfordert Zugriff auf MFA die Konsole, ermöglicht aber programmatischen Zugriff ohneMFA.

Alternativ können Sie den Bool Operator verwenden, um programmatische Anfragen und Konsolenanfragen nur dann zuzulassen, wenn Sie mit der Verwendung authentifiziert sind. MFA

"Effect" : "Allow",
"Condition" : { "Bool" : { "aws:MultiFactorAuthPresent" : "true" } }

Diese Kombination aus AllowBool, und true erlaubt nur MFA -authentifizierte Anfragen. Dies gilt nur für temporäre Anmeldeinformationen, die die Verwendung von unterstützen. MFA Diese Anweisung erlaubt keinen Zugriff auf Anfragen, die mit langfristigen Zugriffsschlüsseln gestellt wurden, oder auf Anfragen, die mit temporären Anmeldeinformationen ohne Schlüssel gestellt wurdenMFA.

Verwenden Sie kein Richtlinienkonstrukt, das dem folgenden ähnelt, um zu überprüfen, ob der MFA Schlüssel vorhanden ist:

#####   WARNING: USE WITH CAUTION   #####

"Effect" : "Allow",
"Condition" : { "Null" : { "aws:MultiFactorAuthPresent" : "false" } }

Diese Kombination aus Allow Effekt, Null Element und false Wert erlaubt nur Anfragen, mit denen authentifiziert werden kannMFA, unabhängig davon, ob die Anfrage tatsächlich authentifiziert wurde. Dies ermöglicht alle Anforderungen, die mit temporären Anmeldeinformationen gestellt werden, und verweigert den Zugriff mit langfristigen Anmeldeinformationen. Verwenden Sie dieses Beispiel mit Vorsicht, da es nicht testet, ob MFA -authentication tatsächlich verwendet wurde.

war: ChatbotSourceArn

Verwenden Sie diesen Schlüssel, um die vom Principal ARN festgelegte Quell-Chat-Konfiguration mit der Chat-Konfiguration zu vergleichen, die ARN Sie in der Richtlinie für die IAM Rolle angeben, die mit Ihrer Kanalkonfiguration verknüpft ist. Sie können Anfragen auf der Grundlage der Sitzung mit der Übernahme der Rolle autorisieren, die von AWS Chatbot initiiert wurde.

Die folgende Richtlinie verweigert Amazon S3, Anfragen für alle Anfragen, die von einem Slack-Channel stammen, in den angegebenen Bucket zu stellen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExampleS3Deny",
            "Effect": "Deny",
            "Action": "s3:PutObject",
            "Resource": "arn:aws::s3:::amzn-s3-demo-bucket/*",
            "Condition": {
                "StringLike": {
                      "aws:ChatbotSourceArn": "arn:aws::chatbot::*:chat-configuration/slack-channel/*"
                }
            }
        }
    ]
}

AWS: EC2 InstanceSourceVpc

Dieser Schlüssel identifiziert die PersonVPC, an die die EC2 IAM Amazon-Rollenanmeldedaten übermittelt wurden. Sie können diesen Schlüssel in einer Richtlinie zusammen mit dem aws:SourceVPCglobalen Schlüssel verwenden, um zu überprüfen, ob ein Anruf von einem VPC (aws:SourceVPC) erfolgt, der dem VPC Ort entspricht, an den die Anmeldeinformationen übermittelt wurden (aws:Ec2InstanceSourceVpc).

Dieser Schlüssel kann mit VPC Identifikationswerten verwendet werden, ist jedoch am nützlichsten, wenn er als Variable in Kombination mit dem aws:SourceVpc Kontextschlüssel verwendet wird. Der aws:SourceVpc Kontextschlüssel ist nur dann im Anforderungskontext enthalten, wenn der Anforderer einen VPC Endpunkt verwendet, um die Anfrage zu stellen. Die Verwendung von aws:Ec2InstanceSourceVpc mit aws:SourceVpc ermöglicht eine aws:Ec2InstanceSourceVpc breitere Verwendung, da Werte verglichen werden, die sich normalerweise zusammen ändern.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RequireSameVPC",
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
            "aws:SourceVpc": "${aws:Ec2InstanceSourceVpc}"
        },
        "Null": {
          "ec2:SourceInstanceARN": "false"
        },
        "BoolIfExists": {
          "aws:ViaAWSService": "false"
        }
      }
    }
  ]
}

Im obigen Beispiel wird der Zugriff verweigert, wenn der aws:SourceVpc-Wert nicht dem aws:Ec2InstanceSourceVpc-Wert entspricht. Die Richtlinienerklärung ist nur auf Rollen beschränkt, die als EC2 Amazon-Instance-Rollen verwendet werden, indem das Vorhandensein des ec2:SourceInstanceARN Bedingungsschlüssels getestet wird.

Die Richtlinie ermöglicht aws:ViaAWSService die Autorisierung von Anfragen AWS , wenn Anfragen im Namen Ihrer EC2 Amazon-Instance-Rollen gestellt werden. Wenn Sie beispielsweise eine Anfrage von einer EC2 Amazon-Instance an einen verschlüsselten Amazon S3-Bucket stellen, ruft Amazon S3 in Ihrem Namen AWS KMS an. Einige der Schlüssel sind nicht vorhanden, wenn die Anfrage an gestellt wird AWS KMS.

AWS: EC2 InstanceSourcePrivate IPv4

Dieser Schlüssel identifiziert die private IPv4 Adresse der primären elastic network interface, an die die EC2 IAM Amazon-Rollenanmeldedaten übermittelt wurden. Sie müssen diesen Bedingungsschlüssel zusammen mit dem zugehörigen Schlüssel verwenden, aws:Ec2InstanceSourceVpc um sicherzustellen, dass Sie über eine weltweit eindeutige Kombination aus VPC ID und privater Quell-IP verfügen. Verwenden Sie diesen Schlüssel mit aws:Ec2InstanceSourceVpc, um sicherzustellen, dass eine Anfrage von derselben privaten IP-Adresse aus gestellt wurde, an die die Anmeldeinformation übermittelt wurde.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action":  "*",
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:Ec2InstanceSourceVpc": "${aws:SourceVpc}"
                },                
                "Null": {
                    "ec2:SourceInstanceARN": "false"
                },
                "BoolIfExists": {
                    "aws:ViaAWSService": "false"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action":  "*",
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:Ec2InstanceSourcePrivateIPv4": "${aws:VpcSourceIp}"
                },                               
                "Null": {
                    "ec2:SourceInstanceARN": "false"
                },
                "BoolIfExists": {
                    "aws:ViaAWSService": "false"
                }
            }
        }
    ]
}

als: SourceIdentity

Verwenden Sie diesen Schlüssel, um die Queltidentität, die vom Auftraggeber festgelegt wurde, mit der Quellidentität zu vergleichen, die Sie in der Richtlinie angeben.

Sie können diesen Schlüssel in einer Richtlinie verwenden, um Aktionen AWS von Prinzipalen zuzulassen, die bei der Übernahme einer Rolle eine Quellidentität festgelegt haben. Die Aktivität für die angegebene Quellidentität der Rolle erscheint in AWS CloudTrail. Auf diese Weise können Administratoren leichter feststellen, wer oder was Aktionen mit einer Rolle in AWS ausgeführt hat.

