Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# AWS Kontextschlüssel für globale Bedingungen
<a name="reference_policies_condition-keys"></a>

Wenn ein [Principal](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#principal) eine [Anfrage](intro-structure.md#intro-structure-request) an stellt AWS, werden AWS die Anforderungsinformationen in einem [Anfragekontext](intro-structure.md#intro-structure-request) zusammengefasst. Sie können das `Condition`-Element einer JSON-Richtlinie verwenden, um Schlüssel im Anforderungskontext mit Schlüsselwerten zu vergleichen, die Sie in Ihrer Richtlinie angeben. Informationen werden von verschiedenen Quellen bereitgestellt, darunter der Prinzipal, der die Anfrage stellt, die Ressource, an die sich die Anfrage richtet, und die Metadaten zur Anfrage selbst.

**Globale Bedingungsschlüssel** können für alle AWS -Services verwendet werden. Obwohl diese Bedingungsschlüssel in allen Richtlinien verwendet werden können, ist der Schlüssel nicht in jedem Anforderungskontext verfügbar. Beispielsweise ist der Bedingungsschlüssel `aws:SourceAccount` nur verfügbar, wenn der Aufruf Ihrer Ressource direkt von einem [AWS -Service-Prinzipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services) erfolgt. Weitere Informationen zu den Umständen, unter denen ein globaler Schlüssel in den Anfragekontext aufgenommen wird, finden Sie in den Informationen zur **Verfügbarkeit** für jeden Schlüssel.

Einige einzelne Services erstellen ihre eigenen Bedingungsschlüssel, die im Anfragekontext für andere Services verfügbar sind. **Serviceübergreifende Bedingungsschlüssel** sind eine Art globaler Bedingungsschlüssel, die ein Präfix enthalten, das mit dem Namen des Services übereinstimmt, z. B. `ec2:` oder `lambda:`, aber auch für andere Services verfügbar sind.

**Dienstspezifische Bedingungsschlüssel** werden für die Verwendung mit einem einzelnen AWS Dienst definiert. Beispielsweise können Sie mit Amazon S3 eine Richtlinie mit dem Bedingungsschlüssel `s3:VersionId` schreiben, um den Zugriff auf eine bestimmte Version eines Amazon-S3-Objekts zu beschränken. Dieser Bedingungsschlüssel ist für den Service eindeutig, d. h. er funktioniert nur bei Anfragen an den Amazon-S3-Service. Informationen zu dienstspezifischen Bedingungsschlüsseln finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Wählen Sie dort den Dienst aus, dessen Schlüssel Sie anzeigen möchten. 

**Anmerkung**  
Wenn Sie Bedingungsschlüssel verwenden, die nur unter bestimmten Umständen verfügbar sind, können Sie die [IfExists](reference_policies_elements_condition_operators.md#Conditions_IfExists)Versionen der Bedingungsoperatoren verwenden. Wenn die entsprechenden Bedingungsschlüssel im Kontext einer Anforderung fehlen, kann die Richtlinienauswertung fehlschlagen. Verwenden Sie beispielsweise den folgenden Bedingungsblock mit `...IfExists`-Operatoren, um abzugleichen, ob eine Anforderung aus einem bestimmten IP-Bereich oder von einer bestimmten VPC stammt. Wenn einer oder beide Schlüssel nicht im Anforderungskontext enthalten sind, gibt die Bedingung weiterhin `true` zurück. Die Werte werden nur überprüft, wenn der angegebene Schlüssel im Anforderungskontext enthalten ist. Weitere Informationen zur Auswertung einer Richtlinie, wenn ein Schlüssel für andere Operatoren nicht vorhanden ist, finden Sie unter [Bedingungsoperatoren](reference_policies_elements_condition_operators.md).  

```
"Condition": {
    "IpAddressIfExists": {"aws:SourceIp" : ["xxx"] },
    "StringEqualsIfExists" : {"aws:SourceVpc" : ["yyy"]} 
}
```

**Wichtig**  
Um Ihre Bedingung mit einem Anforderungskontext mit mehreren Schlüsselwerten zu vergleichen, müssen Sie die Set-Operatoren `ForAllValues` oder `ForAnyValue` verwenden. Verwenden Sie Satz-Operatoren nur mit mehrwertigen Bedingungsschlüssel. Verwenden Sie keine Satz-Operatoren mit einzelwertigen Bedingungsschlüssel. Weitere Informationen finden Sie unter [Operatoren für mehrwertige Kontextschlüssel festlegen](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).


| Eigenschaften des Prinzipals | Eigenschaften einer Rollensitzung | Eigenschaften des Netzwerks | Eigenschaften der Ressource | Eigenschaften der Anfrage | 
| --- | --- | --- | --- | --- | 
|  `aws:PrincipalArn` `aws:PrincipalAccount` `aws:PrincipalOrgPaths` `aws:PrincipalOrgID` `aws:PrincipalTag/*tag-key*` `aws:PrincipalIsAWSService` `aws:PrincipalServiceName` `aws:PrincipalServiceNamesList` `aws:PrincipalType` `aws:userid` `aws:username`  |  `aws:AssumedRoot` `aws:FederatedProvider` `aws:TokenIssueTime` `aws:MultiFactorAuthAge` `aws:MultiFactorAuthPresent` `aws:ChatbotSourceArn` `aws:Ec2InstanceSourceVpc` `aws:Ec2InstanceSourcePrivateIPv4` `aws:SourceIdentity` `ec2:RoleDelivery` `ec2:SourceInstanceArn` `glue:RoleAssumedBy` `glue:CredentialIssuingService` `codebuild:BuildArn` `codebuild:ProjectArn` `lambda:SourceFunctionArn` `ssm:SourceInstanceArn` `identitystore:UserId`  |  `aws:SourceIp` `aws:SourceVpc` `aws:SourceVpcArn` `aws:SourceVpce` `aws:VpceAccount` `aws:VpceOrgID` `aws:VpceOrgPaths` `aws:VpcSourceIp`  |  `aws:ResourceAccount` `aws:ResourceOrgID` `aws:ResourceOrgPaths` `aws:ResourceTag/*tag-key*`  |  `aws:CalledVia` `aws:CalledViaFirst` `aws:CalledViaLast` `aws:CalledViaAWSMCP` `aws:ViaAWSService` `aws:ViaAWSMCPService` `aws:CurrentTime` `aws:EpochTime` `aws:referer` `aws:RequestedRegion` `aws:RequestTag/*tag-key*` `aws:TagKeys` `aws:SecureTransport` `aws:SourceAccount` `aws:SourceArn` `aws:SourceOrgID` `aws:SourceOrgPaths` `aws:UserAgent` `aws:IsMcpServiceAction`  | 

## Vertrauliche Bedingungsschlüssel
<a name="condition-keys-sensitive"></a>

Die folgenden Bedingungsschlüssel werden als vertraulich betrachtet. Für die Verwendung von Platzhaltern in diesen Bedingungsschlüsseln gibt es keine gültigen Anwendungsfälle, selbst wenn eine Teilzeichenfolge des Schlüsselwerts einen Platzhalter enthält. Dies liegt daran, dass der Platzhalter den Bedingungsschlüssel mit jedem beliebigen Wert abgleichen kann, was ein Sicherheitsrisiko darstellen könnte.
+ `aws:PrincipalAccount`
+ `aws:PrincipalOrgID`
+ `aws:ResourceAccount`
+ `aws:ResourceOrgID`
+ `aws:SourceAccount`
+ `aws:SourceOrgID`
+ `aws:SourceVpc`
+ `aws:SourceVpce`
+ `aws:VpceAccount`
+ `aws:VpceOrgID`

## Eigenschaften des Prinzipals
<a name="condition-keys-principal-properties"></a>

Verwenden Sie die folgenden Bedingungsschlüssel, um Details über den Prinzipal, der die Anfrage stellt, mit den Prinzipaleigenschaften zu vergleichen, die Sie in der Richtlinie angeben. Eine Liste der Prinzipale, die Anfragen stellen können, finden Sie unter [So legen Sie einen Prinzipal fest](reference_policies_elements_principal.md#Principal_specifying).

### aws:PrincipalArn
<a name="condition-keys-principalarn"></a>

Verwenden Sie diesen Schlüssel, um den [Amazon-Ressourcennamen](reference_identifiers.md#identifiers-arns) (ARN) des Auftraggebers, von dem die Anforderung stammt, mit dem ARN zu vergleichen, den Sie in der Richtlinie angeben. Bei IAM-Rollen gibt der Anforderungskontext den ARN der Rolle zurück, nicht den ARN des Benutzers, der die Rolle übernommen hat. 
+ **Verfügbarkeit** – Dieser Schlüssel ist im Anforderungskontext aller signierten Anforderungen enthalten. Anonyme Anforderungen enthalten diesen Schlüssel nicht. In diesem Bedingungsschlüssel können Sie die folgenden Arten von Prinzipals angeben: 
  + IAM role (IAM-Rolle)
  + IAM-Benutzer
  + AWS STS verbundener Benutzerprinzipal
  + AWS-Konto Root-Benutzer
+ **Datentyp** – ARN

  AWS empfiehlt, beim Vergleich [ARN-Operatoren](reference_policies_elements_condition_operators.md#Conditions_ARN) anstelle von [Zeichenkettenoperatoren](reference_policies_elements_condition_operators.md#Conditions_String) zu verwenden ARNs.
+ **Werttyp** - Einzelwertig
+ **Beispielwerte** Die folgende Liste zeigt den Anforderungskontextwert, der für verschiedene Arten von Prinzipalen zurückgegeben wird, die Sie im `aws:PrincipalArn`-Bedingungsschlüssel angeben können:
  + **IAM-Rolle** – Der Anforderungskontext enthält den folgenden Wert für den Bedingungsschlüssel `aws:PrincipalArn`. Geben Sie den ARN der angenommenen Rollensitzung nicht als Wert für diesen Bedingungsschlüssel an. Weitere Informationen über die angenommene Rollen des Sitzungs-Prinzipals finden Sie unter [Rollensitzungsgsprinzipale](reference_policies_elements_principal.md#principal-role-session).

    ```
    arn:aws:iam::123456789012:role/role-name
    ```
  + **IAM-Benutzer** – Der Anforderungskontext enthält den folgenden Wert für den Bedingungsschlüssel `aws:PrincipalArn`.

    ```
    arn:aws:iam::123456789012:user/user-name
    ```
  + **AWS STS Verbundbenutzerprinzipale** — Der Anforderungskontext enthält den folgenden Wert für den Bedingungsschlüssel. `aws:PrincipalArn`

    ```
    arn:aws:sts::123456789012:federated-user/user-name
    ```
  + **AWS-Konto Root-Benutzer** — Der Anforderungskontext enthält den folgenden Wert für den Bedingungsschlüssel. `aws:PrincipalArn` Wenn Sie den Root-Benutzer-ARN als Wert für den Bedingungsschlüssel `aws:PrincipalArn` angeben, werden die Berechtigungen nur für den Root-Benutzer des AWS-Konto eingeschränkt. Dies unterscheidet sich von der Angabe des Root-Benutzer-ARN im Prinzipal-Element einer ressourcenbasierten Richtlinie, die die Autorität an die AWS-Konto delegiert. Weitere Informationen zur Angabe des Root-Benutzer-ARN im Prinzipal-Element einer ressourcenbasierten Richtlinie finden Sie unter [AWS-Konto Schulleiter](reference_policies_elements_principal.md#principal-accounts). 

    ```
    arn:aws:iam::123456789012:root
    ```

Sie können den Root-Benutzer-ARN als Wert für den Bedingungsschlüssel `aws:PrincipalArn` in den AWS Organizations Dienststeuerungsrichtlinien (SCPs) angeben. SCPssind eine Art von Organisationsrichtlinie, die zur Verwaltung von Berechtigungen in Ihrer Organisation verwendet wird und sich nur auf Mitgliedskonten in der Organisation auswirkt. Ein SCP beschränkt die Berechtigungen für IAM-Benutzer und -Rollen in Mitgliedskonten, einschließlich des Stammverzeichnisses des Mitgliedskonten. Weitere Informationen zu den Auswirkungen von SCPs auf Berechtigungen finden Sie unter [Auswirkungen von SCP auf Berechtigungen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions) im *AWS Organizations Benutzerhandbuch*.

### aws:PrincipalAccount
<a name="condition-keys-principalaccount"></a>

Verwenden Sie diesen Schlüssel, um das Konto, zu dem der anfordernde Auftraggeber gehört, mit der Konto-ID zu vergleichen, die Sie in der Richtlinie angeben. Bei anonymen Anforderungen gibt der Anforderungskontext `anonymous` zurück.
+ **Verfügbarkeit** – Dieser Schlüssel wird in den Anforderungskontext für alle Anforderungen, einschließlich anonymer Anforderungen, aufgenommen.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig

Im folgenden Beispiel wird der Zugriff verweigert, mit Ausnahme von Auftraggebern mit der Kontonummer `123456789012`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyAccessFromPrincipalNotInSpecificAccount",
      "Action": "service:*",
      "Effect": "Deny",
      "Resource": [
        "arn:aws:service:us-east-1:111122223333:resource"
      ],
      "Condition": {
        "StringNotEquals": {
          "aws:PrincipalAccount": [
            "123456789012"
          ]
        }
      }
    }
  ]
}
```

------

### aws:PrincipalOrgPaths
<a name="condition-keys-principalorgpaths"></a>

Verwenden Sie diesen Schlüssel, um den AWS Organizations Pfad für den Prinzipal, der die Anfrage stellt, mit dem Pfad in der Richtlinie zu vergleichen. Dieser Prinzipal kann ein IAM-Benutzer, eine IAM-Rolle, ein Verbundbenutzer-Prinzipal von AWS STS oder ein Root-Benutzer des AWS-Kontos sein. In einer Richtlinie stellt dieser Bedingungsschlüssel sicher, dass der Anforderer ein Kontomitglied innerhalb des angegebenen Organisationsstamms oder der angegebenen Organisationseinheiten (OUs) ist. AWS Organizations Ein AWS Organizations Pfad ist eine Textdarstellung der Struktur einer AWS Organizations Entität. Weitere Hinweise zum Verwenden und Verstehen von Pfaden finden Sie unter [Verstehen Sie den AWS Organizations Entitätspfad](access_policies_last-accessed-view-data-orgs.md#access_policies_last-accessed-viewing-orgs-entity-path).
+ **Verfügbarkeit** – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn der Auftraggeber Mitglied einer Organisation ist. Anonyme Anforderungen enthalten diesen Schlüssel nicht.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String) (Liste)
+ **Werttyp** - Mehrwertig

**Anmerkung**  
Organisationen IDs sind weltweit einzigartig, aber OU IDs und Root IDs sind nur innerhalb einer Organisation einzigartig. Dies bedeutet, dass keine zwei Organisationen dieselbe Organisations-ID verwenden. Eine andere Organisation verfügt jedoch möglicherweise über eine Organisationseinheit oder ein Stammverzeichnis mit derselben ID wie Ihre. Es wird empfohlen, immer die Organisations-ID anzugeben, wenn Sie eine Organisationseinheit oder ein Stammverzeichnis angeben.

Die folgende Bedingung gilt beispielsweise `true` für Principals in Konten, die direkt mit der Organisationseinheit verknüpft sind, aber nicht in der untergeordneten `ou-ab12-22222222` OUs Organisationseinheit.

```
"Condition" : { "ForAnyValue:StringEquals" : {
     "aws:PrincipalOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/"]
}}
```

Die folgende Bedingung gilt `true` für Hauptbenutzer in einem Konto, das direkt mit der Organisationseinheit oder einem ihrer untergeordneten Unternehmen verknüpft ist. OUs Wenn Sie einen Platzhalter hinzufügen, müssen Sie den `StringLike`-Bedingungsoperator verwenden.

```
"Condition" : { "ForAnyValue:StringLike" : {
     "aws:PrincipalOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/*"]
}}
```

Die folgende Bedingung gilt `true` für Hauptkunden in einem Konto, das direkt mit einer der untergeordneten Organisationseinheiten verknüpft ist OUs, jedoch nicht direkt mit der übergeordneten Organisationseinheit. Die vorherige Bedingung gilt für die Organisationseinheit oder für untergeordnete Elemente. Die folgende Bedingung gilt nur für untergeordnete Elemente (und für untergeordnete Elemente dieser Kinder).

```
"Condition" : { "ForAnyValue:StringLike" : {
     "aws:PrincipalOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/ou-*"]
}}
```

Die folgende Bedingung ermöglicht den Zugriff für jeden Auftraggeber in der `o-a1b2c3d4e5`-Organisation, unabhängig von der übergeordneten Organisationseinheit.

```
"Condition" : { "ForAnyValue:StringLike" : {
     "aws:PrincipalOrgPaths":["o-a1b2c3d4e5/*"]
}}
```

`aws:PrincipalOrgPaths` ist ein mehrwertiger Bedingungsschlüssel. Mehrwertige Bedingungsschlüssel können im Anforderungskontext mehrere Werte haben. Wenn Sie mehrere Werte mit dem `ForAnyValue`-Bedingungsoperator verwenden, muss der Pfad des Auftraggebers mit einem der in der Richtlinie aufgeführten Pfade übereinstimmen. Weitere Hinweise zu mehrwertigen Bedingungsschlüsseln finden Sie unter [Operatoren für mehrwertige Kontextschlüssel festlegen](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).