Im Gegensatz zu sts:RoleSessionName, nachdem die Quellidentität festgelegt wurde, kann der Wert nicht geändert werden. Es ist im Kontext der Anforderung aller Aktionen vorhanden, die von der Rolle ausgeführt werden. Wenn Sie die Sitzungsanmeldeinformationen verwenden, bleibt der Wert in nachfolgenden Rollensitzungen bestehen, um eine andere Rolle anzunehmen. Die Annahme einer Rolle von einer anderen wird als Rollenverkettung bezeichnet.

Der sts:SourceIdentitySchlüssel ist in der Anfrage enthalten, wenn der Principal zunächst eine Quellidentität festlegt und dabei eine Rolle mithilfe eines AWS STS CLI Assume-Role-Befehls oder AWS STS AssumeRole API einer Operation annimmt. Der Schlüssel aws:SourceIdentity ist in der Anforderung für alle Aktionen vorhanden, die mit einer Rollensitzung durchgeführt werden, für die eine Quellidentität festgelegt wurde.

Die folgende Rollen-Vertrauensrichtlinie für CriticalRole im Konto 111122223333 enthält eine Bedingung für aws:SourceIdentity, die verhindert, dass ein Auftraggeber ohne eine Quellidentität, die auf Saanvi oder Diego eingestellt ist, die Rolle übernehmen kann.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AssumeRoleIfSourceIdentity",
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::123456789012:role/CriticalRole"},
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity"
            ],
            "Condition": {
                "StringLike": {
                    "aws:SourceIdentity": ["Saanvi","Diego"]
                }
            }
        }
    ]
}

Weitere Informationen zur Verwendung von Quellidentitätsinformationen finden Sie unter Überwachen und Steuern von Aktionen mit übernommenen Rollen.

ec2: RoleDelivery

Verwenden Sie diesen Schlüssel, um die Version des Instance-Metadaten-Service in der signierten Anfrage mit den IAM Rollenanmeldedaten für Amazon zu vergleichenEC2. Der Instance-Metadaten-Service unterscheidet zwischen IMDSv1 und IMDSv2 Anfragen danach, ob für eine bestimmte Anfrage entweder die GET Header PUT oder, die eindeutig sindIMDSv2, in dieser Anfrage vorhanden sind.

Sie können den Instanz-Metadatendienst (IMDS) für jede Instanz so konfigurieren, dass lokaler Code oder Benutzer ihn verwenden müssenIMDSv2. Wenn Sie angeben, dass dieser verwendet werden IMDSv2 muss, funktioniert das nicht IMDSv1 mehr.

Informationen zur Konfiguration der zu verwendenden Instanz finden Sie unter Konfiguration der IMDSv2 Optionen für Instanz-Metadaten.

Im folgenden Beispiel wird der Zugriff verweigert, wenn der RoleDelivery Wert ec2: im Anforderungskontext 1.0 (IMDSv1) ist. Diese Richtlinienerklärung kann allgemein angewendet werden, da die Anfrage keine Wirkung hat, wenn sie nicht mit EC2 Amazon-Rollenanmeldedaten signiert ist.

{
    "Version": "2012-10-17",
    "Statement": [
               {
            "Sid": "RequireAllEc2RolesToUseV2",
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "NumericLessThan": {
                    "ec2:RoleDelivery": "2.0"
                }
            }
        }
    ]
}

Weitere Informationen finden Sie unter Beispielrichtlinien für die Arbeit mit Instance-Metadaten.

ec2: SourceInstanceArn

Verwenden Sie diesen Schlüssel, um die Instanz zu vergleichen, ARN von der aus die Sitzung der Rolle generiert wurde.

Richtlinienbeispiele finden Sie unter Zulassen, dass eine bestimmte Instanz Ressourcen in anderen Diensten anzeigt. AWS

kleben: RoleAssumedBy

Der AWS Glue Service legt diesen Bedingungsschlüssel für jede AWS API Anfrage fest, bei AWS Glue der eine Anfrage mithilfe einer Servicerolle im Namen des Kunden gestellt wird (nicht durch einen Job- oder Entwickler-Endpunkt, sondern direkt durch den AWS Glue Service). Verwenden Sie diesen Schlüssel, um zu überprüfen, ob ein Anruf an eine AWS Ressource vom AWS Glue Service kam.

Das folgende Beispiel fügt eine Bedingung hinzu, die es dem AWS Glue Service ermöglicht, ein Objekt aus einem Amazon S3 S3-Bucket abzurufen.

{
    "Effect": "Allow",
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
    "Condition": {
        "StringEquals": {
            "glue:RoleAssumedBy": "glue.amazonaws.com"
        }
    }
}

Klebstoff: CredentialIssuingService

Der AWS Glue Service legt diesen Schlüssel für jede AWS API Anfrage fest und verwendet dabei eine Servicerolle, die von einem Job- oder Entwickler-Endpunkt stammt. Verwenden Sie diesen Schlüssel, um zu überprüfen, ob ein Aufruf einer AWS Ressource von einem AWS Glue Job- oder Entwickler-Endpunkt aus erfolgte.

Im folgenden Beispiel wird eine Bedingung hinzugefügt, die an eine IAM Rolle angehängt ist, die von einem AWS Glue Job verwendet wird. Dadurch wird sichergestellt, dass bestimmte Aktionen je nachdem, ob die Rollensitzung für eine AWS Glue Job-Laufzeitumgebung verwendet wird, erlaubt/verweigert werden.

{
    "Effect": "Allow",
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
    "Condition": {
        "StringEquals": {
            "glue:CredentialIssuingService": "glue.amazonaws.com"
        }
    }
}

Lambda: SourceFunctionArn

Verwenden Sie diesen Schlüssel, um die Lambda-Funktion zu identifizieren, an ARN die IAM Rollenanmeldedaten übermittelt wurden. Der Lambda-Dienst legt diesen Schlüssel für jede AWS API Anfrage fest, die aus der Ausführungsumgebung Ihrer Funktion stammt. Verwenden Sie diesen Schlüssel, um zu überprüfen, ob ein Aufruf einer AWS Ressource aus dem Code einer bestimmten Lambda-Funktion stammt. Lambda legt diesen Schlüssel auch für einige Anfragen fest, die von außerhalb der Ausführungsumgebung kommen, z. B. das Schreiben von Protokollen in X-Ray CloudWatch und das Senden von Traces an X-Ray.

Das folgende Beispiel ermöglicht einer bestimmten Lambda-Funktion den s3:PutObject Zugriff auf den angegebenen Bucket.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExampleSourceFunctionArn",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Condition": {
                "ArnEquals": {
                    "lambda:SourceFunctionArn": "arn:aws::lambda:us-east-1:123456789012:function:source_lambda"
                }
            }
        }
    ]
}

Weitere Informationen finden Sie unter Working with Lambda Execution Environment Credentials im AWS Lambda Developer Guide.

ssm: SourceInstanceArn

Verwenden Sie diesen Schlüssel, um die AWS Systems Manager verwaltete Instanz zu identifizieren, an ARN die die IAM Rollenanmeldeinformationen übermittelt wurden. Dieser Bedingungsschlüssel ist nicht vorhanden, wenn die Anfrage von einer verwalteten Instance mit einer IAM Rolle stammt, die einem EC2 Amazon-Instance-Profil zugeordnet ist.

Identitätsspeicher: UserId

Verwenden Sie diesen Schlüssel, um die Identität der IAM Identity Center-Belegschaft in der signierten Anfrage mit der in der Richtlinie angegebenen Identität zu vergleichen.

Sie können den Namen eines Benutzers in Identity Center ermitteln, indem Sie mit dem, oder eine Anfrage an den Benutzer stellen. UserId IAM GetUserIdAPI AWS CLI AWS API AWS SDK

Eigenschaften des Netzwerks

Verwenden Sie die folgenden Bedingungsschlüssel, um Details über das Netzwerk, von dem die Anfrage stammt oder über das die Anfrage weitergeleitet wurde, mit den Netzwerkeigenschaften zu vergleichen, die Sie in der Richtlinie angeben.

aws: SourceIp

Verwenden Sie diesen Schlüssel, um die IP-Adresse des Anforderers mit der IP-Adresse zu vergleichen, die Sie in der Richtlinie angeben. Der aws:SourceIp-Bedingungsschlüssel kann nur für öffentliche IP-Adressbereiche verwendet werden.

Der aws:SourceIp-Bedingungsschlüssel kann in einer Richtlinie verwendet werden, um Auftraggeber zu erlauben, Anforderungen nur innerhalb eines angegebenen IP-Bereichs zu stellen.

Sie können beispielsweise die folgende identitätsbasierte Richtlinie an eine IAM Rolle anhängen. Diese Richtlinie ermöglicht es dem Benutzer, Objekte in den amzn-s3-demo-bucket3 Amazon S3 S3-Bucket zu legen, wenn er den Anruf aus dem angegebenen IPv4 Adressbereich tätigt. Diese Richtlinie ermöglicht auch einem AWS Dienst, Forward Access Sessions (FAS) der diesen Vorgang in Ihrem Namen durchführt.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PrincipalPutObjectIfIpAddress",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket3/*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": "203.0.113.0/24"
                }
            }
        }
    ]
}

Wenn Sie den Zugriff von Netzwerken aus einschränken müssen, die IPv4 sowohl als auch IPv6 Adressierung unterstützen, können Sie die IPv4 IPv6 Adresse oder Bereiche von IP-Adressen in die IAM Richtlinienbedingung aufnehmen. Die folgende identitätsbasierte Richtlinie ermöglicht es dem Benutzer, Objekte in den amzn-s3-demo-bucket3 Amazon S3 S3-Bucket zu legen, wenn der Benutzer den Anruf entweder aus bestimmten Bereichen IPv4 oder aus IPv6 Adressbereichen tätigt. Bevor Sie IPv6 Adressbereiche in Ihre IAM Richtlinie aufnehmen, stellen Sie sicher, dass der Support, mit dem AWS-Service Sie zusammenarbeiten, unterstützt wird. IPv6 Eine Liste AWS-Services dieser IPv6 Support-Leistungen finden Sie AWS-Services IPv6 im VPCAmazon-Benutzerhandbuch.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PrincipalPutObjectIfIpAddress",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket3/*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "203.0.113.0/24",
                        "2001:DB8:1234:5678::/64"
                    ]
                }
            }
        }
    ]
}

Wenn die Anfrage von einem Host kommt, der einen VPC Amazon-Endpunkt verwendet, ist der aws:SourceIp Schlüssel nicht verfügbar. Sie sollten stattdessen einen VPC -spezifischen Schlüssel wie aws: VpcSourceIp verwenden. Weitere Informationen zur Verwendung von VPC Endpunkten finden Sie im Handbuch unter Identitäts- und Zugriffsmanagement für VPC VPC Endgeräte und Endpunktdienste.AWS PrivateLink

aws: SourceVpc

Verwenden Sie diesen Schlüssel, um zu überprüfen, ob die Anfrage den Ordner durchläuftVPC, an den der VPC Endpunkt angehängt ist. In einer Richtlinie können Sie diesen Schlüssel verwenden, um nur einem bestimmten Benutzer Zugriff zu gewährenVPC. Weitere Informationen finden Sie unter Beschränken des Zugriffs auf ein bestimmtes VPC Objekt im Amazon Simple Storage Service-Benutzerhandbuch.

In einer Richtlinie können Sie diesen Schlüssel verwenden, um den Zugriff auf eine bestimmte Person zuzulassen oder einzuschränkenVPC.

Sie können beispielsweise die folgende identitätsbasierte Richtlinie an eine IAM Rolle anhängen, um sie dem amzn-s3-demo-bucket3 Amazon S3 S3-Bucket PutObject zu verweigern, es sei denn, die Anfrage wird von der angegebenen VPC ID gestellt oder sie verwendet Forward Access Sessions (FAS) AWS-Services, um Anfragen im Namen der Rolle zu stellen. Im Gegensatz zu bei müssen Sie aws:V iaAWSService oder verwendenaws: SourceIp, aws: CalledVia um FAS Anfragen zuzulassen, da die Quelle VPC der ursprünglichen Anfrage nicht erhalten bleibt.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "PutObjectIfNotVPCID",
      "Effect": "Deny",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket3/*",
      "Condition": {
        "StringNotEqualsIfExists": {
          "aws:SourceVpc": "vpc-1234567890abcdef0"
        },
        "Bool": {
          "aws:ViaAWSService": "false"
        }
      }
    }
  ]
}

Ein Beispiel für die Anwendung dieses Schlüssels in einer ressourcenbasierten Richtlinie finden Sie unter Beschränken des Zugriffs auf eine bestimmte Richtlinie VPC im Amazon Simple Storage Service-Benutzerhandbuch.

als: SourceVpce

Verwenden Sie diesen Schlüssel, um die VPC Endpunkt-ID der Anfrage mit der Endpunkt-ID zu vergleichen, die Sie in der Richtlinie angeben.

In einer Richtlinie können Sie diesen Schlüssel verwenden, um den Zugriff auf einen bestimmten VPC Endpunkt zu beschränken. Weitere Informationen finden Sie unter Beschränken des Zugriffs auf ein bestimmtes VPC Objekt im Amazon Simple Storage Service-Benutzerhandbuch. Ähnlich wie bei der Verwendung müssen Sie Anfragen verwenden aws:V iaAWSService oder zulassenaws: SourceVpc, aws: CalledVia die AWS-Services mithilfe von Forward-Access-Sitzungen (FAS) gestellt wurden. Das liegt daran, dass der VPC Quellendpunkt der ersten Anfrage nicht beibehalten wird.

als: VpcSourceIp

Verwenden Sie diesen Schlüssel, um die IP-Adresse, von der eine Anforderung stammt, mit der IP-Adresse zu vergleichen, die Sie in der Richtlinie angeben. In einer Richtlinie stimmt der Schlüssel nur überein, wenn die Anfrage von der angegebenen IP-Adresse stammt und einen VPC Endpunkt durchläuft.

Weitere Informationen finden Sie unter Steuern des Zugriffs auf VPC Endgeräte mithilfe von Endpunktrichtlinien im VPCAmazon-Benutzerhandbuch. Ähnlich wie bei der Verwendung müssen Sie Anfragen verwenden aws:V iaAWSService oder zulassenaws: SourceVpc, aws: CalledVia die AWS-Services mithilfe von Forward-Access-Sitzungen (FAS) gestellt wurden. Dies liegt daran, dass die Quell-IP der ersten Anfrage, die über einen VPC Endpunkt gestellt wurde, in FAS Anfragen nicht beibehalten wird.