```
    "Condition": {
        "ForAnyValue:StringLike": {
            "aws:PrincipalOrgPaths": [
                "o-a1b2c3d4e5/r-ab12/ou-ab12-33333333/*",
                "o-a1b2c3d4e5/r-ab12/ou-ab12-22222222/*"
            ]
        }
    }
```

### aws:PrincipalOrgID
<a name="condition-keys-principalorgid"></a>

Verwenden Sie diesen Schlüssel, um die ID der Organisation, AWS Organizations zu der der anfordernde Principal gehört, mit der in der Richtlinie angegebenen ID zu vergleichen.
+ **Verfügbarkeit** – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn der Auftraggeber Mitglied einer Organisation ist. Anonyme Anforderungen enthalten diesen Schlüssel nicht.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig

Dieser globale Schlüssel bietet eine Alternative zur Auflistung aller Konten IDs für alle AWS Konten in einer Organisation. Sie können diesen Bedingungsschlüssel verwenden, um das Angeben des Elements `Principal` in einer [resource-based-Richtlinie](access_policies_identity-vs-resource.md) zu vereinfachen. Sie können die [Organisations-ID](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_details.html) im Bedingungselement angeben. Wenn Sie Konten hinzufügen und entfernen, schließen Richtlinien, die den `aws:PrincipalOrgID`-Schlüssel enthalten, automatisch die richtigen Konten ein und müssen nicht manuell aktualisiert werden.

Mit der folgenden Amazon S3-Bucket-Richtlinie können beispielsweise Mitglieder aller Konten in der Organisation `o-xxxxxxxxxxx` ein Objekt in den Bucket `amzn-s3-demo-bucket` einfügen. 

------
#### [ JSON ]

****  

```
 {
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Sid": "AllowPutObject",
    "Effect": "Allow",
    "Principal": "*",
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
    "Condition": {"StringEquals":
      {"aws:PrincipalOrgID":"o-xxxxxxxxxxx"}
    }
  }
}
```

------

**Anmerkung**  
Diese globale Bedingung gilt auch für das Masterkonto einer AWS -Organisation. Diese Richtlinie verhindert, dass alle Hauptbenutzer außerhalb der angegebenen Organisation auf den Amazon-S3-Bucket zugreifen können. Dazu gehören alle AWS Dienste, die mit Ihren internen Ressourcen interagieren, z. B. das AWS CloudTrail Senden von Protokolldaten an Ihre Amazon S3 S3-Buckets. Informationen dazu, wie Sie auf sichere Weise Zugriff auf AWS Dienste gewähren können, finden Sie unter[aws:PrincipalIsAWSService](#condition-keys-principalisawsservice).

Weitere Informationen zu AWS Organizations finden Sie unter [Was ist AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) im *AWS Organizations Benutzerhandbuch*.

### aws:PrincipalTag/*tag-key*
<a name="condition-keys-principaltag"></a>

Verwenden Sie diesen Schlüssel, um das Tag, das dem Auftraggeber angefügt ist, der die Anforderung stellt, mit dem Tag zu vergleichen, das Sie in der Richtlinie angeben. Wenn dem Auftraggeber mehr als ein Tag angefügt ist, enthält der Anforderungskontext einen `aws:PrincipalTag`-Schlüssel für jeden angefügten Tag-Schlüssel.
+ **Availability (Verfügbarkeit)** – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn der Auftraggeber ein IAM-Benutzer mit angefügten Tags ist. Er ist für einen Auftraggeber enthalten, der eine IAM-Rolle mit angefügten Tags oder [Sitzungs-Tags](id_session-tags.md) verwendet. Anonyme Anforderungen enthalten diesen Schlüssel nicht.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig

Sie können einem Benutzer oder einer Rolle benutzerdefinierte Attribute in Form eines Schlüssel-Wert-Paares hinzufügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter [Tags für AWS Identity and Access Management Ressourcen](id_tags.md). Sie können `aws:PrincipalTag` für die [Zugriffskontrolle](access_iam-tags.md#access_iam-tags_control-principals) für AWS -Auftraggeber einsetzen.

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die es Benutzern mit dem Tag **department=hr** erlaubt, IAM-Benutzer, -Gruppen oder -Rollen zu verwalten. Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter [Erstellen einer Richtlinie](access_policies_create.md) oder [Bearbeiten einer Richtlinie](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:Get*",
        "iam:List*",
        "iam:Generate*"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalTag/department": "hr"
        }
      }
    }
  ]
}
```

------

### aws:PrincipalIsAWSService
<a name="condition-keys-principalisawsservice"></a>

Verwenden Sie diese Taste, um zu überprüfen, ob der Anruf an Ihre Ressource direkt von einem AWS [Service Principal](reference_policies_elements_principal.md#principal-services) getätigt wird. Zum Beispiel verwendet AWS CloudTrail den Service-Prinzipal `cloudtrail.amazonaws.com`, um Protokolle in Ihr Amazon S3-Bucket zu schreiben. Der Anforderungskontextschlüssel wird auf true festgelegt, wenn ein Dienst einen Dienstauftraggeber verwendet, um eine direkte Aktion für Ihre Ressourcen auszuführen. Der Kontextschlüssel wird auf false gesetzt, wenn der Dienst die Anmeldeinformationen eines IAM-Auftraggeber verwendet, um eine Anforderung im Namen des Auftraggeber zu stellen. Sie wird auch verweigert, wenn der Service eine [Servicerolle oder eine serviceverknüpfte Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) verwendet, um einen Aufruf im Auftrag des Prinzipals durchzuführen.
+ **Verfügbarkeit** – Dieser Schlüssel ist im Anforderungskontext aller signierten API-Anforderungen vorhanden, die AWS -Anmeldeinformationen. Anonyme Anforderungen enthalten diesen Schlüssel nicht.
+ **Datentyp** – [boolesch](reference_policies_elements_condition_operators.md#Conditions_Boolean)
+ **Werttyp** - Einzelwertig

Sie können diesen Bedingungsschlüssel verwenden, um den Zugriff auf Ihre vertrauenswürdigen Identitäten und erwarteten Netzwerkadressen zu beschränken und gleichzeitig sicheren Zugriff auf AWS Dienste zu gewähren.

Im folgenden Beispiel für eine Amazon S3 S3-Bucket-Richtlinie ist der Zugriff auf den Bucket eingeschränkt, es sei denn, die Anfrage stammt von einem Service Principal `vpc-111bbb22` oder stammt von einem Service Principal, wie CloudTrail z.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "ExpectedNetworkServicePrincipal",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/AWS Logs/AccountNumber/*",
      "Condition": {
        "StringNotEqualsIfExists": {
          "aws:SourceVpc": "vpc-111bbb22"
        },
        "BoolIfExists": {
          "aws:PrincipalIsAWSService": "false"
        }
      }
    }
  ]
}
```

------

Im folgenden Video erfahren Sie mehr darüber, wie Sie den Bedingungsschlüssel `aws:PrincipalIsAWSService` in einer Richtlinie verwenden können.

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/gv-_H8a42G4/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/gv-_H8a42G4)


### aws:PrincipalServiceName
<a name="condition-keys-principalservicename"></a>

Verwenden Sie diesen Schlüssel, um den [Dienstauftraggeber](reference_policies_elements_principal.md#principal-services)-Namen in der Richtlinie mit dem Dienstauftraggeber zu vergleichen, der Anforderungen an Ihre Ressourcen stellt. Sie können diesen Schlüssel verwenden, um zu überprüfen, ob dieser Aufruf von einem bestimmten Dienstauftraggeber erfolgt. Wenn ein Dienstauftraggeber eine direkte Anforderung an Ihre Ressource stellt, enthält der `aws:PrincipalServiceName`-Schlüssel den Namen des Dienstauftraggebers. Der AWS CloudTrail Dienstprinzipalname lautet beispielsweise`cloudtrail.amazonaws.com`.
+ **Verfügbarkeit** — Dieser Schlüssel ist in der Anfrage enthalten, wenn der Anruf von einem AWS Dienstprinzipal getätigt wird. Dieser Schlüssel ist in keiner anderen Situation vorhanden, einschließlich der folgenden:
  + Sie wird auch verweigert, wenn der [Service eine Servicerolle oder eine serviceverknüpfte Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) verwendet, um einen Aufruf im Auftrag des Prinzipals durchzuführen.
  + Wenn der Dienst die Anmeldeinformationen eines IAM-Auftraggebers verwendet, um eine Anforderung im Namen des Auftraggebers zu stellen.
  + Wenn der Anruf direkt von einem IAM-Auftraggeber getätigt wird.
  + Wenn der Anruf von einem anonymen Antragsteller getätigt wird.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig

Sie können diesen Bedingungsschlüssel verwenden, um den Zugriff auf Ihre vertrauenswürdigen Identitäten und erwarteten Netzwerkstandorte zu beschränken und gleichzeitig den Zugriff auf einen AWS Dienst sicher zu gewähren.

Im folgenden Beispiel für eine Amazon S3 S3-Bucket-Richtlinie ist der Zugriff auf den Bucket eingeschränkt, es sei denn, die Anfrage stammt von einem Service Principal `vpc-111bbb22` oder stammt von einem Service Principal, wie CloudTrail z.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "ExpectedNetworkServicePrincipal",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/AWS Logs/AccountNumber/*",
      "Condition": {
        "StringNotEqualsIfExists": {
          "aws:SourceVpc": "vpc-111bbb22",
          "aws:PrincipalServiceName": "cloudtrail.amazonaws.com"
        }
      }
    }
  ]
}
```

------

### aws:PrincipalServiceNamesList
<a name="condition-keys-principalservicenameslist"></a>

Dieser Schlüssel enthält eine Liste aller[-Dienstauftraggeber](reference_policies_elements_principal.md#principal-services)Namen, die zum Dienst gehören. Dies ist ein erweiterter Bedingungsschlüssel. Sie können damit den Service daran hindern, nur von einer bestimmten Region aus auf Ihre Ressource zuzugreifen. Einige Dienste können regionale Dienstauftraggeber erstellen, um eine bestimmte Instance des Dienstes innerhalb einer bestimmten Region anzugeben. Sie können den Zugriff auf eine Ressource auf eine bestimmte Instance des Dienstes beschränken. Wenn ein Dienstauftraggeber eine direkte Anforderung an Ihre Ressource stellt, enthält der `aws:PrincipalServiceNamesList` eine ungeordnete Liste aller Dienst-Auftraggebernamen, die mit der regionalen Instance des Dienstes verbunden sind.
+ **Verfügbarkeit** — Dieser Schlüssel ist in der Anfrage enthalten, wenn der Anruf von einem AWS Service Principal getätigt wird. Dieser Schlüssel ist in keiner anderen Situation vorhanden, einschließlich der folgenden:
  + Sie wird auch verweigert, wenn der [Service eine Servicerolle oder eine serviceverknüpfte Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) verwendet, um einen Aufruf im Auftrag des Prinzipals durchzuführen.
  + Wenn der Dienst die Anmeldeinformationen eines IAM-Auftraggebers verwendet, um eine Anforderung im Namen des Auftraggebers zu stellen.
  + Wenn der Anruf direkt von einem IAM-Auftraggeber getätigt wird.
  + Wenn der Anruf von einem anonymen Antragsteller getätigt wird.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String) (Liste)
+ **Werttyp** - Mehrwertig

`aws:PrincipalServiceNamesList` ist ein mehrwertiger Bedingungsschlüssel. Mehrwertige Bedingungsschlüssel können im Anforderungskontext mehrere Werte haben. Sie müssen die Set-Operatoren `ForAnyValue` oder `ForAllValues` zusammen mit [String-Bedingungsoperatoren](reference_policies_elements_condition_operators.md#Conditions_String) für diesen Schlüssel verwenden. Weitere Hinweise zu mehrwertigen Bedingungsschlüsseln finden Sie unter [Operatoren für mehrwertige Kontextschlüssel festlegen](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).

### aws:PrincipalType
<a name="condition-keys-principaltype"></a>

Verwenden Sie diesen Schlüssel, um den Typ des Auftraggebers, der die Anforderung stellt, mit dem Auftraggebertyp zu vergleichen, den Sie in der Richtlinie angeben. Weitere Informationen finden Sie unter [So legen Sie einen Prinzipal fest](reference_policies_elements_principal.md#Principal_specifying). Für konkrete Beispiele von `principal`-Schlüsselwerten, siehe [Auftraggeber-Schlüsselwerte](reference_policies_variables.md#principaltable).
+ **Verfügbarkeit** – Dieser Schlüssel ist im Anforderungskontext für alle Anforderungen, einschließlich anonymer Anforderungen, enthalten.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig

### aws:userid
<a name="condition-keys-userid"></a>

Verwenden Sie diesen Schlüssel, um die Auftraggeber-ID des Anforderers mit der ID zu vergleichen, die Sie in der Richtlinie angeben. Bei IAM-Benutzern ist der Anforderungskontextwert die Benutzer-ID. Bei IAM-Rollen kann dieses Werteformat variieren. Weitere Informationen dazu, wie die Informationen für verschiedene Auftraggeber angezeigt werden, finden Sie unter [So legen Sie einen Prinzipal fest](reference_policies_elements_principal.md#Principal_specifying). Für konkrete Beispiele von `principal`-Schlüsselwerten, siehe [Auftraggeber-Schlüsselwerte](reference_policies_variables.md#principaltable).
+ **Verfügbarkeit** – Dieser Schlüssel ist im Anforderungskontext für alle Anforderungen, einschließlich anonymer Anforderungen, enthalten.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig

### aws:username
<a name="condition-keys-username"></a>

Verwenden Sie diesen Schlüssel, um den Benutzernamen des Anforderers mit dem Benutzernamen zu vergleichen, den Sie in der Richtlinie angeben. Weitere Informationen dazu, wie die Informationen für verschiedene Auftraggeber angezeigt werden, finden Sie unter [So legen Sie einen Prinzipal fest](reference_policies_elements_principal.md#Principal_specifying). Für konkrete Beispiele von `principal`-Schlüsselwerten, siehe [Auftraggeber-Schlüsselwerte](reference_policies_variables.md#principaltable).
+ **Verfügbarkeit** – Dieser Schlüssel ist immer im Anforderungskontext für IAM-Benutzer enthalten. Anonyme Anfragen und Anfragen, die mithilfe der Rollen Root-Benutzer des AWS-Kontos oder IAM gestellt werden, enthalten diesen Schlüssel nicht. Anforderungen, die mit IAM Identity Center-Anmeldeinformationen gestellt werden, enthalten diesen Schlüssel nicht im Kontext.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig

## Eigenschaften einer Rollensitzung
<a name="condition-keys-role-session-properties"></a>

Verwenden Sie die folgenden Bedingungsschlüssel, um Eigenschaften der Rollensitzung zum Zeitpunkt der Sitzungsgenerierung zu vergleichen. Diese Bedingungsschlüssel sind nur verfügbar, wenn eine Anfrage von einem Prinzipal mit Rollensitzungs- oder Verbundbenutzer-Prinzipal-Anmeldeinformationen gestellt wird. Die Werte für diese Bedingungsschlüssel sind im Sitzungstoken der Rolle eingebettet.

Eine [Rolle](reference_policies_elements_principal.md#principal-roles) ist eine Art Prinzipal. Sie können die Bedingungsschlüssel aus dem Abschnitt [Eigenschaften des Prinzipals](#condition-keys-principal-properties) auch verwenden, um die Eigenschaften einer Rolle auszuwerten, wenn eine Rolle eine Anfrage stellt.

### aws:AssumedRoot
<a name="condition-keys-assumedroot"></a>

Verwenden Sie diesen Schlüssel, um zu überprüfen, ob die Anfrage mithilfe von [AssumeRoot](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html)gestellt wurde. `AssumeRoot`gibt kurzfristige Anmeldeinformationen für eine privilegierte Root-Benutzersitzung zurück, mit der Sie privilegierte Aktionen für Mitgliedskonten in Ihrer Organisation ausführen können. Weitere Informationen finden Sie unter [Root-Zugriff für Mitgliedskonten zentral verwalten](id_root-user.md#id_root-user-access-management).
+ **Verfügbarkeit** — Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn der Principal die Anmeldeinformationen von verwendet [AssumeRoot](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html), um die Anfrage zu stellen.
+ **Datentyp** – [boolesch](reference_policies_elements_condition_operators.md#Conditions_Boolean)
+ **Werttyp** - Einzelwertig

Im folgenden Beispiel wird bei Verwendung als Dienststeuerungsrichtlinie die Verwendung der langfristigen Anmeldeinformationen eines Root-Benutzers in einem AWS Organizations Mitgliedskonto verweigert. Die Richtlinie verhindert nicht, dass `AssumeRoot`-Sitzungen die von einer `AssumeRoot`-Sitzung zugelassenen Aktionen ausführen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":[
       {
          "Effect":"Deny",
          "Action":"*",
          "Resource": "*",
          "Condition":{
             "ArnLike":{
                "aws:PrincipalArn":[
                   "arn:aws:iam::*:root"
                ]
             },
             "Null":{
                "aws:AssumedRoot":"true"
             }
          }
       }
    ]
 }
```

------

### aws:FederatedProvider
<a name="condition-keys-federatedprovider"></a>

Verwenden Sie diesen Schlüssel, um die Auftraggeber-ID des Anforderers (IdP) mit der ID zu vergleichen, die Sie in der Richtlinie angeben. Das bedeutet, dass mithilfe des Vorgangs eine IAM-Rolle übernommen wurde. [https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRoleWithWebIdentity](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRoleWithWebIdentity) AWS STS Wenn die temporären Anmeldeinformationen der resultierenden Rollensitzung verwendet werden, um eine Anforderung zu stellen, identifiziert der Anforderungskontext den IdP, der die ursprüngliche Verbundidentität authentifiziert hat.
+ **Verfügbarkeit** – Dieser Schlüssel ist in der Rollensitzung einer Rolle vorhanden, die mithilfe eines OpenID Connect (OIDC)-Anbieters übernommen wurde, sowie in der Rollenvertrauensrichtlinie, wenn ein OIDC-Anbieter zum Aufrufen von `AssumeRoleWithWebIdentity` verwendet wird.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)\$1
+ **Werttyp** - Einzelwertig

\$1 Der Datentyp hängt von Ihrem IDP ab:
+ **Wenn Sie einen integrierten AWS IdP wie [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/iam-roles.html) verwenden, ist der Schlüsselwert eine Zeichenfolge.** Der Schlüsselwert kann wie folgt aussehen: `cognito-identity.amazonaws.com`.
+ Wenn Sie einen IdP verwenden, der nicht in [Amazon EKS](https://docs.aws.amazon.com//eks/latest/userguide/associate-service-account-role.html) integriert ist, ist der Schlüsselwert **ARN**. AWS[https://docs.github.com/en/actions/security-for-github-actions/security-hardening-your-deployments/configuring-openid-connect-in-amazon-web-services](https://docs.github.com/en/actions/security-for-github-actions/security-hardening-your-deployments/configuring-openid-connect-in-amazon-web-services) Der Schlüsselwert kann wie folgt aussehen: `arn:aws:iam::111122223333:oidc-provider/oidc.eks.region.amazonaws.com/id/OIDC_Provider_ID`.

Weitere Informationen zu externen IdPs und finden Sie `AssumeRoleWithWebIdentity` unter[Gängige Szenarien](id_federation_common_scenarios.md). Weitere Informationen finden Sie unter [Rollensitzungsgsprinzipale](reference_policies_elements_principal.md#principal-role-session).

### aws:TokenIssueTime
<a name="condition-keys-tokenissuetime"></a>

Verwenden Sie diesen Schlüssel, um das Datum und die Uhrzeit der Ausstellung der Sicherheitsanmeldeinformationen mit dem Datum und der Uhrzeit zu vergleichen, das bzw. die Sie in der Richtlinie angeben. 
+ **Availability** – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn der Auftraggeber temporäre Anmeldeinformationen für die Anforderung verwendet. Der Schlüssel ist weder in AWS CLI AWS API- noch in AWS SDK-Anfragen enthalten, die mithilfe von Zugriffsschlüsseln gestellt werden.
+ **Datentyp** – [Datum](reference_policies_elements_condition_operators.md#Conditions_Date)
+ **Werttyp** - Einzelwertig

Informationen darüber, welche Services die Verwendung von temporären Anmeldeinformationen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md).

### aws:MultiFactorAuthAge
<a name="condition-keys-multifactorauthage"></a>

Verwenden Sie diesen Schlüssel, um die Anzahl der Sekunden, die seit dem Zeitpunkt, zu dem der anfordernde Auftraggeber per MFA autorisiert wurde, verstrichen sind mit der Anzahl, die Sie in der Richtlinie angeben, zu vergleichen. Weitere Informationen zu MFA finden Sie unter [AWS Multi-Faktor-Authentifizierung in IAM](id_credentials_mfa.md).

**Wichtig**  
Dieser Bedingungsschlüssel ist nicht für föderierte Identitäten oder Anfragen vorhanden, die mithilfe von Zugriffsschlüsseln zum Signieren von AWS CLI-, AWS API- oder AWS SDK-Anfragen gestellt wurden. Weitere Informationen zum Hinzufügen von MFA-Schutz zu API-Operationen mit temporären Sicherheitsanmeldeinformationen finden Sie unter [Sicherer API-Zugriff mit MFA](id_credentials_mfa_configure-api-require.md).  
Um zu überprüfen, ob MFA zur Validierung von IAM-Verbundidentitäten verwendet wird, können Sie die Authentifizierungsmethode von Ihrem Identitätsanbieter AWS als Sitzungs-Tag an übergeben. Details hierzu finden Sie unter [Sitzungs-Tags übergeben AWS STS](id_session-tags.md). Um MFA für Identitäten von IAM Identity Center durchzusetzen, können Sie [Attribute für die Zugriffskontrolle aktivieren](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac.html), um einen SAML-Assertionsantrag mit der Authentifizierungsmethode von Ihrem Identitätsanbieter an IAM Identity Center zu übergeben.
+ **Verfügbarkeit** – Dieser Schlüssel wird nur dann in den Anforderungskontext aufgenommen, wenn der Prinzipal für die Anfrage [temporäre Sicherheitsanmeldeinformationen](id_credentials_temp.md) verwendet. Richtlinien mit MFA-Bedingungen können an Folgendes angefügt werden:
  + Einem IAM-Benutzer oder einer IAM-Gruppe
  + Einer Ressource, wie zum Beispiel ein Amazon S3-Bucket, eine Amazon SQS-Warteschlange oder ein Amazon SNS-Thema
  + Die Vertrauensrichtlinie einer IAM-Rolle, die von einem Benutzer übernommen werden kann
+ **Datentyp** – [Numerisch](reference_policies_elements_condition_operators.md#Conditions_Numeric)
+ **Werttyp** - Einzelwertig

### aws:MultiFactorAuthPresent
<a name="condition-keys-multifactorauthpresent"></a>

Verwenden Sie diesen Schlüssel, um zu überprüfen, ob die Multi-Faktor-Authentifizierung (MFA) zur Validierung der [temporären Sicherheits-Anmeldeinformationen](id_credentials_temp.md) verwendet wurde, über die die Anforderung gestellt wurde.

**Wichtig**  
Dieser Bedingungsschlüssel ist nicht für föderierte Identitäten oder Anfragen vorhanden, die mithilfe von Zugriffsschlüsseln zum Signieren von AWS CLI-, AWS API- oder AWS SDK-Anfragen gestellt wurden. Weitere Informationen zum Hinzufügen von MFA-Schutz zu API-Operationen mit temporären Sicherheitsanmeldeinformationen finden Sie unter [Sicherer API-Zugriff mit MFA](id_credentials_mfa_configure-api-require.md).  
Um zu überprüfen, ob MFA zur Validierung von IAM-Verbundidentitäten verwendet wird, können Sie die Authentifizierungsmethode von Ihrem Identitätsanbieter AWS als Sitzungs-Tag an übergeben. Details hierzu finden Sie unter [Sitzungs-Tags übergeben AWS STS](id_session-tags.md). Um MFA für Identitäten von IAM Identity Center durchzusetzen, können Sie [Attribute für die Zugriffskontrolle aktivieren](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac.html), um einen SAML-Assertionsantrag mit der Authentifizierungsmethode von Ihrem Identitätsanbieter an IAM Identity Center zu übergeben.
+ **Availability** – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn der Auftraggeber temporäre Anmeldeinformationen für die Anforderung verwendet. Richtlinien mit MFA-Bedingungen können an Folgendes angefügt werden:
  + Einem IAM-Benutzer oder einer IAM-Gruppe
  + Einer Ressource, wie zum Beispiel ein Amazon S3-Bucket, eine Amazon SQS-Warteschlange oder ein Amazon SNS-Thema
  + Die Vertrauensrichtlinie einer IAM-Rolle, die von einem Benutzer übernommen werden kann
+ **Datentyp** – [boolesch](reference_policies_elements_condition_operators.md#Conditions_Boolean)
+ **Werttyp** - Einzelwertig

Temporäre Anmeldeinformationen werden verwendet, um IAM-Rollen und IAM-Benutzer mit temporären Tokens von oder und Benutzern von [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)zu authentifizieren. [GetSessionToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html) AWS-Managementkonsole

Bei IAM-Benutzerzugriffsschlüsseln handelt es sich um langfristige Anmeldeinformationen. In einigen Fällen werden jedoch temporäre Anmeldeinformationen im Namen von IAM-Benutzern zur Ausführung von Vorgängen AWS erstellt. In diesen Fällen ist der Schlüssel `aws:MultiFactorAuthPresent` in der Anforderung vorhanden und auf einen Wert von `false` gesetzt werden. Es gibt zwei häufige Fälle, in denen dies passieren kann:
+ IAM-Benutzer in der Region verwenden AWS-Managementkonsole unwissentlich temporäre Anmeldeinformationen. Benutzer melden sich mit ihrem Benutzernamen und Passwort bei der Konsole an. Dabei handelt es sich um langfristige Anmeldeinformationen. Im Hintergrund erstellt die Konsole jedoch temporäre Anmeldeinformationen für den Benutzer. 
+ Wenn ein IAM-Benutzer einen Dienst aufruft, verwendet der AWS Dienst die Anmeldeinformationen des Benutzers erneut, um eine weitere Anfrage an einen anderen Dienst zu stellen. Zum Beispiel, wenn Sie Athena aufrufen, um auf einen Amazon S3 S3-Bucket zuzugreifen, oder wenn Sie es verwenden, CloudFormation um eine Amazon EC2 EC2-Instance zu erstellen. AWS Verwendet für die nachfolgende Anfrage temporäre Anmeldeinformationen.

Informationen darüber, welche Services die Verwendung von temporären Anmeldeinformationen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md).

Der `aws:MultiFactorAuthPresent`-Schlüssel ist nie vorhanden, wenn ein API- oder CLI-Befehl mit langfristigen Anmeldeinformationen wie Zugriffsschlüsselpaare eines Benutzers aufgerufen wird. Wir empfehlen daher, beim Prüfen dieses Schlüssels die Versionen `...IfExists` der Bedingungsoperatoren zu verwenden.

Beachten Sie, dass das folgende `Condition`-Element ***keine*** zuverlässige Methode ist, um zu überprüfen, ob eine Anforderung über MFA authentifiziert wird.

```
#####   WARNING: NOT RECOMMENDED   #####
"Effect" : "Deny",
"Condition" : { "Bool" : { "aws:MultiFactorAuthPresent" : "false" } }
```

Diese Kombination aus `Deny` Effekt `Bool`-Element und `false`-Wert verweigert Anforderungen, die mit MFA authentifiziert werden können, es aber nicht waren. Dies gilt nur für temporäre Anmeldeinformationen, die die Verwendung von MFA unterstützen. Diese Anweisung verweigert nicht den Zugriff auf Anforderungen, die mit langfristigen Anmeldeinformationen gestellt wurden, oder auf Anforderungen, die per MFA authentifiziert wurden. Verwenden Sie dieses Beispiel mit Vorsicht, da seine Logik kompliziert ist und nicht prüft, ob die MFA-Authentifizierung tatsächlich verwendet wurde. 

Verwenden Sie auch nicht die Kombination aus `Deny` Effekt `Null`-Element und `true`, da sie sich genauso verhält und die Logik noch komplizierter ist.

**Empfohlene Kombination**  
Wir empfehlen Ihnen, den Operator [`BoolIfExists`](reference_policies_elements_condition_operators.md#Conditions_IfExists) zu verwenden, um zu überprüfen, ob eine Anforderung über MFA authentifiziert wird.

```
"Effect" : "Deny",
"Condition" : { "BoolIfExists" : { "aws:MultiFactorAuthPresent" : "false" } }
```

Diese Kombination aus `Deny`, `BoolIfExists` und `false` verweigert Anforderungen, die nicht mit MFA authentifiziert wurden. Insbesondere lehnt sie Anforderungen von temporären Anmeldeinformationen ab, die keine MFA umfassen. Es lehnt auch Anfragen ab, die mit langfristigen Anmeldeinformationen gestellt werden, wie AWS CLI z. B. AWS API-Operationen, die mithilfe von Zugriffsschlüsseln durchgeführt werden. Der Operator `*IfExists` prüft das Vorhandensein des `aws:MultiFactorAuthPresent`-Schlüssels und ob er vorhanden sein könnte oder nicht, wie durch seine Existenz angezeigt wird. Verwenden Sie diesen Operator, wenn Sie eine Anforderung ablehnen möchten, die nicht über die MFA authentifiziert wird. Dies ist sicherer, kann jedoch jeden Code oder jedes Skript beschädigen, das Zugriffsschlüssel für den Zugriff auf die AWS API AWS CLI oder verwendet. 

**Alternative Kombinationen**  
Sie können den [`BoolIfExists`](reference_policies_elements_condition_operators.md#Conditions_IfExists)Operator auch verwenden, um MFA-authentifizierte Anfragen AWS CLI und/oder AWS API-Anfragen zuzulassen, die mit langfristigen Anmeldeinformationen gestellt werden.

```
"Effect" : "Allow",
"Condition" : { "BoolIfExists" : { "aws:MultiFactorAuthPresent" : "true" } }
```

Diese Bedingung ist erfüllt, wenn der Schlüssel existiert und vorhanden ist **oder** wenn der Schlüssel nicht vorhanden ist. Diese Kombination aus `Allow`, `BoolIfExists`, und `true` lässt Anforderungen zu, die mit MFA authentifiziert werden, oder Anforderungen, die nicht mit MFA authentifiziert werden können. Das bedeutet AWS CLI, dass AWS API- und AWS SDK-Operationen zulässig sind, wenn der Anforderer seine langfristigen Zugriffsschlüssel verwendet. Diese Kombination erlaubt keine Anforderungen von temporären Anmeldeinformationen, die MFA umfassen könnten, aber keine MFA enthalten. 

Wenn Sie eine Richtlinie mit dem visuellen Editor der IAM-Konsole erstellen und **MFA required** (MFA erforderlich), auswählen, wird diese Kombination angewendet. Diese Einstellung erfordert zwar MFA für den Konsolenzugriff, ermöglicht jedoch den programmgesteuerten Zugriff ohne MFA. 

Alternativ können Sie den `Bool`-Operator verwenden, damit programmgesteuerte Anforderungen und Konsolenanforderungen nur dann zugelassen werden, wenn sie mit MFA authentifiziert werden.

```
"Effect" : "Allow",
"Condition" : { "Bool" : { "aws:MultiFactorAuthPresent" : "true" } }
```

Diese Kombination aus `Allow`, `Bool` und `true` lässt nur mit MFA authentifizierte Anforderungen zu. Dies gilt nur für temporäre Anmeldeinformationen, die die Verwendung von MFA unterstützen. Diese Anweisung erlaubt keinen Zugriff auf Anforderungen, die mit langfristigen Zugriffsschlüsseln gestellt wurden, oder auf Anforderungen, die mit temporären Anmeldeinformationen ohne MFA durchgeführt wurden. 

Verwenden Sie ***keine*** Richtlinie wie die folgende Beispielrichtlinie, um auf das Vorhandensein des MFA-Schlüssels hin zu prüfen:

```
#####   WARNING: USE WITH CAUTION   #####

"Effect" : "Allow",
"Condition" : { "Null" : { "aws:MultiFactorAuthPresent" : "false" } }
```

Diese Kombination aus `Allow` Effekt, `Null`-Element und `false`-Wert erlaubt nur Anforderungen, die mit MFA authentifiziert werden können, unabhängig davon, ob die Anforderung tatsächlich authentifiziert ist. Dies ermöglicht alle Anforderungen, die mit temporären Anmeldeinformationen gestellt werden, und verweigert den Zugriff mit langfristigen Anmeldeinformationen. Verwenden Sie dieses Beispiel mit Vorsicht, da es nicht prüft, ob die MFA-Authentifizierung tatsächlich verwendet wurde. 

### aws:ChatbotSourceArn
<a name="condition-keys-chatbotsourcearn"></a>

Verwenden Sie diesen Schlüssel, um die vom Prinzipal festgelegte Quell-Chat-Konfigurations-ARN mit der Chat-Konfigurations-ARN zu vergleichen, die Sie in der Richtlinie der IAM-Rolle angeben, die Ihrer Kanalkonfiguration zugeordnet ist. Sie können Anfragen basierend auf der von Amazon Q Developer in Chat-Anwendungen initiierten Rollensitzung autorisieren.
+ **Verfügbarkeit** – Dieser Schlüssel wird vom Amazon Q Developer-Service in Chat-Anwendungen immer dann in den Anfragekontext aufgenommen, wenn eine Rollensitzung angenommen wird. Der Schlüsselwert ist die Chat-Konfigurations-ARN, z. B. bei der [Ausführung eines AWS CLI -Befehls aus einem Chat-Kanal](https://docs.aws.amazon.com/chatbot/latest/adminguide/chatbot-cli-commands.html).
+ **Datentyp** – [ARN](reference_policies_elements_condition_operators.md#Conditions_ARN)
+ **Werttyp** - Einzelwertig
+ **Beispielwert:** – `arn:aws::chatbot::123456789021:chat-configuration/slack-channel/private_channel`

Die folgende Richtlinie verweigert Amazon-S3-Put-Anfragen für den angegebenen Bucket für alle Anfragen, die von einem Slack-Kanal stammen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ExampleS3Deny",
            "Effect": "Deny",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Condition": {
                "ArnLike": {
                      "aws:ChatbotSourceArn": "arn:aws:chatbot::*:chat-configuration/slack-channel/*"
                }
            }
        }
    ]
}
```

------

### aws:Ec2InstanceSourceVpc
<a name="condition-keys-ec2instancesourcevpc"></a>

Dieser Schlüssel identifiziert die VPC, an die Amazon-EC2-IAM-Rollen-Anmeldeinformationen übermittelt wurden. Sie können diesen Schlüssel in einer Richtlinie mit dem [`aws:SourceVPC`](#condition-keys-sourcevpc)globalen Schlüssel verwenden, um zu überprüfen, ob ein Anruf von einer VPC (`aws:SourceVPC`) aus getätigt wird, die der VPC entspricht, an die die Anmeldeinformation übermittelt wurden (`aws:Ec2InstanceSourceVpc`).
+ **Verfügbarkeit** – Dieser Schlüssel ist immer dann im Anforderungskontext enthalten, wenn der Anforderer Anforderungen mit einer Amazon EC2-Rollen-Anmeldeinformation signiert. Er kann in IAM-Richtlinien, Service-Control-Richtlinien, VPC-Endpunkt-Richtlinien und Ressourcenrichtlinien verwendet werden.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig

Dieser Schlüssel kann mit VPC-Identifikationswerten verwendet werden, ist jedoch am nützlichsten, wenn er als Variable in Kombination mit dem `aws:SourceVpc`-Kontextschlüssel verwendet wird. Dieser `aws:SourceVpc`-Kontextschlüssel ist nur dann im Anforderungskontext enthalten, wenn der Anforderer einen VPC-Endpunkt für die Anforderung verwendet. Die Verwendung von `aws:Ec2InstanceSourceVpc` mit `aws:SourceVpc` ermöglicht eine `aws:Ec2InstanceSourceVpc` breitere Verwendung, da Werte verglichen werden, die sich normalerweise zusammen ändern.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "RequireSameVPC",
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
            "aws:SourceVpc": "${aws:Ec2InstanceSourceVpc}"
        },
        "Null": {
          "ec2:SourceInstanceARN": "false"
        },
        "BoolIfExists": {
          "aws:ViaAWSService": "false"
        }
      }
    }
  ]
}
```

------

Im obigen Beispiel wird der Zugriff verweigert, wenn der `aws:SourceVpc`-Wert nicht dem `aws:Ec2InstanceSourceVpc`-Wert entspricht. Die Richtlinienerklärung ist nur auf Rollen beschränkt, die als Amazon EC2-Instance-Rollen verwendet werden, indem getestet wird, ob der `ec2:SourceInstanceARN`-Bedingungsschlüssel vorhanden ist.

Die Richtlinie ermöglicht `aws:ViaAWSService` die Autorisierung von Anfragen AWS , wenn Anfragen im Namen Ihrer Amazon EC2 EC2-Instance-Rollen gestellt werden. Wenn Sie beispielsweise eine Anfrage von einer Amazon EC2 EC2-Instance an einen verschlüsselten Amazon S3-Bucket stellen, ruft Amazon S3 in Ihrem Namen AWS KMS an. Einige der Schlüssel sind nicht vorhanden, wenn die Anfrage an AWS KMS gestellt wird.

### aws:Ec2InstanceSourcePrivateIPv4
<a name="condition-keys-ec2instancesourceprivateip4"></a>

Dieser Schlüssel identifiziert die private IPv4-Adresse der primären elastischen Netzwerk-Schnittstelle, an die die Amazon EC2-IAM-Rollen-Anmeldeinformation übermittelt wurde. Sie müssen diesen Bedingungsschlüssel zusammen mit dem zugehörigen Schlüssel `aws:Ec2InstanceSourceVpc` verwenden, um sicherzustellen, dass Sie über eine global eindeutige Kombination aus VPC-ID und privater Quell-IP verfügen. Verwenden Sie diesen Schlüssel mit `aws:Ec2InstanceSourceVpc`, um sicherzustellen, dass eine Anfrage von derselben privaten IP-Adresse aus gestellt wurde, an die die Anmeldeinformation übermittelt wurde.
+ **Verfügbarkeit** – Dieser Schlüssel ist immer dann im Anforderungskontext enthalten, wenn der Anforderer Anforderungen mit einer Amazon EC2-Rollen-Anmeldeinformation signiert. Er kann in IAM-Richtlinien, Service-Control-Richtlinien, VPC-Endpunkt-Richtlinien und Ressourcenrichtlinien verwendet werden.
+ **Datentyp** – [IP-Adresse](reference_policies_elements_condition_operators.md#Conditions_IPAddress)
+ **Werttyp** - Einzelwertig

**Wichtig**  
Dieser Schlüssel sollte nicht alleine in einer `Allow`-Anweisung verwendet werden. Private IP-Adressen sind per Definition nicht global eindeutig. Sie sollten den `aws:Ec2InstanceSourceVpc`-Schlüssel jedes Mal verwenden, wenn Sie den `aws:Ec2InstanceSourcePrivateIPv4`-Schlüssel verwenden, um die VPC anzugeben, von der aus Ihre Amazon EC2-Instance-Anmeldeinformation verwendet werden kann.

Das folgende Beispiel ist eine Service Control Policy (SCP), die den Zugriff auf alle Ressourcen verweigert, sofern die Anfrage nicht über einen VPC-Endpunkt in derselben VPC wie die Rollenanmeldeinformationen eingeht. In diesem Beispiel beschränkt `aws:Ec2InstanceSourcePrivateIPv4` die Quelle der Anmeldeinformationen auf eine bestimmte Instance basierend auf der Quell-IP.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action":  "*",
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:Ec2InstanceSourceVpc": "${aws:SourceVpc}"
                },                
                "Null": {
                    "ec2:SourceInstanceARN": "false"
                },
                "BoolIfExists": {
                    "aws:ViaAWSService": "false"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action":  "*",
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:Ec2InstanceSourcePrivateIPv4": "${aws:VpcSourceIp}"
                },                               
                "Null": {
                    "ec2:SourceInstanceARN": "false"
                },
                "BoolIfExists": {
                    "aws:ViaAWSService": "false"
                }
            }
        }
    ]
}
```

------

### aws:SourceIdentity
<a name="condition-keys-sourceidentity"></a>

Verwenden Sie diesen Schlüssel, um die Queltidentität, die vom Auftraggeber festgelegt wurde, mit der Quellidentität zu vergleichen, die Sie in der Richtlinie angeben. 
+ **Verfügbarkeit** — Dieser Schlüssel wird in den Anforderungskontext aufgenommen, nachdem eine Quellidentität festgelegt wurde, wenn eine Rolle mithilfe eines AWS STS Assume-Role-CLI-Befehls oder einer AWS STS `AssumeRole` API-Operation übernommen wird.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig

Sie können diesen Schlüssel in einer Richtlinie verwenden, um Aktionen AWS von Prinzipalen zuzulassen, die bei der Übernahme einer Rolle eine Quellidentität festgelegt haben. Die Aktivität für die angegebene Quellidentität der Rolle erscheint in [AWS CloudTrail](cloudtrail-integration.md#cloudtrail-integration_signin-tempcreds). Auf diese Weise können Administratoren leichter feststellen, wer oder was Aktionen mit einer Rolle in AWS ausgeführt hat.