Eigenschaften der Ressource

Verwenden Sie die folgenden Bedingungsschlüssel, um Details zu der Ressource, die das Ziel der Anfrage ist, mit den Ressourceneigenschaften zu vergleichen, die Sie in der Richtlinie angeben.

aws: ResourceAccount

Verwenden Sie diesen Schlüssel, um die AWS-Konto -ID des angeforderten Ressourcenbesitzers mit dem Ressourcenkonto in der Richtlinie zu vergleichen. Sie können dann den Zugriff auf diese Ressource basierend auf dem Konto, dem die Ressource gehört, erlauben oder verweigern.

Dieser Schlüssel entspricht der AWS-Konto ID für das Konto, dessen Ressourcen in der Anfrage ausgewertet wurden.

Für die meisten Ressourcen in Ihrem Konto ARNenthält der die Besitzerkonto-ID für diese Ressource. Bei bestimmten Ressourcen, wie z. B. Amazon S3 S3-Buckets, enthält die Ressource ARN nicht die Konto-ID. Die folgenden zwei Beispiele zeigen den Unterschied zwischen einer Ressource mit einer Konto-ID in und einem Amazon S3 ARN ohne Konto-ID: ARN

Verwenden Sie die AWS Konsole oderAPI, oderCLI, um all Ihre Ressourcen und die entsprechenden Ressourcen zu findenARNs.

Sie schreiben eine Richtlinie, die Berechtigungen für Ressourcen basierend auf der Konto-ID des Ressourcenbesitzers verweigert. Zum Beispiel verweigert die folgende identitätsbasierte Richtlinie den Zugriff auf die angegebene Ressource, wenn die Ressource nicht dem angegebenen Konto angehört.

Um diese Richtlinie zu verwenden, ersetzen Sie den kursiv gedruckten Platzhaltertext durch Ihre eigenen Kontoinformationen.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyInteractionWithResourcesNotInSpecificAccount",
      "Action": "service:*",
      "Effect": "Deny",
      "Resource": [
        "arn:aws:service:region:account:*"
      ],
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "account"
          ]
        }
      }
    }
  ]
}

Diese Richtlinie verweigert den Zugriff auf alle Ressourcen für einen bestimmten AWS Dienst, es sei denn, der angegebene Benutzer AWS-Konto besitzt die Ressource.

Bestimmte AWS Dienste, wie z. B. AWS Data Exchange, sind AWS-Konten für den normalen Betrieb auf den Zugriff auf Ressourcen außerhalb Ihres Computers angewiesen. Wenn Sie das Element aws:ResourceAccount in Ihren Richtlinien verwenden, fügen Sie zusätzliche Erklärungen hinzu, um Ausnahmen für diese Services zu erstellen. Die Beispielrichtlinie AWS: Verweigern Sie den Zugriff auf Amazon S3 S3-Ressourcen außerhalb Ihres Kontos, außer AWS Data Exchange zeigt, wie der Zugriff basierend auf dem Ressourcenkonto verweigert wird, während Ausnahmen für serviceeigene Ressourcen definiert werden.

Verwenden Sie diese Richtlinienbeispiele als Vorlagen für die Erstellung Ihrer eigenen benutzerdefinierten Richtlinien. Weitere Informationen finden Sie in Ihrer Service-Dokumentation.

war: ResourceOrgPaths

Verwenden Sie diesen Schlüssel, um den AWS Organisationspfad für die Ressource, auf die zugegriffen wurde, mit dem Pfad in der Richtlinie zu vergleichen. In einer Richtlinie stellt dieser Bedingungsschlüssel sicher, dass die Ressource einem Kontomitglied innerhalb des angegebenen Organisationsstamms oder der angegebenen Organisationseinheiten (OUs) in AWS Organizations gehört. Ein AWS Organisationspfad ist eine Textdarstellung der Struktur einer Organisationseinheit. Weitere Informationen zum Verwenden und Verstehen von Pfaden finden Sie unter Der AWS Organizations -Entitätspfad.

aws:ResourceOrgPaths ist ein mehrwertiger Bedingungsschlüssel. Mehrwertige Bedingungsschlüssel können im Anforderungskontext mehrere Werte haben. Sie müssen die Set-Operatoren ForAnyValue oder ForAllValues zusammen mit String-Bedingungsoperatoren für diesen Schlüssel verwenden. Weitere Hinweise zu mehrwertigen Bedingungsschlüsseln finden Sie unter Mehrwertige Kontextschlüssel.

Zum Beispiel gibt die folgende Bedingung True für Ressourcen zurück, die zur Organisation o-a1b2c3d4e5 gehören. Wenn Sie einen Platzhalter angeben, müssen Sie den StringLikeBedingungsoperator verwenden.

"Condition": { 
      "ForAnyValue:StringLike": {
             "aws:ResourceOrgPaths":["o-a1b2c3d4e5/*"]
   }
}

Die folgende Bedingung gibt True für Ressourcen mit der OU-ID ou-ab12-11111111 zurück. Es entspricht Ressourcen, die Konten gehören, die der Organisationseinheit ou-ab12-11111111 oder einem beliebigen Kind zugeordnet sind. OUs

"Condition": { "ForAnyValue:StringLike" : {
     "aws:ResourceOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/*"]
}}

Die folgende Bedingung gilt True für Ressourcen, die Konten gehören, die direkt mit der OU-ID verknüpft sind, aber nicht dem Kind. ou-ab12-22222222 OUs Im folgenden Beispiel wird der StringEqualsBedingungsoperator verwendet, um die exakte Übereinstimmungsanforderung für die OU-ID und nicht um eine Platzhalterübereinstimmung anzugeben.

"Condition": { "ForAnyValue:StringEquals" : {
     "aws:ResourceOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/"]
}}

Bestimmte AWS Dienste, wie z. B. AWS Data Exchange, sind AWS-Konten für den normalen Betrieb auf den Zugriff auf Ressourcen außerhalb Ihres Computers angewiesen. Wenn Sie den Schlüssel aws:ResourceOrgPaths in Ihren Richtlinien verwenden, fügen Sie zusätzliche Erklärungen hinzu, um Ausnahmen für diese Services zu erstellen. Die Beispielrichtlinie AWS: Verweigern Sie den Zugriff auf Amazon S3 S3-Ressourcen außerhalb Ihres Kontos, außer AWS Data Exchange zeigt, wie der Zugriff basierend auf dem Ressourcenkonto verweigert wird, während Ausnahmen für serviceeigene Ressourcen definiert werden. Sie können eine ähnliche Richtlinie erstellen, um den Zugriff auf Ressourcen innerhalb Ihrer Organisationseinheit (OU) mithilfe des aws:ResourceOrgPaths-Schlüssels zu beschränken und gleichzeitig serviceeigene Ressourcen zu berücksichtigen.

Verwenden Sie diese Richtlinienbeispiele als Vorlagen für die Erstellung Ihrer eigenen benutzerdefinierten Richtlinien. Weitere Informationen finden Sie in Ihrer Service-Dokumentation.

aws: ResourceOrg ID

Verwenden Sie diesen Schlüssel, um die ID der Organisation in AWS Organizations, zu der die angeforderte Ressource gehört, mit der in der Richtlinie angegebenen ID zu vergleichen.

Dieser globale Schlüssel gibt die ID der Ressourcenorganisation für eine bestimmte Anforderung zurück. Es erlaubt Ihnen, Regeln zu erstellen, die für alle Ressourcen in einer Organisation gelten, die im Resource-Element einer identitätsbasierten Richtlinie angegeben sind. Sie können die Organisations-ID im Bedingungselement angeben. Wenn Sie Konten hinzufügen und entfernen, schließen Richtlinien, die den aws:ResourceOrgID-Schlüssel enthalten, automatisch die richtigen Konten ein und Sie müssen sie nicht manuell aktualisieren.

Zum Beispiel verhindert die folgende Richtlinie, dass der Prinzipal der policy-genius-dev-Ressource Objekte hinzufügt, es sei denn, die Amazon-S3-Ressource gehört derselben Organisation an wie der Prinzipal, der die Anforderung stellt.

{
  "Version": "2012-10-17",
  "Statement": {
    "Sid": "DenyPutObjectToS3ResourcesOutsideMyOrganization",
    "Effect": "Deny",
    "Action": "s3:PutObject",
    "Resource": "arn:partition:s3:::policy-genius-dev/*",
    "Condition": {
      "StringNotEquals": {
        "aws:ResourceOrgID": "${aws:PrincipalOrgID}"
      }
    }
  }
}

Bestimmte AWS Dienste, wie z. B. AWS Data Exchange, sind AWS-Konten für den normalen Betrieb auf den Zugriff auf Ressourcen außerhalb Ihres Computers angewiesen. Wenn Sie den Schlüssel aws:ResourceOrgID in Ihren Richtlinien verwenden, fügen Sie zusätzliche Erklärungen hinzu, um Ausnahmen für diese Services zu erstellen. Die Beispielrichtlinie AWS: Verweigern Sie den Zugriff auf Amazon S3 S3-Ressourcen außerhalb Ihres Kontos, außer AWS Data Exchange zeigt, wie der Zugriff basierend auf dem Ressourcenkonto verweigert wird, während Ausnahmen für serviceeigene Ressourcen definiert werden. Sie können eine ähnliche Richtlinie erstellen, um den Zugriff auf Ressourcen innerhalb Ihrer Organisation mithilfe des aws:ResourceOrgID-Schlüssels zu beschränken und gleichzeitig serviceeigene Ressourcen zu berücksichtigen.

Verwenden Sie diese Richtlinienbeispiele als Vorlagen für die Erstellung Ihrer eigenen benutzerdefinierten Richtlinien. Weitere Informationen finden Sie in Ihrer Service-Dokumentation.

Im folgenden Video erfahren Sie mehr darüber, wie Sie den Bedingungsschlüssel aws:ResourceOrgID in einer Richtlinie verwenden können.

aws:ResourceTag/Tag-Taste

Verwenden Sie diesen Schlüssel, um das Tag-Schlüssel-Wert-Paar, das Sie in der Richtlinie angeben, mit dem Schlüssel-Wert-Paar zu vergleichen, das der Ressource zugeordnet ist. Beispiel: Sie können verlangen, dass der Zugriff auf eine Ressource nur gewährt wird, wenn die Ressource über den angefügten Tag-Schlüssel "Dept" mit dem Wert "Marketing" verfügt. Weitere Informationen finden Sie unter Steuern des Zugriffs auf AWS -Ressourcen.

Dieser Kontextschlüssel ist wie folgt formatiert "aws:ResourceTag/tag-key":"tag-value" tag-key and tag-value sind ein Tag-Schlüssel- und Wertepaar. Bei Tag-Schlüsseln und -Werten wird nicht zwischen Groß- und Kleinschreibung unterschieden. Dies bedeutet Folgendes: Wenn Sie "aws:ResourceTag/TagKey1": "Value1" im Bedingungselement Ihrer Richtlinie angeben, stimmt die Bedingung mit einem Ressourcen-Tag-Schlüssel mit dem Namen TagKey1 oder tagkey1 überein, aber nicht mit beiden.

Beispiele für die Verwendung des aws:ResourceTag Schlüssels zur Steuerung des Zugriffs auf IAM Ressourcen finden Sie unterSteuern des Zugriffs auf AWS -Ressourcen.

Beispiele für die Verwendung des aws:ResourceTag Schlüssels zur Steuerung des Zugriffs auf andere AWS Ressourcen finden Sie unterSteuern des Zugriffs auf AWS Ressourcen mithilfe von Tags.

Ein Tutorial zur Verwendung des aws:ResourceTag Bedingungsschlüssels für die attributbasierte Zugriffskontrolle (ABAC) finden Sie unterIAMTutorial: Definieren Sie Berechtigungen für den Zugriff auf AWS Ressourcen auf der Grundlage von Tags.

Eigenschaften der Anfrage

Verwenden Sie die folgenden Bedingungsschlüssel, um Details zur Anfrage selbst und zum Inhalt der Anforderung mit den Anforderungseigenschaften zu vergleichen, die Sie in der Richtlinie angeben.

aws: CalledVia

Verwenden Sie diesen Schlüssel, um die Dienste in der Richtlinie mit den Diensten zu vergleichen, die Anfragen im Namen des IAM Prinzipals (Benutzer oder Rolle) gestellt haben. Wenn ein Principal eine Anfrage an einen AWS Dienst stellt, verwendet dieser Dienst möglicherweise die Anmeldeinformationen des Prinzipals, um nachfolgende Anfragen an andere Dienste zu stellen. Der Schlüssel aws:CalledVia enthält eine geordnete Liste aller Services in der Kette, die im Auftrag des Auftraggebers Anforderungen ausgegeben haben.

Sie können es beispielsweise verwenden, AWS CloudFormation um aus einer Amazon DynamoDB-Tabelle zu lesen und zu schreiben. DynamoDB verwendet dann die von AWS Key Management Service ()AWS KMS bereitgestellte Verschlüsselung.

Um den aws:CalledVia Bedingungsschlüssel in einer Richtlinie verwenden zu können, müssen Sie die Dienstprinzipale angeben, um AWS Serviceanfragen zuzulassen oder abzulehnen. AWS unterstützt die Verwendung der folgenden Dienstprinzipale mit. aws:CalledVia

Um den Zugriff zu erlauben oder zu verweigern, wenn irgendein Service unter Verwendung der Anmeldeinformationen des Auftraggebers eine Anforderung ausgibt, verwenden Sie den Bedingungsschlüssel aws:V iaAWSService. Dieser Bedingungsschlüssel unterstützt AWS Dienste.

Der aws:CalledVia-Schlüssel ist ein mehrwertiger Schlüssel. Sie können die Reihenfolge jedoch nicht mit diesem Schlüssel in einer Bedingung erzwingen. Anhand des obigen Beispiels gibt User 1 (Benutzer 1) eine Anforderung an AWS CloudFormation aus, das DynamoDB aufruft, das wiederum AWS KMS aufruft. Dies sind drei separate Anforderungen. Der letzte Aufruf von AWS KMS wird von Benutzer 1 über AWS CloudFormation und dann DynamoDB ausgeführt.