Im Gegensatz zu [`sts:RoleSessionName`](reference_policies_iam-condition-keys.md#ck_rolesessionname), nachdem die Quellidentität festgelegt wurde, kann der Wert nicht geändert werden. Es ist im Kontext der Anforderung aller Aktionen vorhanden, die von der Rolle ausgeführt werden. Wenn Sie die Sitzungsanmeldeinformationen verwenden, bleibt der Wert in nachfolgenden Rollensitzungen bestehen, um eine andere Rolle anzunehmen. Die Annahme einer Rolle von einer anderen wird als [Rollenverkettung](id_roles.md#iam-term-role-chaining) bezeichnet. 

Der [`sts:SourceIdentity`](reference_policies_iam-condition-keys.md#ck_sourceidentity)Schlüssel ist in der Anfrage enthalten, wenn der Principal zunächst eine Quellidentität festlegt und gleichzeitig eine Rolle mithilfe eines AWS STS Assume-Role-CLI-Befehls oder einer AWS STS `AssumeRole` API-Operation annimmt. Der Schlüssel `aws:SourceIdentity` ist in der Anforderung für alle Aktionen vorhanden, die mit einer Rollensitzung durchgeführt werden, für die eine Quellidentität festgelegt wurde.

Die folgende Rollen-Vertrauensrichtlinie für `CriticalRole` im Konto `111122223333` enthält eine Bedingung für `aws:SourceIdentity`, die verhindert, dass ein Auftraggeber ohne eine Quellidentität, die auf Saanvi oder Diego eingestellt ist, die Rolle übernehmen kann.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AssumeRoleIfSourceIdentity",
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::123456789012:role/CriticalRole"},
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity"
            ],
            "Condition": {
                "StringLike": {
                    "aws:SourceIdentity": ["Saanvi","Diego"]
                }
            }
        }
    ]
}
```

------

Weitere Informationen zur Verwendung von Quellidentitätsinformationen finden Sie unter [Überwachen und Steuern von Aktionen mit übernommenen Rollen](id_credentials_temp_control-access_monitor.md).

### ec2:RoleDelivery
<a name="condition-keys-ec2-role-delivery"></a>

Verwenden Sie diesen Schlüssel, um die Version des Instance-Metadaten-Service in der signierten Anfrage mit den Anmeldeinformationen für die IAM-Rolle für Amazon EC2 zu vergleichen. Der Instanz-Metadatendienst unterscheidet zwischen IMDSv1 und IMDSv2 Anfragen danach, ob für eine bestimmte Anfrage entweder die `GET` Header `PUT` oder, die eindeutig sind, in dieser Anfrage vorhanden sind. IMDSv2
+ **Verfügbarkeit** – Dieser Schlüssel wird in den Anforderungskontext aufgenommen, wenn die Rollensitzung von einer Amazon-EC2-Instance erstellt wird.
+ **Datentyp** – [Numerisch](reference_policies_elements_condition_operators.md#Conditions_Numeric)
+ **Werttyp** - Einzelwertig
+ **Beispielwerte** – 1,0, 2,0

Sie können den Instanz-Metadatendienst (IMDS) für jede Instanz so konfigurieren, dass lokaler Code oder Benutzer ihn verwenden müssen. IMDSv2 Wenn Sie angeben, dass dieser verwendet werden IMDSv2 muss, funktioniert das nicht IMDSv1 mehr.
+ Instance Metadata Service Version 1 (IMDSv1) — Eine Anforderungs-/Antwortmethode 
+ Instanz-Metadatendienst Version 2 (IMDSv2) — eine sitzungsorientierte Methode

Informationen zur Konfiguration der zu verwendenden Instanz finden Sie unter [Konfiguration der IMDSv2 Optionen für Instanz-Metadaten](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html).

Im folgenden Beispiel wird der Zugriff verweigert, wenn der RoleDelivery Wert ec2: im Anforderungskontext 1,0 (IMDSv1) ist. Diese Richtlinienanweisung kann allgemein angewendet werden, da sie keine Auswirkungen hat, wenn die Anfrage nicht mit Amazon-EC2-Rollen-Anmeldeinformationen signiert ist.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
               {
            "Sid": "RequireAllEc2RolesToUseV2",
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "NumericLessThan": {
                    "ec2:RoleDelivery": "2.0"
                }
            }
        }
    ]
}
```

------

Weitere Informationen finden Sie unter [Beispielrichtlinien für die Arbeit mit Instance-Metadaten](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-instance-metadata).

### ec2:SourceInstanceArn
<a name="condition-keys-ec2-source-instance-arn"></a>

Verwenden Sie diesen Schlüssel, um den ARN der Instance zu vergleichen, aus der die Sitzung der Rolle generiert wurde.
+ **Verfügbarkeit** – Dieser Schlüssel wird in den Anforderungskontext aufgenommen, wenn die Rollensitzung von einer Amazon-EC2-Instance erstellt wird.
+ **Datentyp** – [ARN](reference_policies_elements_condition_operators.md#Conditions_ARN)
+ **Werttyp** - Einzelwertig
+ **Beispielwert** — arn:aws:ec2:us-west- 2:111111111111:instance/instance-id

Richtlinienbeispiele finden Sie unter [Erlauben einer bestimmten Instance, Ressourcen in anderen AWS -Services anzuzeigen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-source-instance).

### glue:RoleAssumedBy
<a name="condition-keys-glue-role-assumed-by"></a>

Der AWS Glue Service legt diesen Bedingungsschlüssel für jede AWS API-Anfrage fest, bei der eine Anfrage mithilfe einer Servicerolle im Namen des Kunden gestellt AWS Glue wird (nicht durch einen Job- oder Entwickler-Endpunkt, sondern direkt durch den Service). AWS Glue Verwenden Sie diesen Schlüssel, um zu überprüfen, ob ein Anruf an eine AWS Ressource vom AWS Glue Dienst kam.
+ **Verfügbarkeit** — Dieser Schlüssel ist im Anforderungskontext enthalten, AWS Glue wenn eine Anfrage mithilfe einer Servicerolle im Namen des Kunden gestellt wird.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig
+ **Beispielwert** – Dieser Schlüssel ist immer auf `glue.amazonaws.com` festgelegt.

Das folgende Beispiel fügt eine Bedingung hinzu, die es dem AWS Glue Service ermöglicht, ein Objekt aus einem Amazon S3 S3-Bucket abzurufen.

```
{
    "Effect": "Allow",
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
    "Condition": {
        "StringEquals": {
            "glue:RoleAssumedBy": "glue.amazonaws.com"
        }
    }
}
```

### glue:CredentialIssuingService
<a name="condition-keys-glue-credential-issuing"></a>

Der AWS Glue Service legt diesen Schlüssel für jede AWS API-Anfrage fest und verwendet dabei eine Servicerolle, die von einem Job- oder Entwickler-Endpunkt stammt. Verwenden Sie diesen Schlüssel, um zu überprüfen, ob ein Aufruf einer AWS Ressource von einem AWS Glue Job- oder Entwickler-Endpunkt aus erfolgte.
+ **Verfügbarkeit** — Dieser Schlüssel ist im Anforderungskontext enthalten, wenn eine AWS Glue Anfrage gestellt wird, die von einem Job- oder Entwickler-Endpunkt kommt.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig
+ **Beispielwert** – Dieser Schlüssel ist immer auf `glue.amazonaws.com` festgelegt.

Im folgenden Beispiel wird eine Bedingung hinzugefügt, die an eine IAM-Rolle angehängt ist, die von einem AWS Glue Job verwendet wird. Dadurch wird sichergestellt, dass bestimmte Aktionen darauf allowed/denied basieren, ob die Rollensitzung für eine AWS Glue Job-Laufzeitumgebung verwendet wird.

```
{
    "Effect": "Allow",
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
    "Condition": {
        "StringEquals": {
            "glue:CredentialIssuingService": "glue.amazonaws.com"
        }
    }
}
```

### codebuild:BuildArn
<a name="condition-keys-codebuild-build-arn"></a>

Dieser Schlüssel identifiziert den CodeBuild Build-ARN, an den die Anmeldeinformationen für die IAM-Rolle übermittelt wurden. Verwenden Sie diesen Schlüssel, um zu überprüfen, ob ein Aufruf einer AWS Ressource von einem bestimmten CodeBuild Build stammt.

**Anmerkung**  
Der vollständige Wert von `codebuild:BuildArn` ist nicht im Voraus bekannt, da er die dynamisch generierte Build-ID enthält.
+ **Verfügbarkeit** — Dieser Schlüssel ist immer dann im Anforderungskontext enthalten, wenn eine Anfrage von einer Rolle gestellt wird, die von übernommen wurde CodeBuild.
+ **Datentyp** – [ARN](reference_policies_elements_condition_operators.md#Conditions_ARN)
+ **Werttyp** - Einzelwertig
+ **Beispielwert** — arn:aws:codebuild:us-east- 1:123456789012:build/:12345678-1234-1234-1234-123456789012 MyBuildProject

Das folgende Beispiel ermöglicht einem bestimmten Build den Zugriff auf den angegebenen Bucket. CodeBuild `s3:GetObject`

```
{
    "Effect": "Allow",
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
    "Condition": {
        "ArnLike": {
            "codebuild:BuildArn": "arn:aws:codebuild:us-east-1:123456789012:build/MyBuildProject:*"
        }
    }
}
```

### codebuild:ProjectArn
<a name="condition-keys-codebuild-project-arn"></a>

Dieser Schlüssel identifiziert den CodeBuild Projekt-ARN, für den die IAM-Rollenanmeldeinformationen für einen CodeBuild Build bereitgestellt wurden. Verwenden Sie diesen Schlüssel, um zu überprüfen, ob ein Aufruf einer AWS Ressource aus einem bestimmten CodeBuild Projekt stammt.
+ **Verfügbarkeit** — Dieser Schlüssel ist immer dann im Anforderungskontext enthalten, wenn eine Anfrage von einer Rolle gestellt wird, die von übernommen wurde CodeBuild.
+ **Datentyp** – [ARN](reference_policies_elements_condition_operators.md#Conditions_ARN)
+ **Werttyp** - Einzelwertig
+ **Beispielwert** — arn:aws:codebuild:us-east- 1:123456789012:project/ MyBuildProject

Das folgende Beispiel ermöglicht jedem Build aus einem bestimmten Projekt Zugriff auf den angegebenen Bucket. CodeBuild `s3:GetObject`

```
{
    "Effect": "Allow",
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
    "Condition": {
        "ArnEquals": {
            "codebuild:ProjectArn": "arn:aws:codebuild:us-east-1:123456789012:project/MyBuildProject"
        }
    }
}
```

### lambda:SourceFunctionArn
<a name="condition-keys-lambda-source-function-arn"></a>

Verwenden Sie diesen Schlüssel, um die ARN der Lambda-Funktion zu identifizieren, an die die IAM-Rollen-Anmeldeinformationen übermittelt wurden. Der Lambda-Dienst legt diesen Schlüssel für jede AWS API-Anfrage fest, die aus der Ausführungsumgebung Ihrer Funktion stammt. Verwenden Sie diesen Schlüssel, um zu überprüfen, ob ein Aufruf einer AWS Ressource aus dem Code einer bestimmten Lambda-Funktion stammt. Lambda legt diesen Schlüssel auch für einige Anfragen fest, die von außerhalb der Ausführungsumgebung kommen, z. B. das Schreiben von Protokollen in X-Ray CloudWatch und das Senden von Traces an X-Ray.
+ **Verfügbarkeit** – Dieser Schlüssel ist in den Anfrageskontext enthalten, wenn der Lambda-Funktionscode aufgerufen wird.
+ **Datentyp** – [ARN](reference_policies_elements_condition_operators.md#Conditions_ARN)
+ **Werttyp** - Einzelwertig
+ **Beispielwert** — arn:aws:lambda:us-east- 1:123456789012:function: TestFunction

Das folgende Beispiel ermöglicht einer bestimmten Lambda-Funktion den `s3:PutObject`-Zugriff auf den angegebenen Bucket.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ExampleSourceFunctionArn",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Condition": {
                "ArnEquals": {
                    "lambda:SourceFunctionArn": "arn:aws:lambda:us-east-1:123456789012:function:source_lambda"
                }
            }
        }
    ]
}
```

------

Weitere Informationen finden Sie unter [Arbeiten mit Anmeldeinformationen für die Lambda-Ausführungsumgebung](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html#permissions-executionrole-source-function-arn) im *Entwicklerhandbuch zu AWS Lambda *.

### ssm:SourceInstanceArn
<a name="condition-keys-ssm-source-instance-arn"></a>

Verwenden Sie diesen Schlüssel, um den ARN der AWS Systems Manager verwalteten Instanz zu identifizieren, an den die Anmeldeinformationen für die IAM-Rolle übermittelt wurden. Dieser Bedingungsschlüssel ist nicht vorhanden, wenn die Anfrage von einer verwalteten Instance mit einer IAM-Rolle stammt, die einem Amazon-EC2-Instance-Profil zugeordnet ist.
+ **Verfügbarkeit** – Dieser Schlüssel ist in der Anfrage enthalten, wenn Anmeldeinformationen für eine Rolle an eine von AWS Systems Manager verwaltete Instance übermittelt werden.
+ **Datentyp** – [ARN](reference_policies_elements_condition_operators.md#Conditions_ARN)
+ **Werttyp** - Einzelwertig
+ **Beispielwert** — arn:aws:ec2:us-west- 2:111111111111:instance/instance-id

### identitystore:UserId
<a name="condition-keys-identity-store-user-id"></a>

Verwenden Sie diesen Schlüssel, um die Mitarbeiteridentität des IAM Identity Center in der signierten Anfrage mit der in der Richtlinie angegebenen Identität zu vergleichen. 
+ **Verfügbarkeit** – Dieser Schlüssel ist enthalten, wenn der Anfragesteller ein Benutzer des IAM Identity Center ist.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig
+ **Beispielwert** – 94482488-3041-7026-18f3-be45837cd0e4

Sie können den Namen eines Benutzers im IAM Identity Center ermitteln, indem Sie mit UserId der API oder dem SDK eine Anfrage an die API stellen. [GetUserId](https://docs.aws.amazon.com//singlesignon/latest/IdentityStoreAPIReference/API_GetUserId.html) AWS CLI AWS AWS 

## Eigenschaften des Netzwerks
<a name="condition-keys-network-properties"></a>

Verwenden Sie die folgenden Bedingungsschlüssel, um Details über das Netzwerk, von dem die Anfrage stammt oder über das sie weitergeleitet wurde, mit den Netzwerkeigenschaften zu vergleichen, die Sie in der Richtlinie angeben.

### aws:SourceIp
<a name="condition-keys-sourceip"></a>

Verwenden Sie diesen Schlüssel, um die IP-Adresse des Anforderers mit der IP-Adresse zu vergleichen, die Sie in der Richtlinie angeben. Der `aws:SourceIp`-Bedingungsschlüssel kann nur für öffentliche IP-Adressbereiche verwendet werden.
+ **Verfügbarkeit** – Dieser Schlüssel ist im Anforderungskontext enthalten, es sei denn, der Anforderer verwendet einen VPC-Endpunkt für die Anforderung.
+ **Datentyp** – [IP-Adresse](reference_policies_elements_condition_operators.md#Conditions_IPAddress)
+ **Werttyp** - Einzelwertig

Der `aws:SourceIp`-Bedingungsschlüssel kann in einer Richtlinie verwendet werden, um Auftraggeber zu erlauben, Anforderungen nur innerhalb eines angegebenen IP-Bereichs zu stellen.

**Anmerkung**  
`aws:SourceIp`unterstützt IPv4 sowohl die IPv6 Adresse als auch den Bereich von IP-Adressen. [Eine Liste AWS-Services dieser Unterstützung IPv6 finden Sie AWS-Services IPv6 im *Amazon VPC-Benutzerhandbuch*.](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ipv6-support.html)

Sie können beispielsweise die folgende identitätsbasierte Richtlinie an eine IAM-Rolle anfügen. Diese Richtlinie ermöglicht es dem Benutzer, Objekte in den `amzn-s3-demo-bucket3` Amazon S3 S3-Bucket zu legen, wenn er den Anruf aus dem angegebenen IPv4 Adressbereich tätigt. Diese Richtlinie ermöglicht auch einem AWS Dienst, [Forward Access Sessions (FAS)](access_forward_access_sessions.md) der diesen Vorgang in Ihrem Namen durchführt.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PrincipalPutObjectIfIpAddress",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket3/*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": "203.0.113.0/24"
                }
            }
        }
    ]
}
```

------

Wenn Sie den Zugriff von Netzwerken aus einschränken müssen, die IPv4 sowohl als auch IPv6 Adressierung unterstützen, können Sie die IPv4 IPv6 Adresse oder Bereiche von IP-Adressen in die IAM-Richtlinienbedingung aufnehmen. Die folgende identitätsbasierte Richtlinie ermöglicht es dem Benutzer, Objekte in den `amzn-s3-demo-bucket3` Amazon S3 S3-Bucket zu legen, wenn der Benutzer den Anruf entweder aus bestimmten Bereichen IPv4 oder aus IPv6 Adressbereichen tätigt. Bevor Sie IPv6 Adressbereiche in Ihre IAM-Richtlinie aufnehmen, stellen Sie sicher, dass der Support, mit dem AWS-Service Sie zusammenarbeiten, unterstützt wird. IPv6 [Eine Liste AWS-Services dieser Unterstützung IPv6 finden Sie AWS-Services IPv6 im *Amazon VPC-Benutzerhandbuch*.](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ipv6-support.html)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PrincipalPutObjectIfIpAddress",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket3/*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "203.0.113.0/24",
                        "2001:DB8:1234:5678::/64"
                    ]
                }
            }
        }
    ]
}
```

------

Wenn die Anforderung von einem Host stammt, der einen Amazon VPC-Endpunkt verwendet, ist der Schlüssel `aws:SourceIp` nicht verfügbar. Sie sollten stattdessen einen VPC-spezifischen Schlüssel wie [aws](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpcsourceip): verwenden. VpcSourceIp Weitere Informationen zur Verwendung von VPC-Endpunkten finden Sie unter [Identitäts- und Zugriffsmanagement für VPC-Endpunkte und VPC-Endpunkt-Services](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-iam.html) im *AWS PrivateLink -Leitfaden*.

**Anmerkung**  
Wenn AWS-Services Sie in Ihrem Namen Anrufe AWS-Services an andere Personen tätigen (service-to-service Anrufe), wird ein bestimmter netzwerkspezifischer Autorisierungskontext unkenntlich gemacht. Wenn Ihre Richtlinie diesen Bedingungsschlüssel zusammen mit `Deny` Kontoauszügen verwendet, werden AWS-Service Principals möglicherweise unbeabsichtigt blockiert. Um die korrekte Funktion von AWS-Services unter Einhaltung Ihrer Sicherheitsanforderungen zu gewährleisten, schließen Sie Service-Prinzipale von Ihren `Deny`-Anweisungen aus, indem Sie den `aws:PrincipalIsAWSService`-Bedingungsschlüssel mit dem Wert `false` hinzufügen.

### aws:SourceVpc
<a name="condition-keys-sourcevpc"></a>

Verwenden Sie diesen Schlüssel, um zu überprüfen, ob die Anfrage durch die VPC läuft, an die der VPC-Endpunkt angefügt ist. In einer Richtlinie können Sie diesen Schlüssel verwenden, um den Zugriff auf nur eine bestimmte VPC zu erlauben. Weitere Informationen finden Sie unter [Beschränkung des Zugriffs auf eine bestimmte VPC](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies-vpc-endpoint.html#example-bucket-policies-restrict-access-vpc) im *Benutzerhandbuch für Amazon Simple Storage Service*. 
+ **Verfügbarkeit** – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn der Anforderer einen VPC-Endpunkt für die Anforderung verwendet.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig

In einer Richtlinie können Sie diesen Schlüssel verwenden, um den Zugriff auf eine bestimmte VPC zuzulassen oder zu beschränken.

Sie können beispielsweise die folgende identitätsbasierte Richtlinie an eine IAM-Rolle anhängen, um sie dem `amzn-s3-demo-bucket3` Amazon S3 S3-Bucket `PutObject` zu verweigern, es sei denn, die Anfrage wird von der angegebenen VPC-ID gestellt oder sie verwendet [Forward Access Sessions (FAS) AWS-Services](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html), um Anfragen im Namen der Rolle zu stellen. Im Gegensatz zu [aws:SourceIp](#condition-keys-sourceip) müssen Sie [aws:ViaAWSService](#condition-keys-viaawsservice) oder [aws:CalledVia](#condition-keys-calledvia) verwenden, um FAS-Anfragen zuzulassen, da die Quell-VPC der ursprünglichen Anfrage nicht beibehalten wird.

**Anmerkung**  
Diese Richtlinie lässt keine Aktionen zu. Verwenden Sie diese Richtlinie in Kombination mit anderen Richtlinien, die bestimmte Aktionen zulassen.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PutObjectIfNotVPCID",
      "Effect": "Deny",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket3/*",
      "Condition": {
        "StringNotEqualsIfExists": {
          "aws:SourceVpc": "vpc-1234567890abcdef0"
        },
        "Bool": {
          "aws:ViaAWSService": "false"
        }
      }
    }
  ]
}
```

------

**Anmerkung**  
AWS empfiehlt die Verwendung `aws:SourceVpcArn` anstelle von, `aws:SourceVpc` wenn dies von dem Service, auf den Sie abzielen, unterstützt `aws:SourceVpcArn` wird. Eine Liste der unterstützten Dienste finden Sie unter [aws: SourceVpcArn](#condition-keys-sourcevpcarn).

### aws:SourceVpcArn
<a name="condition-keys-sourcevpcarn"></a>

Verwenden Sie diesen Schlüssel, um den ARN der VPC zu überprüfen, über die eine Anfrage über einen VPC-Endpunkt gestellt wurde. Dieser Schlüssel gibt den ARN der VPC zurück, an die der VPC-Endpunkt angehängt ist.
+ **Verfügbarkeit** — Dieser Schlüssel ist im Anforderungskontext für unterstützte Dienste enthalten, wenn eine Anfrage über einen VPC-Endpunkt gestellt wird. Der Schlüssel ist nicht für Anfragen enthalten, die über öffentliche Service-Endpunkte erfolgen. Die folgenden Services unterstützen diesen Schlüssel:
  + AWS App Runner (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html))
  + AWS Application Discovery Service (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationdiscoveryservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationdiscoveryservice.html))
  + Amazon Athena (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html))
  + AWS Cloud Map (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudmap.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudmap.html))
  + Amazon CloudWatch Application Insights (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchapplicationinsights.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchapplicationinsights.html))
  + AWS CloudFormation (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html))
  + Amazon Comprehend Medical (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehendmedical.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehendmedical.html))
  + AWS Compute Optimizer (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscomputeoptimizer.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscomputeoptimizer.html))
  + Amazon; Elastic Container Registry (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistry.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistry.html))
  + Amazon Elastic Container Service (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html))
  + Amazon Kinesis Analytics (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisanalytics.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisanalytics.html))
  + Amazon Route 53 (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html))
  + AWS DataSync (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatasync.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatasync.html))
  + Amazon Elastic Block Store (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html))
  + Amazon EventBridge Scheduler (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgescheduler.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgescheduler.html))
  + Amazon Data Firehose (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisfirehose.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisfirehose.html))
  + AWS HealthImaging (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthimaging.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthimaging.html))
  + AWS HealthLake (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthlake.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthlake.html))
  + AWS HealthOmics (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthomics.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthomics.html))
  + AWS Identity and Access Management (außer für die `iam:PassRole` Aktion) (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementiam.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementiam.html))
  + AWS IoT FleetWise (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotfleetwise.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotfleetwise.html))
  + AWS IoT Wireless (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotwireless.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotwireless.html))
  + AWS Key Management Service (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html))
  + AWS Lambda (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslambda.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslambda.html))
  + AWS Payment Cryptography (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspaymentcryptography.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspaymentcryptography.html))
  + Amazon Polly (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpolly.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpolly.html))
  + AWS Private Certificate Authority (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsprivatecertificateauthority.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsprivatecertificateauthority.html))
  + AWS Papierkorb (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrecyclebin.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrecyclebin.html))
  + Amazon Rekognition (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrekognition.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrekognition.html))
  + Service Quotas (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html))
  + Amazon Simple Storage Service (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html))
  + AWS Storage Gateway (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsstoragegateway.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsstoragegateway.html))
  + AWS Systems Manager Incident Manager Kontakte (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerincidentmanagercontacts.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerincidentmanagercontacts.html))
  + Amazon Textract (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontextract.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontextract.html))
  + Amazon Transcribe (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranscribe.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranscribe.html))
  + AWS Transfer Family (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html))
+ **Datentyp** – ARN

  AWS empfiehlt, beim Vergleich [ARN-Operatoren](reference_policies_elements_condition_operators.md#Conditions_ARN) anstelle von [Zeichenkettenoperatoren](reference_policies_elements_condition_operators.md#Conditions_String) zu verwenden ARNs.
+ **Werttyp** - Einzelwertig
+ **Beispielwert:** – `arn:aws:ec2:us-east-1:123456789012:vpc/vpc-0e9801d129EXAMPLE`

Im Folgenden finden Sie ein Beispiel für eine Bucket-Richtlinie, die den Zugriff auf `amzn-s3-demo-bucket` und die zugehörigen Objekte von überall außerhalb der `vpc-1a2b3c4d` VPC verweigert.

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
     {
       "Sid": "Access-to-specific-VPC-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
                    "arn:aws:s3:::amzn-s3-demo-bucket/*"],
       "Condition": {
         "ArnNotEquals": {
           "aws:SourceVpcArn": "arn:aws:ec2:us-east-1:*:vpc/vpc-1a2b3c4d"
         }
       }
     }
   ]
}
```

### aws:SourceVpce
<a name="condition-keys-sourcevpce"></a>

Verwenden Sie diesen Schlüssel, um die VPC-Endpunkt-ID der Anforderung mit der Endpunkt-ID zu vergleichen, die Sie in der Richtlinie angeben.
+ **Verfügbarkeit** – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn der Anforderer einen VPC-Endpunkt für die Anforderung verwendet.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig

In einer Richtlinie können Sie diesen Schlüssel verwenden, um den Zugriff auf einen bestimmten VPC-Endpunkt zu beschränken. Weitere Informationen finden Sie unter [Beschränkung des Zugriffs auf eine bestimmte VPC](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies-vpc-endpoint.html#example-bucket-policies-restrict-access-vpc) im *Benutzerhandbuch für Amazon Simple Storage Service*. Ähnlich wie bei der Verwendung müssen Sie Anfragen verwenden [aws:ViaAWSService](#condition-keys-viaawsservice) oder zulassen[aws:SourceVpc](#condition-keys-sourcevpc), [aws:CalledVia](#condition-keys-calledvia) die AWS-Services mithilfe von [Forward Access Sessions (FAS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)) gestellt werden. Dies liegt daran, dass der Quell-VPC-Endpunkt der ursprünglichen Anfrage nicht beibehalten wird.

### aws:VpceAccount
<a name="condition-keys-vpceaccount"></a>

Verwenden Sie diesen Schlüssel, um die AWS Konto-ID, der der VPC-Endpunkt gehört, über den die Anfrage gestellt wurde, mit der Konto-ID zu vergleichen, die Sie in der Richtlinie angeben. Dieser Bedingungsschlüssel hilft Ihnen bei der Einrichtung von Netzwerkperimeterkontrollen, indem er sicherstellt, dass Anfragen über VPC-Endpunkte erfolgen, die bestimmten Konten zugeordnet sind.
+ **Verfügbarkeit** – Dieser Schlüssel ist im Anfragekontext enthalten, wenn eine Anfrage über einen VPC-Endpunkt erfolgt. Der Schlüssel ist nicht für Anfragen enthalten, die über öffentliche Service-Endpunkte erfolgen.

  Die folgenden Services unterstützen diesen Schlüssel:
  + AWS App Runner (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html))
  + AWS Application Discovery Service (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationdiscoveryservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationdiscoveryservice.html))
  + Amazon Athena (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html))
  + AWS Cloud Map (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudmap.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudmap.html))
  + Amazon CloudWatch Application Insights (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchapplicationinsights.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchapplicationinsights.html))
  + AWS CloudFormation (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html))
  + Amazon Comprehend Medical (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehendmedical.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehendmedical.html))
  + AWS Compute Optimizer (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscomputeoptimizer.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscomputeoptimizer.html))
  + Amazon; Elastic Container Registry (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistry.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistry.html))
  + Amazon Elastic Container Service (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html))
  + Amazon Kinesis Analytics (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisanalytics.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisanalytics.html))
  + Amazon Route 53 (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html))
  + AWS DataSync (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatasync.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatasync.html))
  + Amazon Elastic Block Store (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html))
  + Amazon EventBridge Scheduler (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgescheduler.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgescheduler.html))
  + Amazon Data Firehose (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisfirehose.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisfirehose.html))
  + AWS HealthImaging (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthimaging.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthimaging.html))
  + AWS HealthLake (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthlake.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthlake.html))
  + AWS HealthOmics (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthomics.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthomics.html))
  + AWS Identity and Access Management (außer für die `iam:PassRole` Aktion) (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementiam.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementiam.html))
  + AWS IoT FleetWise (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotfleetwise.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotfleetwise.html))
  + AWS IoT Wireless (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotwireless.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotwireless.html))
  + AWS Key Management Service (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html))
  + AWS Lambda (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslambda.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslambda.html))
  + AWS Payment Cryptography (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspaymentcryptography.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspaymentcryptography.html))
  + Amazon Polly (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpolly.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpolly.html))
  + AWS Private Certificate Authority (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsprivatecertificateauthority.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsprivatecertificateauthority.html))
  + AWS Papierkorb (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrecyclebin.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrecyclebin.html))
  + Amazon Rekognition (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrekognition.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrekognition.html))
  + Service Quotas (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html))
  + Amazon Simple Storage Service (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html))
  + AWS Storage Gateway (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsstoragegateway.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsstoragegateway.html))
  + AWS Systems Manager Incident Manager Kontakte (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerincidentmanagercontacts.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerincidentmanagercontacts.html))
  + Amazon Textract (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontextract.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontextract.html))
  + Amazon Transcribe (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranscribe.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranscribe.html))
  + AWS Transfer Family (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html))
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig
+ **Beispielwert:** – `123456789012`

Sie können diesen Bedingungsschlüssel verwenden, wenn Sie den Zugriff auf Ressourcen einschränken möchten, sodass Anfragen über VPC-Endpunkte erfolgen müssen, die Ihrem Konto gehören. Das folgende Beispiel für eine Bucket-Richtlinie für Amazon S3 ermöglicht den Zugriff, wenn die Anfrage über einen VPC-Endpunkt erfolgt, der dem angegebenen Konto gehört:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AccessToSpecificVpceAccountOnly",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/RoleName"
            },
            "Action": "s3:GetObject",
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
            "Condition": {
                "StringEquals": {
                    "aws:VpceAccount": "111122223333"
                }
            }
        }
    ]
}
```

------

**Anmerkung**  
Dieser Bedingungsschlüssel wird derzeit für eine Reihe ausgewählter AWS Dienste unterstützt. Die Verwendung dieses Schlüssels mit nicht unterstützten Services kann zu unbeabsichtigten Autorisierungsergebnissen führen. Beschränken Sie den Bedingungsschlüssel in Ihren Richtlinien immer auf unterstützte Services.

Einige AWS Dienste greifen von ihren Netzwerken aus auf Ihre Ressourcen zu, wenn sie in Ihrem Namen handeln. Wenn Sie solche Dienste verwenden, müssen Sie das obige Richtlinienbeispiel bearbeiten, damit AWS Dienste von außerhalb Ihres Netzwerks auf Ihre Ressourcen zugreifen können. Weitere Informationen zu Zugriffsmustern, die bei der Durchsetzung von Zugriffskontrollen auf der Grundlage des Abfrageursprungs berücksichtigt werden müssen, finden Sie unter [Einrichten des Berechtigungs-Integritätsschutzes mithilfe von Datenperimetern](access_policies_data-perimeters.md).

### aws:VpceOrgID
<a name="condition-keys-vpceorgid"></a>

Verwenden Sie diesen Schlüssel, um die ID der Organisation AWS Organizations , der der VPC-Endpunkt gehört, von dem aus die Anfrage gestellt wurde, mit der ID zu vergleichen, die Sie in der Richtlinie angeben. Dieser Bedingungsschlüssel bietet den skalierbarsten Ansatz für Netzwerkperimeterkontrollen, der automatisch alle VPC-Endpunkte einbezieht, die Konten in Ihrer Organisation gehören.
+ **Verfügbarkeit** — Dieser Schlüssel ist im Anforderungskontext enthalten, wenn eine Anfrage über einen VPC-Endpunkt gestellt wird und das VPC-Endpunkt-Besitzerkonto Mitglied einer AWS Organisation ist. Der Schlüssel ist nicht enthalten für Anfragen, die über andere Netzwerkpfade erfolgen oder wenn das VPC-Endpunkt-Besitzerkonto nicht Teil einer Organisation ist.

  Die folgenden Services unterstützen diesen Schlüssel:
  + AWS App Runner (Präfix:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html)
  + AWS Application Discovery Service (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationdiscoveryservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationdiscoveryservice.html))
  + Amazon Athena (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html))
  + AWS B2B Data Interchange (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsb2bdatainterchange.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsb2bdatainterchange.html))
  + AWS Cloud Map (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudmap.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudmap.html))
  + Amazon CloudWatch Application Insights (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchapplicationinsights.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchapplicationinsights.html))
  + AWS CloudFormation (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html))
  + Amazon Cognito (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitoidentity.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitoidentity.html))
  + Amazon Comprehend Medical (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehendmedical.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehendmedical.html))
  + AWS Compute Optimizer (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscomputeoptimizer.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscomputeoptimizer.html))
  + AWS Database Migration Service (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatabasemigrationservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatabasemigrationservice.html))
  + AWS Verzeichnisdienstdaten (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdirectoryservicedata.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdirectoryservicedata.html))
  + Amazon; Elastic Container Registry (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistry.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistry.html))
  + Amazon Elastic Container Service (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html))
  + Amazon Kinesis Analytics (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisanalytics.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisanalytics.html))
  + Amazon Route 53 (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html))
  + AWS DataSync (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatasync.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatasync.html))
  + Amazon Elastic Block Store (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html))
  + Amazon EventBridge Scheduler (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgescheduler.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgescheduler.html))
  + Amazon Data Firehose (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisfirehose.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisfirehose.html))
  + AWS HealthImaging (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthimaging.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthimaging.html))
  + AWS HealthLake (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthlake.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthlake.html))
  + AWS HealthOmics (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthomics.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthomics.html))
  + AWS Identity and Access Management (außer für die `iam:PassRole` Aktion) (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementiam.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementiam.html))
  + AWS Identitätsspeicher (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentitystore.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentitystore.html))
  + AWS IoT FleetWise (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotfleetwise.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotfleetwise.html))
  + AWS IoT TwinMaker (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiottwinmaker.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiottwinmaker.html))
  + AWS IoT Wireless (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotwireless.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotwireless.html))
  + Amazon Keyspaces (für Apache Cassandra) (Präfix:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html)
  + AWS Key Management Service (Präfix:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html)
  + AWS Lambda (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslambda.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslambda.html))
  + AWS Network Firewall (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsnetworkfirewall.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsnetworkfirewall.html))
  + AWS Payment Cryptography (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspaymentcryptography.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspaymentcryptography.html))
  + Amazon Pinpoint SMS- und Sprachservice (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpinpointsmsandvoiceservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpinpointsmsandvoiceservice.html))
  + Amazon Polly (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpolly.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpolly.html))
  + AWS-Preisliste (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspricelist.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspricelist.html))
  + AWS Private Certificate Authority (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsprivatecertificateauthority.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsprivatecertificateauthority.html))
  + AWS Papierkorb (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrecyclebin.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrecyclebin.html))
  + Amazon Rekognition (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrekognition.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrekognition.html))
  + Service Quotas (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html))
  + Amazon Simple Email Service (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonses.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonses.html))
  + Amazon Simple Storage Service (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html))
  + Amazon Simple Queue Service (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsqs.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsqs.html))
  + AWS Storage Gateway (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsstoragegateway.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsstoragegateway.html))
  + AWS Systems Manager Incident Manager Kontakte (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerincidentmanagercontacts.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerincidentmanagercontacts.html))
  + Amazon Textract (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontextract.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontextract.html))
  + Amazon Transcribe (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranscribe.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranscribe.html))
  + AWS Transfer Family (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html))
  + Amazon WorkMail (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonworkmail.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonworkmail.html))
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig
+ **Beispielwerte** — `o-a1b2c3d4e5`

Das folgende Beispiel für eine Ressourcenkontrollrichtlinie verweigert den Zugriff auf Ihr Amazon S3 und Ihre AWS Key Management Service Ressourcen, es sei denn, die Anfrage kommt über VPC-Endpunkte, die der angegebenen Organisation gehören, oder über Netzwerke von AWS Diensten, die in Ihrem Namen handeln. Einige Organisationen müssen diese Richtlinie möglicherweise weiter bearbeiten, um den Anforderungen ihrer Organisation gerecht zu werden, z. B. um externen Partnern Zugriff zu gewähren. Weitere Informationen zu Zugriffsmustern, die bei der Durchsetzung von Zugriffskontrollen auf der Grundlage des Abfrageursprungs berücksichtigt werden müssen, finden Sie unter [Einrichten des Berechtigungs-Integritätsschutzes mithilfe von Datenperimetern](access_policies_data-perimeters.md).