In diesem Fall enthält der Schlüssel aws:CalledVia im Anforderungskontext cloudformation.amazonaws.com und dynamodb.amazonaws.com (in dieser Reihenfolge). Wenn Ihnen nur wichtig ist, dass der Aufruf über DynamoDB irgendwo in der Kette von Anforderungen erfolgt ist, können Sie diesen Bedingungsschlüssel in Ihrer Richtlinie verwenden.

Die folgende Richtlinie ermöglicht beispielsweise die Verwaltung des genannten AWS KMS Schlüsselsmy-example-key, jedoch nur, wenn DynamoDB einer der anfordernden Dienste ist. Der Bedingungsoperator ForAnyValue:StringEquals stellt sicher, dass DynamoDB einer der aufrufenden Services ist. Wenn der Auftraggeber AWS KMS direkt aufruft, gibt die Bedingung false zurück, und die Anforderung wird von dieser Richtlinie nicht zugelassen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "KmsActionsIfCalledViaDynamodb",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:region:111122223333:key/my-example-key",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": ["dynamodb.amazonaws.com"]
                }
            }
        }
    ]
}

Mit den Schlüsseln aws:CalledViaFirst und aws:CalledViaLast können Sie auf Wunsch erzwingen, welcher Service den ersten oder letzten Aufruf in der Kette durchführt. Die folgende Richtlinie ermöglicht beispielsweise die Verwaltung des in genannten my-example-key Schlüssels. AWS KMS Diese AWS KMS Operationen sind nur zulässig, wenn mehrere Anfragen in der Kette enthalten waren. Die erste Anforderung muss über AWS CloudFormation und die letzte über DynamoDB erfolgen. Wenn andere Services mitten in der Kette Anforderungen ausgeben, ist die Operation trotzdem zulässig.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "KmsActionsIfCalledViaChain",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:region:111122223333:key/my-example-key",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaFirst": "cloudformation.amazonaws.com",
                    "aws:CalledViaLast": "dynamodb.amazonaws.com"
                }
            }
        }
    ]
}

Die aws:CalledViaLast Schlüssel aws:CalledViaFirst und sind in der Anfrage enthalten, wenn ein Dienst die Anmeldeinformationen eines IAM Prinzipals verwendet, um einen anderen Dienst aufzurufen. Sie geben die ersten und letzten Services an, die in der Kette von Anforderungen Aufrufe durchgeführt haben. Nehmen wir beispielsweise an, dass AWS CloudFormation ein anderer Dienst mit dem NamenX Service, aufgerufen wird, der DynamoDB aufruft, der dann aufruft. AWS KMS Der letzte Aufruf von AWS KMS wird von User 1 via AWS CloudFormationX Service, then und dann von DynamoDB ausgeführt. Es wurde zuerst über AWS CloudFormation und zuletzt über DynamoDB aufgerufen.

aws: CalledViaFirst

Verwenden Sie diesen Schlüssel, um die Dienste in der Richtlinie mit dem ersten Dienst zu vergleichen, der eine Anfrage im Namen des IAM Prinzipals (Benutzer oder Rolle) gestellt hat. Weitere Informationen finden Sie unter aws:CalledVia.

als: CalledViaLast

Verwenden Sie diesen Schlüssel, um die Dienste in der Richtlinie mit dem letzten Dienst zu vergleichen, der eine Anfrage im Namen des IAM Prinzipals (Benutzer oder Rolle) gestellt hat. Weitere Informationen finden Sie unter aws:CalledVia.

aws:V iaAWSService

Verwenden Sie diesen Schlüssel, um zu überprüfen, ob an in Ihrem Namen mithilfe von Forward-Access-Sitzungen (FAS) eine Anfrage an einen anderen Dienst AWS-Service stellt.

Der Anforderungskontextschlüssel wird zurückgegebentrue, wenn ein Dienst Forward-Access-Sitzungen verwendet, um eine Anfrage im Namen des ursprünglichen IAM Prinzipals zu stellen. Der Anforderungskontextschlüssel gibt auch false zurück, wenn der Auftraggeber den Aufruf direkt durchführt.

war: CurrentTime

Verwenden Sie diesen Schlüssel, um das Datum und die Uhrzeit der Anforderung mit dem Datum und der Uhrzeit zu vergleichen, das bzw. die Sie in der Richtlinie angeben. Informationen zum Anzeigen einer Beispielrichtlinie, die diesen Bedingungsschlüssel verwendet, finden Sie unter AWS: Ermöglicht Zugriff basierend auf Datum und Uhrzeit.

als: EpochTime

Verwenden Sie diesen Schlüssel, um das Datum und die Uhrzeit der Anforderung in Epochen- oder Unix-Zeit mit dem Wert zu vergleichen, den Sie in der Richtlinie angeben. Dieser Schlüssel akzeptiert auch die Anzahl der Sekunden, die seit dem 1. Januar 1970 verstrichen sind.

aws:referer

Verwenden Sie diesen Schlüssel, um den Referrer, der im Client-Browser auf die Anforderung verwiesen hat, mit dem Referrer zu vergleichen, den Sie in der Richtlinie angeben. Der Wert des aws:referer Anforderungskontextes wird vom Aufrufer in einem HTTP Header bereitgestellt. Der Referer-Header ist in einer Webbrowser-Anforderung enthalten, wenn Sie einen Link auf einer Webseite auswählen. Der Referer Header enthält die Seite URL der Webseite, auf der der Link ausgewählt wurde.

Sie können beispielsweise mit einem URL oder einem direkten API Aufruf direkt auf ein Amazon S3 S3-Objekt zugreifen. Weitere Informationen finden Sie unter Amazon S3 API S3-Operationen direkt über einen Webbrowser. Wenn Sie von einem aus auf einer Webseite vorhandenen auf ein URL Amazon S3 S3-Objekt zugreifen, wird das URL der Quellwebseite in verwendetaws:referer. Wenn Sie auf ein Amazon S3 S3-Objekt zugreifen, indem Sie das URL in Ihren Browser eingeben, aws:referer ist nicht vorhanden. Wenn Sie das API direkt aufrufen, aws:referer ist es auch nicht vorhanden. Sie können den aws:referer-Bedingungsschlüssel in einer Richtlinie verwenden, um Anforderungen von einem bestimmten Referer zuzulassen, z. B. einen Link auf einer Webseite in der Domain Ihres Unternehmens.

als: RequestedRegion

Verwenden Sie diesen Schlüssel, um die AWS Region, die in der Anfrage aufgerufen wurde, mit der Region zu vergleichen, die Sie in der Richtlinie angeben. Mit diesem globalen Bedingungsschlüssel können Sie steuern, welche Regionen angefordert werden können. Informationen zur Anzeige der AWS Regionen für die einzelnen Dienste finden Sie unter Dienstendpunkte und Kontingente in der Allgemeine Amazon Web Services-Referenz.

Einige globale Dienste, wie z. B.IAM, haben einen einzigen Endpunkt. Da sich dieser Endpunkt physisch in der Region USA Ost (Nord-Virginia) befindet, werden IAM Anrufe immer in die Region us-east-1 getätigt. Wenn Sie beispielsweise eine Richtlinie erstellen, die den Zugriff auf alle Dienste verweigert, wenn die angeforderte Region nicht US-West-2 ist, schlagen IAM Anrufe immer fehl. Ein Beispiel dafür, wie Sie dieses Problem umgehen können, finden Sie unter NotAction Mit Verweigern.