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EnforceNetworkPerimeterVpceOrgID",
      "Effect": "Deny",
      "Principal": "*",
      "Action": [
        "s3:*",
        "kms:*"
      ],
      "Resource": "*",
      "Condition": {
        "BoolIfExists": {
          "aws:PrincipalIsAWSService": "false",
          "aws:ViaAWSService": "false"
        },
        "StringNotEqualsIfExists": {
            "aws:VpceOrgID": "o-abcdef0123",
            "aws:PrincipalTag/network-perimeter-exception": "true"
        }
      }
    }
  ]
}
```

------

**Anmerkung**  
Dieser Bedingungsschlüssel wird derzeit für eine Reihe ausgewählter Dienste unterstützt. AWS Die Verwendung dieses Schlüssels mit nicht unterstützten Services kann zu unbeabsichtigten Autorisierungsergebnissen führen. Beschränken Sie den Bedingungsschlüssel in Ihren Richtlinien immer auf unterstützte Services.

### aws:VpceOrgPaths
<a name="condition-keys-vpceorgpaths"></a>

Verwenden Sie diesen Schlüssel, um den AWS Organizations Pfad für den VPC-Endpunkt, von dem aus die Anfrage gestellt wurde, mit dem Pfad zu vergleichen, den Sie in der Richtlinie angeben. Dieser Bedingungsschlüssel ermöglicht es Ihnen, Netzwerkperimeterkontrollen auf der Ebene der Organisationseinheit (OU) zu implementieren und automatisch mit Ihrer VPC-Endpunktnutzung zu skalieren, wenn Sie innerhalb der angegebenen Anzahl neue Endpunkte hinzufügen. OUs
+ **Verfügbarkeit** – Dieser Schlüssel ist im Anfragekontext enthalten, wenn eine Anfrage über einen VPC-Endpunkt erfolgt und das VPC-Endpunkt-Besitzerkonto Mitglied einer Organisation ist. Der Schlüssel ist nicht enthalten für Anfragen, die über andere Netzwerkpfade erfolgen oder wenn das VPC-Endpunkt-Besitzerkonto nicht Teil einer Organisation ist.

  Die folgenden Services unterstützen diesen Schlüssel:
  + AWS App Runner (Präfix:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html)
  + AWS Application Discovery Service (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationdiscoveryservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationdiscoveryservice.html))
  + Amazon Athena (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html))
  + AWS Cloud Map (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudmap.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudmap.html))
  + Amazon CloudWatch Application Insights (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchapplicationinsights.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchapplicationinsights.html))
  + AWS CloudFormation (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html))
  + Amazon Comprehend Medical (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehendmedical.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehendmedical.html))
  + AWS Compute Optimizer (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscomputeoptimizer.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscomputeoptimizer.html))
  + Amazon; Elastic Container Registry (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistry.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistry.html))
  + Amazon Elastic Container Service (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html))
  + Amazon Kinesis Analytics (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisanalytics.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisanalytics.html))
  + Amazon Route 53 (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html))
  + AWS DataSync (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatasync.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatasync.html))
  + Amazon Elastic Block Store (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html))
  + Amazon EventBridge Scheduler (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgescheduler.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgescheduler.html))
  + Amazon Data Firehose (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisfirehose.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisfirehose.html))
  + AWS HealthImaging (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthimaging.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthimaging.html))
  + AWS HealthLake (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthlake.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthlake.html))
  + AWS HealthOmics (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthomics.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthomics.html))
  + AWS Identity and Access Management (außer für die `iam:PassRole` Aktion) (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementiam.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementiam.html))
  + AWS IoT FleetWise (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotfleetwise.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotfleetwise.html))
  + AWS IoT Wireless (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotwireless.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotwireless.html))
  + AWS Key Management Service (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html))
  + AWS Lambda (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslambda.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslambda.html))
  + AWS Payment Cryptography (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspaymentcryptography.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspaymentcryptography.html))
  + Amazon Polly (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpolly.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpolly.html))
  + AWS Private Certificate Authority (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsprivatecertificateauthority.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsprivatecertificateauthority.html))
  + AWS Papierkorb (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrecyclebin.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrecyclebin.html))
  + Amazon Rekognition (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrekognition.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrekognition.html))
  + Service Quotas (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html))
  + Amazon Simple Storage Service (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html))
  + AWS Storage Gateway (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsstoragegateway.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsstoragegateway.html))
  + AWS Systems Manager Incident Manager Kontakte (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerincidentmanagercontacts.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerincidentmanagercontacts.html))
  + Amazon Textract (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontextract.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontextract.html))
  + Amazon Transcribe (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranscribe.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranscribe.html))
  + AWS Transfer Family (Präfix: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html))
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String) (Liste)
+ **Werttyp** - Mehrwertig
+ **Beispielwerte** — `o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/`

Da `aws:VpceOrgPaths` ein mehrwertiger Bedingungsschlüssel ist, müssen Sie für diesen Schlüssel die Set-Operatoren `ForAnyValue` oder `ForAllValues` mit [String-Bedingungsoperatoren](reference_policies_elements_condition_operators.md#Conditions_String) verwenden. Das folgende Beispiel für eine Bucket-Richtlinie für Amazon S3 ermöglicht den Zugriff nur dann, wenn Anfragen über VPC-Endpunkte erfolgen, die Konten in bestimmten Organisationseinheiten gehören:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessFromSpecificOrgPaths",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/RoleName"
      },
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
      "Condition": {
        "ForAnyValue:StringLike": {
          "aws:VpceOrgPaths": [
            "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/*",
            "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-33333333/*"
          ]
        }
      }
    }
  ]
}
```

------

**Anmerkung**  
Dieser Bedingungsschlüssel wird derzeit für eine Reihe ausgewählter AWS Dienste unterstützt. Die Verwendung dieses Schlüssels mit nicht unterstützten Services kann zu unbeabsichtigten Autorisierungsergebnissen führen. Beschränken Sie den Bedingungsschlüssel in Ihren Richtlinien immer auf unterstützte Services.

Einige AWS Dienste greifen von ihren Netzwerken aus auf Ihre Ressourcen zu, wenn sie in Ihrem Namen handeln. Wenn Sie solche Dienste verwenden, müssen Sie das obige Richtlinienbeispiel bearbeiten, damit AWS Dienste von außerhalb Ihres Netzwerks auf Ihre Ressourcen zugreifen können. Weitere Informationen zu Zugriffsmustern, die bei der Durchsetzung von Zugriffskontrollen auf der Grundlage des Abfrageursprungs berücksichtigt werden müssen, finden Sie unter [Einrichten des Berechtigungs-Integritätsschutzes mithilfe von Datenperimetern](access_policies_data-perimeters.md).

### aws:VpcSourceIp
<a name="condition-keys-vpcsourceip"></a>

Verwenden Sie diesen Schlüssel, um die IP-Adresse, von der eine Anforderung stammt, mit der IP-Adresse zu vergleichen, die Sie in der Richtlinie angeben. In einer Richtlinie stimmt der Schlüssel nur dann überein, wenn die Anforderung von der angegebenen IP-Adresse stammt und über einen VPC-Endpunkt geleitet wird.
+ **Verfügbarkeit** – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn die Anforderung über einen VPC-Endpunkt erfolgt.
+ **Datentyp** – [IP-Adresse](reference_policies_elements_condition_operators.md#Conditions_IPAddress)
+ **Werttyp** - Einzelwertig

Weitere Informationen finden Sie unter [Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) im *Amazon-VPC-Benutzerhandbuch*. Ähnlich wie bei der Verwendung müssen Sie Anfragen verwenden [aws:ViaAWSService](#condition-keys-viaawsservice) oder [aws:CalledVia](#condition-keys-calledvia) zulassen[aws:SourceVpc](#condition-keys-sourcevpc), die AWS-Services mithilfe von [Forward Access Sessions (FAS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) gestellt werden. Dies liegt daran, dass die Quell-IP der ursprünglichen Anfrage über einen VPC-Endpunkt in FAS-Anfragen nicht beibehalten wird.

**Anmerkung**  
`aws:VpcSourceIp`unterstützt IPv4 sowohl die IPv6 Adresse als auch den Bereich von IP-Adressen. [Eine Liste AWS-Services dieser Unterstützung IPv6 finden Sie AWS-Services IPv6 im *Amazon VPC-Benutzerhandbuch*.](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ipv6-support.html)  
Verwenden Sie immer den `aws:VpcSourceIp` Bedingungsschlüssel zusammen mit den `aws:SourceVpcArn` Bedingungstasten `aws:SourceVpc``aws:SourceVpce`, oder. Wenn Sie dies nicht tun, kann eine Richtlinie API-Aufrufe von einer unerwarteten VPC zulassen, die dieselbe oder sich überschneidende IP-CIDR verwendet. Dies kann passieren, weil die IP-Adressen CIDRs von zwei, die nichts miteinander zu tun haben, identisch sein VPCs oder sich überschneiden können.

**Anmerkung**  
Wenn AWS-Services Sie in Ihrem Namen Anrufe AWS-Services an andere Personen tätigen (service-to-service Anrufe), wird ein bestimmter netzwerkspezifischer Autorisierungskontext unkenntlich gemacht. Wenn Ihre Richtlinie diesen Bedingungsschlüssel zusammen mit `Deny` Kontoauszügen verwendet, werden AWS-Service Principals möglicherweise unbeabsichtigt blockiert. Um die korrekte Funktion von AWS-Services unter Einhaltung Ihrer Sicherheitsanforderungen zu gewährleisten, schließen Sie Service-Prinzipale von Ihren `Deny`-Anweisungen aus, indem Sie den `aws:PrincipalIsAWSService`-Bedingungsschlüssel mit dem Wert `false` hinzufügen.

## Eigenschaften der Ressource
<a name="condition-keys-resource-properties"></a>

Verwenden Sie die folgenden Bedingungsschlüssel, um Details über die Ressource, die das Ziel der Anfrage ist, mit den Ressourceneigenschaften zu vergleichen, die Sie in der Richtlinie angeben.

### aws:ResourceAccount
<a name="condition-keys-resourceaccount"></a>

Verwenden Sie diesen Schlüssel, um die [AWS-Konto -ID](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html) des angeforderten Ressourcenbesitzers mit dem Ressourcenkonto in der Richtlinie zu vergleichen. Sie können dann den Zugriff auf diese Ressource basierend auf dem Konto, dem die Ressource gehört, erlauben oder verweigern.
+ **Verfügbarkeit** – Dieser Schlüssel ist immer im Anforderungskontext für die meisten Service-Aktionen enthalten. Die folgenden Aktionen unterstützen diesen Schlüssel nicht:
  + AWS Audit Manager
    + `auditmanager:UpdateAssessmentFrameworkShare`
  + Amazon Detective
    + `detective:AcceptInvitation`
  + AWS Directory Service
    + `ds:AcceptSharedDirectory`
  + Amazon Elastic Block Store – Alle Aktionen
  + Amazon EC2
    + `ec2:AcceptTransitGatewayPeeringAttachment`
    + `ec2:AcceptVpcEndpointConnections`
    + `ec2:AcceptVpcPeeringConnection`
    + `ec2:CreateTransitGatewayPeeringAttachment`
    + `ec2:CreateVpcEndpoint`
    + `ec2:CreateVpcPeeringConnection`
  + Amazon EventBridge
    + `events:PutEvents`— EventBridge `PutEvents` ruft einen Event-Bus in einem anderen Konto auf, wenn dieser Event-Bus vor dem 2. März 2023 als kontenübergreifendes EventBridge Ziel konfiguriert wurde. Weitere Informationen finden Sie im * EventBridge Amazon-Benutzerhandbuch* unter Erteilen [von Berechtigungen zum Zulassen von Ereignissen aus anderen AWS Konten](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-cross-account.html#eb-receiving-events-from-another-account).
  + Amazon GuardDuty
    + `guardduty:AcceptAdministratorInvitation`
  + Amazon Macie
    + `macie2:AcceptInvitation`
  +  OpenSearch Amazon-Dienst
    + `es:AcceptInboundConnection`
  + Amazon Route 53
    + `route53:AssociateVpcWithHostedZone`
    + `route53:CreateVPCAssociationAuthorization`
  + AWS Security Hub CSPM
    + `securityhub:AcceptAdministratorInvitation`
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig

**Anmerkung**  
Weitere Überlegungen zu den oben genannten nicht unterstützten Aktionen finden Sie im Repository [Data Perimeter Policy Examples](https://github.com/aws-samples/data-perimeter-policy-examples) (Beispiele für Datenperimeter-Richtlinien).

Dieser Schlüssel entspricht der AWS-Konto ID für das Konto mit den in der Anfrage bewerteten Ressourcen.

Für die meisten Ressourcen in Ihrem Konto, enthält der [ARN](reference_policies_elements_condition_operators.md#Conditions_ARN) die Besitzer-Konto-ID für diese Ressource. Für bestimmte Ressourcen, wie Amazon S3-Buckets, enthält der Ressourcen-ARN nicht die Konto-ID. Die folgenden zwei Beispiele zeigen den Unterschied zwischen einer Ressource mit einer Konto-ID im ARN und einem Amazon-S3-ARN ohne Konto-ID:
+ `arn:aws:iam::123456789012:role/AWSExampleRole` – Erstellung und Eigentümerschaft der IAM-Rolle innerhalb des Kontos 123456789012. 
+ `arn:aws:s3:::amzn-s3-demo-bucket2` – Erstellung und Eigentümerchaft des Amazon-S3-Buckets innerhalb des Kontos `111122223333`, wird nicht im ARN angezeigt.

Verwenden Sie die AWS Konsole, API oder CLI, um all Ihre Ressourcen und die entsprechenden Ressourcen zu finden ARNs.

Sie schreiben eine Richtlinie, die Berechtigungen für Ressourcen basierend auf der Konto-ID des Ressourcenbesitzers verweigert. Zum Beispiel verweigert die folgende identitätsbasierte Richtlinie den Zugriff auf die *angegebene Ressource*, wenn die Ressource nicht dem *angegebenen Konto* angehört.

Um diese Richtlinie zu verwenden, ersetzen Sie den *kursiv gedruckten Platzhaltertext* durch Ihre eigenen Kontoinformationen. 

**Wichtig**  
Diese Richtlinie lässt keine Aktionen zu. Stattdessen wird der `Deny`-Effekt verwendet, der explizit den Zugriff auf alle in der Anweisung aufgeführten Ressourcen verweigert, die nicht zu dem aufgelisteten Konto gehören. Verwenden Sie diese Richtlinie in Kombination mit anderen Richtlinien, die den Zugriff auf bestimmte Ressourcen gewähren.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyInteractionWithResourcesNotInSpecificAccount",
      "Action": "service:*",
      "Effect": "Deny",
      "Resource": [
        "arn:aws:service:us-east-1:111122223333:*"
      ],
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        }
      }
    }
  ]
}
```

------

Diese Richtlinie verweigert den Zugriff auf alle Ressourcen für einen bestimmten AWS Dienst, es sei denn, der angegebene Benutzer AWS-Konto besitzt die Ressource. 

**Anmerkung**  
Einige AWS-Services erfordern Zugriff auf AWS eigene Ressourcen, die in einem anderen AWS-Konto gehostet werden. Wenn Sie `aws:ResourceAccount` in Ihren identitätsbasierten Richtlinien verwenden, kann sich dies auf die Fähigkeit Ihrer Identität auswirken, auf diese Ressourcen zuzugreifen.

Bestimmte AWS Dienste, wie z. B. AWS Data Exchange, sind AWS-Konten für den normalen Betrieb auf den Zugriff auf Ressourcen außerhalb Ihres Computers angewiesen. Wenn Sie das Element `aws:ResourceAccount` in Ihren Richtlinien verwenden, fügen Sie zusätzliche Erklärungen hinzu, um Ausnahmen für diese Services zu erstellen. Die Beispielrichtlinie [AWS: Verweigern Sie den Zugriff auf Amazon S3 S3-Ressourcen außerhalb Ihres Kontos, außer AWS Data Exchange](reference_policies_examples_resource_account_data_exch.md) zeigt, wie der Zugriff basierend auf dem Ressourcenkonto verweigert wird, während Ausnahmen für serviceeigene Ressourcen definiert werden.

Verwenden Sie diese Richtlinienbeispiele als Vorlagen für die Erstellung Ihrer eigenen benutzerdefinierten Richtlinien. Weitere Informationen finden Sie in Ihrer Service-[Dokumentation](https://docs.aws.amazon.com/index.html).

### aws:ResourceOrgPaths
<a name="condition-keys-resourceorgpaths"></a>

Verwenden Sie diesen Schlüssel, um den AWS Organizations Pfad für die Ressource, auf die zugegriffen wurde, mit dem Pfad in der Richtlinie zu vergleichen. In einer Richtlinie stellt dieser Bedingungsschlüssel sicher, dass die Ressource einem Kontomitglied innerhalb des angegebenen Organisationsstamms oder der angegebenen Organisationseinheiten (OUs) gehört AWS Organizations. Ein AWS Organizations Pfad ist eine Textdarstellung der Struktur einer Organisationseinheit. Weitere Informationen zum Verwenden und Verstehen von Pfaden finden Sie unter [Verstehen Sie den AWS Organizations Entitätspfad](access_policies_last-accessed-view-data-orgs.md#access_policies_last-accessed-viewing-orgs-entity-path). 
+ **Verfügbarkeit** – Dieser Schlüssel wird nur dann in den Anforderungskontext aufgenommen, wenn das Konto, dem die Ressource gehört, Mitglied einer Organisation ist. Dieser globale Bedingungsschlüssel unterstützt die folgenden Aktionen nicht:
  + AWS Audit Manager
    + `auditmanager:UpdateAssessmentFrameworkShare`
  + Amazon Detective
    + `detective:AcceptInvitation`
  + AWS Directory Service
    + `ds:AcceptSharedDirectory`
  + Amazon Elastic Block Store – Alle Aktionen
  + Amazon EC2
    + `ec2:AcceptTransitGatewayPeeringAttachment`
    + `ec2:AcceptVpcEndpointConnections`
    + `ec2:AcceptVpcPeeringConnection`
    + `ec2:CreateTransitGatewayPeeringAttachment`
    + `ec2:CreateVpcEndpoint`
    + `ec2:CreateVpcPeeringConnection`
  + Amazon EventBridge
    + `events:PutEvents`— EventBridge `PutEvents` ruft einen Event-Bus in einem anderen Konto auf, wenn dieser Event-Bus vor dem 2. März 2023 als kontenübergreifendes EventBridge Ziel konfiguriert wurde. Weitere Informationen finden Sie im * EventBridge Amazon-Benutzerhandbuch* unter Erteilen [von Berechtigungen zum Zulassen von Ereignissen aus anderen AWS Konten](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-cross-account.html#eb-receiving-events-from-another-account).
  + Amazon GuardDuty
    + `guardduty:AcceptAdministratorInvitation`
  + Amazon Macie
    + `macie2:AcceptInvitation`
  +  OpenSearch Amazon-Dienst
    + `es:AcceptInboundConnection`
  + Amazon Route 53
    + `route53:AssociateVpcWithHostedZone`
    + `route53:CreateVPCAssociationAuthorization`
  + AWS Security Hub CSPM
    + `securityhub:AcceptAdministratorInvitation`
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String) (Liste)
+ **Werttyp** - Mehrwertig

**Anmerkung**  
Weitere Überlegungen zu den oben genannten nicht unterstützten Aktionen finden Sie im Repository [Data Perimeter Policy Examples](https://github.com/aws-samples/data-perimeter-policy-examples) (Beispiele für Datenperimeter-Richtlinien).

`aws:ResourceOrgPaths` ist ein mehrwertiger Bedingungsschlüssel. Mehrwertige Bedingungsschlüssel können im Anforderungskontext mehrere Werte haben. Sie müssen die Set-Operatoren `ForAnyValue` oder `ForAllValues` zusammen mit [String-Bedingungsoperatoren](reference_policies_elements_condition_operators.md#Conditions_String) für diesen Schlüssel verwenden. Weitere Hinweise zu mehrwertigen Bedingungsschlüsseln finden Sie unter [Operatoren für mehrwertige Kontextschlüssel festlegen](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).

Zum Beispiel gibt die folgende Bedingung `True` für Ressourcen zurück, die zur Organisation `o-a1b2c3d4e5` gehören. Wenn Sie einen Platzhalter hinzufügen, müssen Sie den [StringLike](reference_policies_elements_condition_operators.md)-Bedingungsoperator verwenden.

```
"Condition": { 
      "ForAnyValue:StringLike": {
             "aws:ResourceOrgPaths":["o-a1b2c3d4e5/*"]
   }
}
```

Die folgende Bedingung gibt `True` für Ressourcen mit der OU-ID `ou-ab12-11111111` zurück. Es wird Ressourcen zugeordnet, die Konten gehören, die der Organisationseinheit ou-ab12-11111111 oder einem beliebigen Kind zugeordnet sind. OUs

```
"Condition": { "ForAnyValue:StringLike" : {
     "aws:ResourceOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/*"]
}}
```

Die folgende Bedingung gilt `True` für Ressourcen, die Konten gehören, die direkt mit der OU-ID verknüpft sind, aber nicht dem Kind. `ou-ab12-22222222` OUs Im folgenden Beispiel wird der [StringEquals](reference_policies_elements_condition_operators.md)Bedingungsoperator verwendet, um die exakte Übereinstimmungsanforderung für die OU-ID und nicht um eine Platzhalterübereinstimmung anzugeben.