Sie können diesen Kontextschlüssel verwenden, um den Zugriff auf AWS Dienste innerhalb einer bestimmten Gruppe von Regionen zu beschränken. Die folgende Richtlinie ermöglicht es einem Benutzer beispielsweise, alle EC2 Amazon-Instances in der anzuzeigen AWS Management Console. Sie gestattet den Benutzern aber nur Änderungen an Instances in Irland (eu-west-1), London (eu-west-2) und Paris (eu-west-3).

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "InstanceConsoleReadOnly",
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*",
                "ec2:Export*",
                "ec2:Get*",
                "ec2:Search*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InstanceWriteRegionRestricted",
            "Effect": "Allow",
            "Action": [
                "ec2:Associate*",
                "ec2:Import*",
                "ec2:Modify*",
                "ec2:Monitor*",
                "ec2:Reset*",
                "ec2:Run*",
                "ec2:Start*",
                "ec2:Stop*",
                "ec2:Terminate*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": [
                        "eu-west-1",
                        "eu-west-2",
                        "eu-west-3"
                    ]
                }
            }
        }
    ]
}       

RequestTagaws/tag-key

Verwenden Sie diesen Schlüssel, um das Tag-Schlüssel-Wert-Paar, das in der Anforderung übergeben wurde, mit dem Tag-Paar zu vergleichen, das Sie in der Richtlinie angeben. Sie können beispielsweise prüfen, ob die Anforderung den Tag-Schlüssel "Dept" enthält und dieser den Wert "Accounting" hat. Weitere Informationen finden Sie unter Zugriffssteuerung während AWS -Anforderungen.

Dieser Kontextschlüssel ist wie folgt formatiert "aws:RequestTag/tag-key":"tag-value" tag-key and tag-value sind ein Tag-Schlüssel- und Wertepaar. Bei Tag-Schlüsseln und -Werten wird nicht zwischen Groß- und Kleinschreibung unterschieden. Dies bedeutet Folgendes: Wenn Sie "aws:RequestTag/TagKey1": "Value1" im Bedingungselement Ihrer Richtlinie angeben, stimmt die Bedingung mit einem Ressourcen-Tag-Schlüssel mit dem Namen TagKey1 oder tagkey1 überein, aber nicht mit beiden.

Dieses Beispiel zeigt, dass der Schlüssel zwar einwertig ist, Sie aber dennoch mehrere Schlüssel-Wert-Paare in einer Anforderung verwenden können, wenn die Schlüssel unterschiedlich sind.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "ec2:CreateTags",
    "Resource": "arn:aws:ec2:::instance/*",
    "Condition": {
      "StringEquals": {
        "aws:RequestTag/environment": [
          "preprod",
          "production"
        ],
        "aws:RequestTag/team": [
          "engineering"
        ]
      }
    }
  }
}

als: TagKeys

Verwenden Sie diesen Schlüssel, um die Tag-Schlüssel in einer Anforderung mit den Schlüsseln zu vergleichen, die Sie in der Richtlinie angeben. Wir empfehlen, dass Sie bei der Verwendung von Richtlinien zur Zugriffskontrolle mithilfe von Tags den aws:TagKeys-Bedingungsschlüssel verwenden, um festzulegen, welche Tag-Schlüssel zulässig sind. Beispielrichtlinien und weitere Informationen finden Sie unter Zugriffssteuerung auf der Grundlage von Tag-Schlüsseln.

Dieser Kontextschlüssel ist wie folgt formatiert "aws:TagKeys":"tag-key" tag-key ist eine Liste von Tag-Schlüsseln ohne Werte (zum Beispiel["Dept","Cost-Center"]).

Da Sie mehrere Tag-Schlüssel-Wert-Paare in eine Anforderung aufnehmen können, könnte der Anforderungsinhalt eine mehrwertige Anforderung sein. In diesem Fall müssen Sie die Operatoren ForAllValues oder ForAnyValue verwenden. Weitere Informationen finden Sie unter Mehrwertige Kontextschlüssel.

Einige Services unterstützen das Markieren mit Ressourcenoperationen, wie etwa das Erstellen, Ändern oder Löschen einer Ressource. Um das Markieren und Operationen als einzelnen Aufruf zu erlauben, müssen Sie eine Richtlinie erstellen, die die Aktionen Markieren und Ressourcenbearbeitung enthält. Anschließend können Sie den aws:TagKeys-Bedingungsschlüssel zum Erzwingen mit spezifischen Tag-Schlüssel in der Anforderung verwenden. Um beispielsweise Tags einzuschränken, wenn jemand einen EC2 Amazon-Snapshot erstellt, müssen Sie die ec2:CreateSnapshot Erstellungsaktion und die ec2:CreateTags Tagging-Aktion in die Richtlinie aufnehmen. Eine Richtlinie für dieses Szenario, das verwendetaws:TagKeys, finden Sie unter Erstellen eines Snapshots mit Tags im EC2Amazon-Benutzerhandbuch.

als: SecureTransport

Verwenden Sie diesen Schlüssel, um zu überprüfen, ob die Anfrage mit gesendet wurdeTLS. Der Anforderungskontext gibt true oder false zurück. In einer Richtlinie können Sie bestimmte Aktionen nur zulassen, wenn die Anfrage über gesendet wirdTLS.

war: SourceAccount

Verwenden Sie diesen Schlüssel, um die Konto-ID der Ressource, die eine service-to-service Anfrage stellt, mit der Konto-ID zu vergleichen, die Sie in der Richtlinie angeben, aber nur, wenn die Anfrage von einem AWS Service Principal gestellt wird.

Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass ein Anrufdienst nur dann auf Ihre Ressource zugreifen kann, wenn die Anfrage von einem bestimmten Konto stammt. Sie können beispielsweise die folgende Ressourcenkontrollrichtlinie (RCP) anhängen, um Anfragen von Service Principals für Amazon S3 S3-Buckets abzulehnen, sofern sie nicht durch eine Ressource im angegebenen Konto ausgelöst wurden. Diese Richtlinie wendet die Kontrolle nur auf Anfragen von Service Principals ("Bool": {"aws:PrincipalIsAWSService": "true"}) an, bei denen der aws:SourceAccount Schlüssel vorhanden ist ("Null": {"aws:SourceAccount": "false"}), sodass Service-Integrationen, die die Verwendung dieses Schlüssels nicht benötigen, und Aufrufe durch Ihre Principals nicht beeinträchtigt werden. Wenn der aws:SourceAccount Schlüssel im Anforderungskontext vorhanden ist, wird die Null Bedingung als erfüllt bewertettrue, sodass der aws:SourceAccount Schlüssel erzwungen wird.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RCPEnforceConfusedDeputyProtection",
      "Effect": "Deny",
      "Principal": "*",
      "Action": [
        "s3:*"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEqualsIfExists": {
          "aws:SourceAccount": "111122223333"
        },
        "Null": {
          "aws:SourceAccount": "false"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    }
  ]
}

Verwenden Sie in ressourcenbasierten Richtlinien, bei denen der Principal ein AWS-Service Principal ist, den Schlüssel, um die dem Dienst gewährten Berechtigungen einzuschränken. Wenn beispielsweise ein Amazon S3 S3-Bucket so konfiguriert ist, dass er Benachrichtigungen an ein SNS Amazon-Thema sendet, ruft der Amazon S3-Service den sns:Publish API Vorgang für alle konfigurierten Ereignisse auf. Setzen Sie in der Themenrichtlinie, die den Vorgang sns:Publish erlaubt, den Wert des Bedingungsschlüssels auf die Konto-ID des Amazon-S3-Buckets.

aws: SourceArn

Verwenden Sie diesen Schlüssel, um den Amazon-Ressourcennamen (ARN) der Ressource, die eine service-to-service Anfrage stellt, mit dem zu vergleichenARN, den Sie in der Richtlinie angeben, aber nur, wenn die Anfrage von einem AWS Service Principal gestellt wird. Wenn die Quelle die Konto-ID ARN enthält, ist die Verwendung aws:SourceAccount mit nicht erforderlichaws:SourceArn.