```
"Condition": { "ForAnyValue:StringEquals" : {
     "aws:ResourceOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/"]
}}
```

**Anmerkung**  
Einige AWS-Services benötigen Zugriff auf AWS eigene Ressourcen, die auf anderen AWS-Konto gehostet werden. Wenn Sie `aws:ResourceOrgPaths` in Ihren identitätsbasierten Richtlinien verwenden, kann sich dies auf die Fähigkeit Ihrer Identität auswirken, auf diese Ressourcen zuzugreifen.

Bestimmte AWS Dienste, wie z. B. AWS Data Exchange, sind AWS-Konten für den normalen Betrieb auf den Zugriff auf Ressourcen außerhalb Ihres Computers angewiesen. Wenn Sie den Schlüssel `aws:ResourceOrgPaths` in Ihren Richtlinien verwenden, fügen Sie zusätzliche Erklärungen hinzu, um Ausnahmen für diese Services zu erstellen. Die Beispielrichtlinie [AWS: Verweigern Sie den Zugriff auf Amazon S3 S3-Ressourcen außerhalb Ihres Kontos, außer AWS Data Exchange](reference_policies_examples_resource_account_data_exch.md) zeigt, wie der Zugriff basierend auf dem Ressourcenkonto verweigert wird, während Ausnahmen für serviceeigene Ressourcen definiert werden. Sie können eine ähnliche Richtlinie erstellen, um den Zugriff auf Ressourcen innerhalb Ihrer Organisationseinheit (OU) mithilfe des `aws:ResourceOrgPaths`-Schlüssels zu beschränken und gleichzeitig serviceeigene Ressourcen zu berücksichtigen.

Verwenden Sie diese Richtlinienbeispiele als Vorlagen für die Erstellung Ihrer eigenen benutzerdefinierten Richtlinien. Weitere Informationen finden Sie in Ihrer Service-[Dokumentation](https://docs.aws.amazon.com/index.html).

### aws:ResourceOrgID
<a name="condition-keys-resourceorgid"></a>

Verwenden Sie diesen Schlüssel, um die ID der Organisation, AWS Organizations zu der die angeforderte Ressource gehört, mit der in der Richtlinie angegebenen ID zu vergleichen.
+ **Verfügbarkeit** – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn das Konto, das Eigentümer der Ressource ist, Mitglied einer Organisation ist. Dieser globale Bedingungsschlüssel unterstützt die folgenden Aktionen nicht:
  + AWS Audit Manager
    + `auditmanager:UpdateAssessmentFrameworkShare`
  + Amazon Detective
    + `detective:AcceptInvitation`
  + AWS Directory Service
    + `ds:AcceptSharedDirectory`
  + Amazon Elastic Block Store – Alle Aktionen
  + Amazon EC2
    + `ec2:AcceptTransitGatewayPeeringAttachment`
    + `ec2:AcceptVpcEndpointConnections`
    + `ec2:AcceptVpcPeeringConnection`
    + `ec2:CreateTransitGatewayPeeringAttachment`
    + `ec2:CreateVpcEndpoint`
    + `ec2:CreateVpcPeeringConnection`
  + Amazon EventBridge
    + `events:PutEvents`— EventBridge `PutEvents` ruft einen Event-Bus in einem anderen Konto auf, wenn dieser Event-Bus vor dem 2. März 2023 als kontenübergreifendes EventBridge Ziel konfiguriert wurde. Weitere Informationen finden Sie im * EventBridge Amazon-Benutzerhandbuch* unter Erteilen [von Berechtigungen zum Zulassen von Ereignissen aus anderen AWS Konten](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-cross-account.html#eb-receiving-events-from-another-account).
  + Amazon GuardDuty
    + `guardduty:AcceptAdministratorInvitation`
  + Amazon Macie
    + `macie2:AcceptInvitation`
  +  OpenSearch Amazon-Dienst
    + `es:AcceptInboundConnection`
  + Amazon Route 53
    + `route53:AssociateVpcWithHostedZone`
    + `route53:CreateVPCAssociationAuthorization`
  + AWS Security Hub CSPM
    + `securityhub:AcceptAdministratorInvitation`
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig

**Anmerkung**  
Weitere Überlegungen zu den oben genannten nicht unterstützten Aktionen finden Sie im Repository [Data Perimeter Policy Examples](https://github.com/aws-samples/data-perimeter-policy-examples) (Beispiele für Datenperimeter-Richtlinien).

Dieser globale Schlüssel gibt die ID der Ressourcenorganisation für eine bestimmte Anforderung zurück. Es erlaubt Ihnen, Regeln zu erstellen, die für alle Ressourcen in einer Organisation gelten, die im `Resource`-Element einer [identitätsbasierten Richtlinie](access_policies_identity-vs-resource.md) angegeben sind. Sie können die [Organisations-ID](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_details.html) im Bedingungselement angeben. Wenn Sie Konten hinzufügen und entfernen, schließen Richtlinien, die den `aws:ResourceOrgID`-Schlüssel enthalten, automatisch die richtigen Konten ein und Sie müssen sie nicht manuell aktualisieren.

Zum Beispiel verhindert die folgende Richtlinie, dass der Prinzipal der `policy-genius-dev`-Ressource Objekte hinzufügt, es sei denn, die Amazon-S3-Ressource gehört derselben Organisation an wie der Prinzipal, der die Anforderung stellt.

**Wichtig**  
Diese Richtlinie lässt keine Aktionen zu. Stattdessen wird der `Deny`-Effekt verwendet, der explizit den Zugriff auf alle in der Anweisung aufgeführten Ressourcen verweigert, die nicht zu dem aufgelisteten Konto gehören. Verwenden Sie diese Richtlinie in Kombination mit anderen Richtlinien, die den Zugriff auf bestimmte Ressourcen gewähren.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Sid": "DenyPutObjectToS3ResourcesOutsideMyOrganization",
        "Effect": "Deny",
        "Action": "s3:PutObject",
        "Resource": "arn:aws:s3:::policy-genius-dev/*",
        "Condition": {
            "StringNotEquals": {
                "aws:ResourceOrgID": "${aws:PrincipalOrgID}"
            }
        }
    }
}
```

------

**Anmerkung**  
Einige AWS-Services benötigen Zugriff auf AWS eigene Ressourcen, die auf anderen gehostet werden AWS-Konto. Wenn Sie `aws:ResourceOrgID` in Ihren identitätsbasierten Richtlinien verwenden, kann sich dies auf die Fähigkeit Ihrer Identität auswirken, auf diese Ressourcen zuzugreifen.

Bestimmte AWS Dienste, wie z. B. AWS Data Exchange, sind AWS-Konten für den normalen Betrieb auf den Zugriff auf Ressourcen außerhalb Ihres Computers angewiesen. Wenn Sie den Schlüssel `aws:ResourceOrgID` in Ihren Richtlinien verwenden, fügen Sie zusätzliche Erklärungen hinzu, um Ausnahmen für diese Services zu erstellen. Die Beispielrichtlinie [AWS: Verweigern Sie den Zugriff auf Amazon S3 S3-Ressourcen außerhalb Ihres Kontos, außer AWS Data Exchange](reference_policies_examples_resource_account_data_exch.md) zeigt, wie der Zugriff basierend auf dem Ressourcenkonto verweigert wird, während Ausnahmen für serviceeigene Ressourcen definiert werden. Sie können eine ähnliche Richtlinie erstellen, um den Zugriff auf Ressourcen innerhalb Ihrer Organisation mithilfe des `aws:ResourceOrgID`-Schlüssels zu beschränken und gleichzeitig serviceeigene Ressourcen zu berücksichtigen.

Verwenden Sie diese Richtlinienbeispiele als Vorlagen für die Erstellung Ihrer eigenen benutzerdefinierten Richtlinien. Weitere Informationen finden Sie in Ihrer Service-[Dokumentation](https://docs.aws.amazon.com/index.html).

Im folgenden Video erfahren Sie mehr darüber, wie Sie den Bedingungsschlüssel `aws:ResourceOrgID` in einer Richtlinie verwenden können.

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/cWVW0xAiWwc/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/cWVW0xAiWwc)


### aws:ResourceTag/*tag-key*
<a name="condition-keys-resourcetag"></a>

Verwenden Sie diesen Schlüssel, um das Tag-Schlüssel-Wert-Paar, das Sie in der Richtlinie angeben, mit dem Schlüssel-Wert-Paar zu vergleichen, das der Ressource zugeordnet ist. Beispiel: Sie können verlangen, dass der Zugriff auf eine Ressource nur gewährt wird, wenn die Ressource über den angefügten Tag-Schlüssel `"Dept"` mit dem Wert `"Marketing"` verfügt. Weitere Informationen finden Sie unter [Kontrolle des Zugriffs auf AWS Ressourcen](access_tags.md#access_tags_control-resources).
+ **Verfügbarkeit** – Dieser Schlüssel wird in den Anforderungskontext aufgenommen, wenn die angeforderte Ressource bereits angefügte Tags hat oder in Anforderungen, die eine Ressource mit einem angefügten Tag erstellen. Dieser Schlüssel wird nur für Ressourcen zurückgegeben, die [Berechtigung auf Basis von Tags](reference_aws-services-that-work-with-iam.md) unterstützen. Es gibt einen Kontextschlüssel für jedes Tag-Schlüssel-Wert-Paar.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig

Dieser Kontextschlüssel ist so formatiert`"aws:ResourceTag/tag-key":"tag-value"`, *tag-key* dass er ein Tag-Schlüssel- und Wertepaar darstellt. *tag-value* Bei Tag-Schlüsseln wird die Groß- und Kleinschreibung nicht beachtet. Dies bedeutet Folgendes: Wenn Sie `"aws:ResourceTag/TagKey1": "Value1"` im Bedingungselement Ihrer Richtlinie angeben, stimmt die Bedingung mit einem Ressourcen-Tag-Schlüssel mit dem Namen `TagKey1` oder `tagkey1` überein, aber nicht mit beiden. Bei den Werten in diesen key/value Tag-Paaren wird zwischen Groß- und Kleinschreibung unterschieden. Dies bedeutet Folgendes: Wenn Sie `"aws:ResourceTag/TagKey1": "Production"` im Bedingungselement Ihrer Richtlinie angeben, stimmt die Bedingung mit einem Ressourcen-Tag-Wert mit dem Namen `Production` überein, jedoch nicht mit `production` oder `PRODUCTION`.

Beispiele für die Verwendung des `aws:ResourceTag`-Schlüssels zur Steuerung des Zugriffs auf IAM-Ressourcen finden Sie unter [Kontrolle des Zugriffs auf AWS Ressourcen](access_tags.md#access_tags_control-resources).

Beispiele für die Verwendung des `aws:ResourceTag` Schlüssels zur Steuerung des Zugriffs auf andere AWS Ressourcen finden Sie unter[Steuern des Zugriffs auf AWS Ressourcen mithilfe von Tags](access_tags.md).

Ein Tutorial zur Verwendung des `aws:ResourceTag`-Bedingungsschlüssels für attributbasierte Zugriffskontrolle (ABAC) finden Sie unter [IAM-Tutorial: Berechtigungen für den Zugriff auf AWS Ressourcen auf der Grundlage von Tags definieren](tutorial_attribute-based-access-control.md).

## Eigenschaften der Anfrage
<a name="condition-keys-request-properties"></a>

Verwenden Sie die folgenden Bedingungsschlüssel, um Details zur Anfrage selbst und zum Inhalt der Anfrage mit den in der Richtlinie angegebenen Eigenschaften der Anfrage zu vergleichen. 

### aws:CalledVia
<a name="condition-keys-calledvia"></a>

Verwenden Sie diesen Schlüssel, um die Services in der Richtlinie mit den Services zu vergleichen, die im Auftrag des IAM-Auftraggebers (Benutzer oder Rolle) Anforderungen ausgegeben haben. Wenn ein Principal eine Anfrage an einen AWS Dienst stellt, verwendet dieser Dienst möglicherweise die Anmeldeinformationen des Prinzipals, um nachfolgende Anfragen an andere Dienste zu stellen. Wenn die Anfrage mithilfe von Forward Access Sessions (FAS) gestellt wird, wird diesem Schlüssel der Wert des Service-Prinzipals zugewiesen. Der Schlüssel `aws:CalledVia` enthält eine geordnete Liste aller Services in der Kette, die im Auftrag des Auftraggebers Anforderungen ausgegeben haben.

Weitere Informationen finden Sie unter [Forward Access Sessions (FAS)](access_forward_access_sessions.md).
+ **Verfügbarkeit** – Dieser Schlüssel ist in der Anforderung vorhanden, wenn ein Service, der `aws:CalledVia` unterstützt, die Anmeldeinformationen eines IAM-Auftraggebers verwendet, um eine Anforderung an einen anderen Service auszugeben. Dieser Schlüssel ist nicht vorhanden, wenn der Service eine [Servicerolle oder eine serviceverknüpfte Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) verwendet, um einen Aufruf im Auftrag des Prinzipals durchzuführen. Dieser Schlüssel ist auch nicht vorhanden, wenn der Auftraggeber den Aufruf direkt durchführt.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String) (Liste)
+ **Werttyp** - Mehrwertig

Um den `aws:CalledVia` Bedingungsschlüssel in einer Richtlinie verwenden zu können, müssen Sie die Dienstprinzipale angeben, um AWS Dienstanfragen zuzulassen oder abzulehnen. Sie können es beispielsweise verwenden, AWS CloudFormation um aus einer Amazon DynamoDB-Tabelle zu lesen und zu schreiben. DynamoDB verwendet dann die von AWS Key Management Service ()AWS KMS bereitgestellte Verschlüsselung.

Um den Zugriff zu erlauben oder zu verweigern, wenn *irgendein* Service unter Verwendung der Anmeldeinformationen des Auftraggebers eine Anforderung ausgibt, verwenden Sie den Bedingungsschlüssel `aws:ViaAWSService`. Dieser Bedingungsschlüssel unterstützt AWS Dienste.

Der `aws:CalledVia`-Schlüssel ist ein [mehrwertiger Schlüssel](reference_policies_condition-single-vs-multi-valued-context-keys.md). Sie können die Reihenfolge jedoch nicht mit diesem Schlüssel in einer Bedingung erzwingen. Anhand des obigen Beispiels gibt **User 1 (Benutzer 1)** eine Anforderung an CloudFormation aus, das DynamoDB aufruft, das wiederum AWS KMS aufruft. Dies sind drei separate Anforderungen. Der letzte Aufruf von AWS KMS wird von Benutzer 1 *über* CloudFormation und dann DynamoDB ausgeführt. 

![\[Beispiel mit aws: CalledVia\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/condition-key-calledvia-example-diagram.png)


In diesem Fall enthält der Schlüssel `aws:CalledVia` im Anforderungskontext `cloudformation.amazonaws.com` und `dynamodb.amazonaws.com` (in dieser Reihenfolge). Wenn Ihnen nur wichtig ist, dass der Aufruf über DynamoDB irgendwo in der Kette von Anforderungen erfolgt ist, können Sie diesen Bedingungsschlüssel in Ihrer Richtlinie verwenden. 

Die folgende Richtlinie ermöglicht beispielsweise die Verwaltung des genannten AWS KMS Schlüssels`my-example-key`, jedoch nur, wenn DynamoDB einer der anfordernden Dienste ist. Der Bedingungsoperator `ForAnyValue:StringEquals` stellt sicher, dass DynamoDB einer der aufrufenden Services ist. Wenn der Auftraggeber AWS KMS direkt aufruft, gibt die Bedingung `false` zurück, und die Anforderung wird von dieser Richtlinie nicht zugelassen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "KmsActionsIfCalledViaDynamodb",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/my-example-key",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "dynamodb.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

Mit den Schlüsseln `aws:CalledViaFirst` und `aws:CalledViaLast` können Sie auf Wunsch erzwingen, welcher Service den ersten oder letzten Aufruf in der Kette durchführt. Die folgende Richtlinie ermöglicht beispielsweise die Verwaltung des in genannten `my-example-key` Schlüssels. AWS KMS Diese AWS KMS Operationen sind nur zulässig, wenn mehrere Anfragen in der Kette enthalten waren. Die erste Anforderung muss über CloudFormation und die letzte über DynamoDB erfolgen. Wenn andere Services mitten in der Kette Anforderungen ausgeben, ist die Operation trotzdem zulässig.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "KmsActionsIfCalledViaChain",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/my-example-key",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaFirst": "cloudformation.amazonaws.com",
                    "aws:CalledViaLast": "dynamodb.amazonaws.com"
                }
            }
        }
    ]
}
```

------

Die Schlüssel `aws:CalledViaFirst` und `aws:CalledViaLast` sind in der Anforderung vorhanden, wenn ein Service die Anmeldeinformationen eines IAM-Auftraggebers verwendet, um einen anderen Service aufzurufen. Sie geben die ersten und letzten Services an, die in der Kette von Anforderungen Aufrufe durchgeführt haben. Nehmen wir beispielsweise an, dass CloudFormation ein anderer Dienst mit dem Namen`X Service`, aufgerufen wird, der DynamoDB aufruft, der dann aufruft. AWS KMS Der letzte Aufruf von AWS KMS wird von `User 1` *via* CloudFormation`X Service`, then und dann von DynamoDB ausgeführt. Es wurde zuerst über CloudFormation und zuletzt über DynamoDB aufgerufen. 

![\[Beispiel mit aws: CalledViaFirst und aws: CalledViaLast\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/condition-key-calledviafirstlast-example-diagram.png)


### aws:CalledViaFirst
<a name="condition-keys-calledviafirst"></a>

Verwenden Sie diesen Schlüssel, um die Services in der Richtlinie mit dem ***ersten Service*** zu vergleichen, der im Auftrag des IAM-Auftraggebers (Benutzer oder Rolle) eine Anforderung ausgegeben hat. Weitere Informationen finden Sie unter `aws:CalledVia`.
+ **Verfügbarkeit** – Dieser Schlüssel ist in der Anforderung vorhanden, wenn ein Service die Anmeldeinformationen eines IAM-Auftraggebers verwendet, um mindestens eine andere Anforderung an einen anderen Service auszugeben. Dieser Schlüssel ist nicht vorhanden, wenn der Service eine [Servicerolle oder eine serviceverknüpfte Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) verwendet, um einen Aufruf im Auftrag des Prinzipals durchzuführen. Dieser Schlüssel ist auch nicht vorhanden, wenn der Auftraggeber den Aufruf direkt durchführt.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig

### aws:CalledViaLast
<a name="condition-keys-calledvialast"></a>

Verwenden Sie diesen Schlüssel, um die Services in der Richtlinie mit den *letzten Services* zu vergleichen, die im Auftrag des IAM-Auftraggebers (Benutzer oder Rolle) eine Anforderung ausgegeben haben. Weitere Informationen finden Sie unter `aws:CalledVia`.
+ **Verfügbarkeit** – Dieser Schlüssel ist in der Anforderung vorhanden, wenn ein Service die Anmeldeinformationen eines IAM-Auftraggebers verwendet, um mindestens eine andere Anforderung an einen anderen Service auszugeben. Dieser Schlüssel ist nicht vorhanden, wenn der Service eine [Servicerolle oder eine serviceverknüpfte Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) verwendet, um einen Aufruf im Auftrag des Prinzipals durchzuführen. Dieser Schlüssel ist auch nicht vorhanden, wenn der Auftraggeber den Aufruf direkt durchführt.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig

### aws:ViaAWSService
<a name="condition-keys-viaawsservice"></a>

Verwenden Sie diesen Schlüssel, um zu überprüfen, ob an in Ihrem Namen mithilfe von [Forward Access Sessions (FAS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) eine Anfrage an einen anderen Dienst AWS-Service stellt.

Der Anfragekontextschlüssel gibt `true` zurück, wenn ein Service Sitzungen mit direktem Zugriff verwendet, um eine Anfrage im Namen des ursprünglichen IAM-Prinzipals zu stellen. Der Anforderungskontextschlüssel gibt auch `false` zurück, wenn der Auftraggeber den Aufruf direkt durchführt.
+ **Verfügbarkeit** – Dieser Schlüssel ist immer im Anforderungskontext enthalten.
+ **Datentyp** – [boolesch](reference_policies_elements_condition_operators.md#Conditions_Boolean)
+ **Werttyp** - Einzelwertig

### aws:CalledViaAWSMCP
<a name="condition-keys-calledviaawasmcp"></a>

Verwenden Sie diesen Schlüssel, um die Dienste in der Richtlinie mit den AWS MCP-Diensten zu vergleichen, die Anfragen im Namen des IAM-Prinzipals (Benutzer oder Rolle) gestellt haben. Wenn ein Principal eine Anfrage an einen AWS MCP-Dienst stellt, verwendet dieser Dienst die Anmeldeinformationen des Prinzipals, um nachfolgende Anfragen an andere Dienste zu stellen. Wenn die Anfrage über einen AWS MCP-Dienst gestellt wird, wird diesem Schlüssel der Wert des Dienstprinzipals zugewiesen. Der `aws:CalledViaAWSMCP` Schlüssel enthält den Dienstprinzipalnamen des MCP-Dienstes, der Anfragen im Namen des Prinzipals gestellt hat.
+ **Verfügbarkeit** — Dieser Schlüssel ist in der Anfrage enthalten, wenn ein AWS MCP-Service die Anmeldeinformationen eines IAM-Prinzipals verwendet, um eine Anfrage an einen Dienst zu stellen. AWS Dieser Schlüssel ist auch nicht vorhanden, wenn der Auftraggeber den Aufruf direkt durchführt.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig

Sie können diesen Bedingungsschlüssel verwenden, um den Zugriff zu erlauben oder zu verweigern, je nachdem, welcher spezifische MCP-Server die Anfrage initiiert hat. Die folgende Richtlinie verweigert beispielsweise sensible Löschvorgänge, wenn sie über einen bestimmten MCP-Server initiiert werden:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DenySensitiveActionsViaSpecificMCP",
            "Effect": "Deny",
            "Action": [
                "s3:DeleteBucket",
                "s3:DeleteObject",
                "dynamodb:DeleteTable"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaAWSMCP": "aws-mcp.amazonaws.com"
                }
            }
        }
    ]
}
```