Dieser Schlüssel funktioniert nicht mit dem ARN des Prinzipals, der die Anfrage stellt. Nutzen Sie stattdessen war: PrincipalArn.

Sie können diesen Bedingungsschlüssel verwenden, um sicherzustellen, dass ein aufrufender Dienst nur dann auf Ihre Ressource zugreifen kann, wenn die Anfrage von einer bestimmten Ressource stammt. Wenn Sie eine ressourcenbasierte Richtlinie mit einem AWS-Service Prinzipal als Hauptbenutzer verwendenPrincipal, legen Sie den Wert dieses Bedingungsschlüssels auf den Wert ARN der Ressource fest, auf die Sie den Zugriff einschränken möchten. Wenn beispielsweise ein Amazon S3 S3-Bucket so konfiguriert ist, dass er Benachrichtigungen an ein SNS Amazon-Thema sendet, ruft der Amazon S3-Service den sns:Publish API Vorgang für alle konfigurierten Ereignisse auf. Legen Sie in der Themenrichtlinie, die den sns:Publish Vorgang zulässt, den Wert des Bedingungsschlüssels auf den Wert ARN des Amazon S3 S3-Buckets fest. Empfehlungen zur Verwendung dieses Bedingungsschlüssels in ressourcenbasierten Richtlinien finden Sie in der Dokumentation der von AWS-Services Ihnen verwendeten.

aws: ID SourceOrg

Verwenden Sie diesen Schlüssel, um die Organisations-ID der Ressource, die eine service-to-service Anfrage stellt, mit der Organisations-ID zu vergleichen, die Sie in der Richtlinie angeben. Dies gilt jedoch nur, wenn die Anfrage von einem AWS Dienstprinzipal gestellt wird. Wenn Sie Konten in einer Organisation in AWS Organizations hinzufügen und entfernen, schließen Richtlinien, die den Schlüssel aws:SourceOrgID enthalten, automatisch die richtigen Konten ein und Sie müssen die Richtlinien nicht manuell aktualisieren.

Sie können diesen Bedingungsschlüssel verwenden, um sicherzustellen, dass ein anrufender Dienst nur dann auf Ihre Ressource zugreifen kann, wenn die Anfrage von einer bestimmten Organisation stammt. Sie können beispielsweise die folgende Ressourcenkontrollrichtlinie (RCP) anhängen, um Anfragen von Service Principals für Amazon S3 S3-Buckets abzulehnen, sofern sie nicht durch eine Ressource in der angegebenen AWS Organisation ausgelöst wurden. Diese Richtlinie wendet die Kontrolle nur auf Anfragen von Service Principals ("Bool": {"aws:PrincipalIsAWSService": "true"}) an, bei denen der aws:SourceAccount Schlüssel vorhanden ist ("Null": {"aws:SourceAccount": "false"}), sodass Service-Integrationen, die die Verwendung des Schlüssels nicht erfordern, und Aufrufe durch Ihre Principals nicht beeinträchtigt werden. Wenn der aws:SourceAccount Schlüssel im Anforderungskontext vorhanden ist, wird die Null Bedingung als erfüllt bewertettrue, sodass der aws:SourceOrgID Schlüssel erzwungen wird. Wir verwenden aws:SourceAccount anstelle von aws:SourceOrgID im Null Bedingungsoperator, sodass die Kontrolle auch dann gilt, wenn die Anfrage von einem Konto stammt, das keiner Organisation gehört.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RCPEnforceConfusedDeputyProtection",
      "Effect": "Deny",
      "Principal": "*",
      "Action": [
        "s3:*"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEqualsIfExists": {
          "aws:SourceOrgID": "o-xxxxxxxxxx"
        },
        "Null": {
          "aws:SourceAccount": "false"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    }
  ]
}

als: SourceOrgPaths

Verwenden Sie diesen Schlüssel, um den AWS Organizations Pfad der Ressource, die eine service-to-service Anfrage stellt, mit dem Organisationspfad zu vergleichen, den Sie in der Richtlinie angeben, aber nur, wenn die Anfrage von einem AWS Dienstprinzipal gestellt wird. Ein -Organizations-Pfad ist eine Textdarstellung der Struktur einer Organizations-Entität. Weitere Informationen zu Pfaden und deren Verwendung finden Sie unter Den AWS Organizations -Entitätspfad verstehen.

Verwenden Sie diesen Bedingungsschlüssel, um sicherzustellen, dass ein anrufender Dienst nur dann auf Ihre Ressource zugreifen kann, wenn die Anfrage von einer bestimmten Organisationseinheit (OU) in AWS Organizations stammt.

Um Auswirkungen auf Serviceintegrationen zu vermeidenaws:SourceOrgID, die die Verwendung dieses Schlüssels nicht erfordern, sollten Sie auf ähnliche Weise den Null Bedingungsoperator mit dem aws:SourceAccount Bedingungsschlüssel verwenden, sodass die Kontrolle auch dann gilt, wenn die Anfrage von einem Konto stammt, das keiner Organisation angehört.

{
      "Condition": {
        "ForAllValues:StringNotLikeIfExists": {
            "aws:SourceOrgPaths": "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/"
        },
        "Null": {
          "aws:SourceAccount": "false"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
}

aws:SourceOrgPaths ist ein mehrwertiger Bedingungsschlüssel. Mehrwertige Bedingungsschlüssel können im Anforderungskontext mehrere Werte haben. Sie müssen die Set-Operatoren ForAnyValue oder ForAllValues zusammen mit String-Bedingungsoperatoren für diesen Schlüssel verwenden. Weitere Hinweise zu mehrwertigen Bedingungsschlüsseln finden Sie unter Mehrwertige Kontextschlüssel.

als: UserAgent

Verwenden Sie diesen Schlüssel, um die Client-Anwendung des Anforderers mit der Anwendung zu vergleichen, die Sie in der Richtlinie angeben.

Andere dienstübergreifende Bedingungsschlüssel

AWS STS unterstützt SAMLbasierte Verbundbedingungsschlüssel und dienstübergreifende Bedingungsschlüssel für den OIDCVerbund. Diese Schlüssel sind verfügbar, wenn ein Benutzer, für den ein Verbund verwendet wurde, AWS Operationen in anderen Diensten SAML ausführt.