### aws:ViaAWSMCPService
<a name="condition-keys-viaawsmcpservice"></a>

Verwenden Sie diesen Schlüssel, um zu überprüfen, ob ein AWS MCP-Dienst in Ihrem Namen mithilfe von Forward Access Sessions (FAS) eine Anfrage an einen anderen AWS Dienst stellt. Der Anforderungskontextschlüssel wird zurückgegeben`true`, wenn ein AWS MCP-Service eine Anfrage im Namen des ursprünglichen AWS IAM-Prinzipals an einen Dienst weiterleitet. Der Anforderungskontextschlüssel gibt auch `false` zurück, wenn der Auftraggeber den Aufruf direkt durchführt.
+ **Verfügbarkeit** — Dieser Schlüssel ist im Anforderungskontext enthalten, wenn ein AWS MCP-Server im Namen eines IAM-Prinzipals eine Anfrage an einen nachgeschalteten AWS Dienst stellt.
+ **Datentyp** – [boolesch](reference_policies_elements_condition_operators.md#Conditions_Boolean)
+ **Werttyp** - Einzelwertig

Sie können diesen Schlüssel verwenden, um bestimmte Aktionen einzuschränken, wenn sie über MCP-Server gesendet werden. Die folgende Richtlinie verweigert beispielsweise sensible Löschvorgänge, wenn sie über einen AWS MCP-Server initiiert werden:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DenySensitiveActionsViaMCP",
            "Effect": "Deny",
            "Action": [
                "s3:DeleteBucket",
                "s3:DeleteObject",
                "dynamodb:DeleteTable"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "aws:ViaAWSMCPService": "true"
                }
            }
        }
    ]
}
```

### aws:CurrentTime
<a name="condition-keys-currenttime"></a>

Verwenden Sie diesen Schlüssel, um das Datum und die Uhrzeit der Anforderung mit dem Datum und der Uhrzeit zu vergleichen, das bzw. die Sie in der Richtlinie angeben. Informationen zum Anzeigen einer Beispielrichtlinie, die diesen Bedingungsschlüssel verwendet, finden Sie unter [AWS: Ermöglicht Zugriff basierend auf Datum und Uhrzeit](reference_policies_examples_aws-dates.md).
+ -**Verfügbarkeit** – Dieser Schlüssel ist immer im Anforderungskontext enthalten.
+ **Datentyp** – [Datum](reference_policies_elements_condition_operators.md#Conditions_Date)
+ **Werttyp** - Einzelwertig

### aws:EpochTime
<a name="condition-keys-epochtime"></a>

Verwenden Sie diesen Schlüssel, um das Datum und die Uhrzeit der Anforderung in Epochen- oder Unix-Zeit mit dem Wert zu vergleichen, den Sie in der Richtlinie angeben. Dieser Schlüssel akzeptiert auch die Anzahl der Sekunden, die seit dem 1. Januar 1970 verstrichen sind. 
+ **Verfügbarkeit** – Dieser Schlüssel ist immer im Anforderungskontext enthalten.
+ **Datentyp** – [Datum](reference_policies_elements_condition_operators.md#Conditions_Date), [Numerisch](reference_policies_elements_condition_operators.md#Conditions_Numeric)
+ **Werttyp** - Einzelwertig

### aws:referer
<a name="condition-keys-referer"></a>

Verwenden Sie diesen Schlüssel, um den Referrer, der im Client-Browser auf die Anforderung verwiesen hat, mit dem Referrer zu vergleichen, den Sie in der Richtlinie angeben. Der `aws:referer`-Anforderungskontextwert wird vom Aufrufer in einem HTTP-Header bereitgestellt. Der `Referer`-Header ist in einer Webbrowser-Anforderung enthalten, wenn Sie einen Link auf einer Webseite auswählen. Der `Referer`-Header enthält die URL der Webseite, auf der der Link ausgewählt wurde.
+ **Verfügbarkeit** — Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn die Anforderung an die AWS Ressource durch einen Link von einer Webseiten-URL im Browser aufgerufen wurde. Dieser Schlüssel ist nicht für programmatische Anforderungen enthalten, da er keinen Browserlink verwendet, um auf die AWS -Ressource zuzugreifen.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig

Sie können beispielsweise direkt über eine URL oder einen direkten API-Aufruf auf ein Amazon S3-Objekt zugreifen. Weitere Informationen finden Sie unter [Amazon S3-API-Vorgänge direkt mit einem Webbrowser](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies.html#example-bucket-policies-use-case-4). Wenn Sie von einer URL, die in einer Webseite existiert, auf ein Amazon S3-Objekt zugreifen, wird die URL der Quellwebseite in `aws:referer` verwendet. Wenn Sie auf ein Amazon S3-Objekt zugreifen, indem Sie die URL in Ihren Browser eingeben, ist `aws:referer` nicht vorhanden. Wenn Sie die API direkt aufrufen, ist `aws:referer` auch nicht vorhanden. Sie können den `aws:referer`-Bedingungsschlüssel in einer Richtlinie verwenden, um Anforderungen von einem bestimmten Referer zuzulassen, z. B. einen Link auf einer Webseite in der Domain Ihres Unternehmens. 

**Warnung**  
Dieser Schlüssel sollte mit Vorsicht verwendet werden. Ein öffentlich bekannter Referer-Header-Wert sollte möglichst nicht eingeschlossen werden. Nicht autorisierte Parteien können mit modifizierten oder benutzerdefinierten Browsern einen beliebigen `aws:referer`-Wert ihrer Wahl bereitstellen. Daher `aws:referer` sollte er nicht verwendet werden, um Unbefugte daran zu hindern, direkte AWS Anfragen zu stellen. Die Funktion wird nur bereitgestellt, damit Kunden ihre digitalen, in Amazon S3 gespeicherten Inhalte vor der Referenzierung auf nicht autorisierte Drittanbieter-Websites schützen können.

### aws:RequestedRegion
<a name="condition-keys-requestedregion"></a>

Verwenden Sie diesen Schlüssel, um die AWS Region, die in der Anfrage aufgerufen wurde, mit der Region zu vergleichen, die Sie in der Richtlinie angeben. Mit diesem globalen Bedingungsschlüssel können Sie steuern, welche Regionen angefordert werden können. Informationen zur Anzeige der AWS Regionen für die einzelnen Dienste finden Sie unter [Dienstendpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html) in der *Allgemeine Amazon Web Services-Referenz*.
+ -**Verfügbarkeit** – Dieser Schlüssel ist immer im Anforderungskontext enthalten.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig

Globale Services wie IAM haben einen einzelnen Endpunkt. Da sich dieser Endpunkt in der US East (N. Virginia)-Region befindet, werden IAM-Anrufe immer an die us-east-1 Region gesendet. Wenn Sie beispielsweise eine Richtlinie erstellen, die den Zugriff auf alle Services verweigert, wenn die angeforderte Region nicht us-west-2 ist, schlagen die IAM-Aufrufe immer fehl. Ein Beispiel dafür, wie Sie dieses Problem umgehen können, finden Sie unter [NotAction Mit Verweigern](reference_policies_elements_notaction.md). 

**Anmerkung**  
Mit dem Bedingungsschlüssel `aws:RequestedRegion` können Sie steuern, welche Endpunkt eines Services aufgerufen wird, jedoch nicht die Auswirkungen der Operation. Einige Services haben regionsübergreifende Auswirkungen.  
Amazon S3 verfügt beispielsweise über API-Operationen, die sich über Regionen erstrecken.  
Sie können `s3:PutBucketReplication` in einer Region aufrufen (betroffen über den Bedingungsschlüssel `aws:RequestedRegion`), während andere Regionen basierend auf den Konfigurationseinstellungen der Replikation betroffen sind.
Sie können `s3:CreateBucket` aufrufen, um einen Bucket in einer anderen Region zu erstellen, und mit dem `s3:LocationConstraint`-Bedingungsschlüssel die entsprechenden Regionen steuern.

Sie können diesen Kontextschlüssel verwenden, um den Zugriff auf AWS Dienste innerhalb einer bestimmten Gruppe von Regionen einzuschränken. Mit der folgenden Richtlinie wird Benutzern beispielsweise erlaubt, alle Amazon EC2-Instances in der AWS-Managementkonsole anzuzeigen. Sie gestattet den Benutzern aber nur Änderungen an Instances in Irland (eu-west-1), London (eu-west-2) und Paris (eu-west-3).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "InstanceConsoleReadOnly",
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*",
                "ec2:Export*",
                "ec2:Get*",
                "ec2:Search*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InstanceWriteRegionRestricted",
            "Effect": "Allow",
            "Action": [
                "ec2:Associate*",
                "ec2:Import*",
                "ec2:Modify*",
                "ec2:Monitor*",
                "ec2:Reset*",
                "ec2:Run*",
                "ec2:Start*",
                "ec2:Stop*",
                "ec2:Terminate*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": [
                        "eu-west-1",
                        "eu-west-2",
                        "eu-west-3"
                    ]
                }
            }
        }
    ]
}
```

------

### aws:RequestTag/*tag-key*
<a name="condition-keys-requesttag"></a>

Verwenden Sie diesen Schlüssel, um das Tag-Schlüssel-Wert-Paar, das in der Anforderung übergeben wurde, mit dem Tag-Paar zu vergleichen, das Sie in der Richtlinie angeben. Sie können beispielsweise prüfen, ob die Anforderung den Tag-Schlüssel `"Dept"` enthält und dieser den Wert `"Accounting"` hat. Weitere Informationen finden Sie unter [Steuern des Zugriffs bei Anfragen AWS](access_tags.md#access_tags_control-requests).
+ **Verfügbarkeit** – Dieser Schlüssel ist im Anforderungskontext enthalten, wenn Tag-Schlüssel-Wert-Paare in der Anforderung übergeben werden. Wenn mehrere Tags in der Anforderung übergeben werden, gibt es einen Kontextschlüssel für jedes Tag-Schlüssel-Wert-Paar.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig

Dieser Kontextschlüssel ist so formatiert`"aws:RequestTag/tag-key":"tag-value"`, *tag-key* dass er ein Tag-Schlüssel- und Wertepaar darstellt. *tag-value* Bei Tag-Schlüsseln wird die Groß- und Kleinschreibung nicht beachtet. Dies bedeutet Folgendes: Wenn Sie `"aws:RequestTag/TagKey1": "Value1"` im Bedingungselement Ihrer Richtlinie angeben, stimmt die Bedingung mit einem Ressourcen-Tag-Schlüssel mit dem Namen `TagKey1` oder `tagkey1` überein, aber nicht mit beiden. Bei den Werten in diesen key/value Tag-Paaren wird zwischen Groß- und Kleinschreibung unterschieden. Dies bedeutet Folgendes: Wenn Sie `"aws:RequestTag/TagKey1": "Production"` im Bedingungselement Ihrer Richtlinie angeben, stimmt die Bedingung mit einem Anfrage-Tag-Wert mit dem Namen `Production` überein, jedoch nicht mit `production` oder `PRODUCTION`.

Dieses Beispiel zeigt, dass der Schlüssel zwar einwertig ist, Sie aber dennoch mehrere Schlüssel-Wert-Paare in einer Anforderung verwenden können, wenn die Schlüssel unterschiedlich sind.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "ec2:CreateTags",
    "Resource": "arn:aws:ec2::111122223333:instance/*",
    "Condition": {
      "StringEquals": {
        "aws:RequestTag/environment": [
          "preprod",
          "production"
        ],
        "aws:RequestTag/team": [
          "engineering"
        ]
      }
    }
  }
}
```

------

### aws:TagKeys
<a name="condition-keys-tagkeys"></a>

Verwenden Sie diesen Schlüssel, um die Tag-Schlüssel in einer Anforderung mit den Schlüsseln zu vergleichen, die Sie in der Richtlinie angeben. Wir empfehlen, dass Sie bei der Verwendung von Richtlinien zur Zugriffskontrolle mithilfe von Tags den `aws:TagKeys`-Bedingungsschlüssel verwenden, um festzulegen, welche Tag-Schlüssel zulässig sind. Beispielrichtlinien und weitere Informationen finden Sie unter [Zugriffssteuerung auf der Grundlage von Tag-Schlüsseln](access_tags.md#access_tags_control-tag-keys).
+ **Verfügbarkeit** – Dieser Schlüssel ist in den Anforderungskontext enthalten, wenn die Operation die Übergabe von Tags in der Anforderung unterstützt.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String) (Liste)
+ **Werttyp** - Mehrwertig

Dieser Kontextschlüssel ist formatiert `"aws:TagKeys":"tag-key"` und enthält eine Liste von Tag-Schlüsseln ohne Werte (z. B.`["Dept","Cost-Center"]`). *tag-key*

Da Sie mehrere Tag-Schlüssel-Wert-Paare in eine Anforderung aufnehmen können, könnte der Anforderungsinhalt eine [mehrwertige](reference_policies_condition-single-vs-multi-valued-context-keys.md) Anforderung sein. In diesem Fall müssen Sie die Operatoren `ForAllValues` oder `ForAnyValue` verwenden. Weitere Informationen finden Sie unter [Operatoren für mehrwertige Kontextschlüssel festlegen](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).

Einige Services unterstützen das Markieren mit Ressourcenoperationen, wie etwa das Erstellen, Ändern oder Löschen einer Ressource. Um das Markieren und Operationen als einzelnen Aufruf zu erlauben, müssen Sie eine Richtlinie erstellen, die die Aktionen Markieren und Ressourcenbearbeitung enthält. Anschließend können Sie den `aws:TagKeys`-Bedingungsschlüssel zum Erzwingen mit spezifischen Tag-Schlüssel in der Anforderung verwenden. Beispiel: Zum Einschränken von Tags, wenn jemand einen Amazon EC2-Snapshot erstellt, müssen Sie die Aktion zum Erstellen eines `ec2:CreateSnapshot` ***und*** die Aktion zum Markieren von `ec2:CreateTags` in die Richtlinie einbeziehen. Eine Richtlinie für dieses Szenario, das `aws:TagKeys` verwendet, finden Sie unter [Erstellen eines Snapshots mit Tags](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-creating-snapshot-with-tags) im *Amazon-EC2-Benutzerhandbuch*. 

### aws:SecureTransport
<a name="condition-keys-securetransport"></a>

Mit diesem Schlüssel können Sie überprüfen, ob die Anfrage per TLS gesendet wurde. Der Anforderungskontext gibt `true` oder `false` zurück. In einer Richtlinie können Sie bestimmte Aktionen nur zulassen, wenn die Anforderung mit TLS gesendet wird.
+ -**Verfügbarkeit** – Dieser Schlüssel ist immer im Anforderungskontext enthalten.
+ **Datentyp** – [boolesch](reference_policies_elements_condition_operators.md#Conditions_Boolean)
+ **Werttyp** - Einzelwertig

**Anmerkung**  
Wenn AWS-Services Sie in Ihrem Namen Anrufe AWS-Services an andere Personen tätigen (service-to-service Anrufe), wird ein bestimmter netzwerkspezifischer Autorisierungskontext unkenntlich gemacht. Wenn Ihre Richtlinie diesen Bedingungsschlüssel zusammen mit `Deny` Kontoauszügen verwendet, werden AWS-Service Principals möglicherweise unbeabsichtigt blockiert. Um die korrekte Funktion von AWS-Services unter Einhaltung Ihrer Sicherheitsanforderungen zu gewährleisten, schließen Sie Service-Prinzipale von Ihren `Deny`-Anweisungen aus, indem Sie den `aws:PrincipalIsAWSService`-Bedingungsschlüssel mit dem Wert `false` hinzufügen. Beispiel:  

```
{
  "Effect": "Deny",
  "Action": "s3:*",
  "Resource": "*",
  "Condition": {
    "Bool": {
      "aws:SecureTransport": "false",
      "aws:PrincipalIsAWSService": "false"
    }
  }
}
```
Diese Richtlinie verweigert den Zugriff auf Amazon S3 S3-Operationen, wenn HTTPS nicht verwendet `aws:SecureTransport` wird (ist falsch), sondern nur für AWS Nicht-Service-Principals. Dadurch wird sichergestellt, dass Ihre bedingten Einschränkungen für alle Prinzipale außer Principals gelten. AWS-Service 

### aws:SourceAccount
<a name="condition-keys-sourceaccount"></a>

Verwenden Sie diesen Schlüssel, um die Konto-ID der Ressource, die eine service-to-service Anfrage stellt, mit der Konto-ID zu vergleichen, die Sie in der Richtlinie angeben, aber nur, wenn die Anfrage von einem AWS Dienstprinzipal gestellt wird.
+ **Verfügbarkeit** — Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn der Aufruf Ihrer Ressource direkt von einem [AWS Service Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services) im Namen einer Ressource erfolgt, für die die Konfiguration die service-to-service Anfrage ausgelöst hat. Der aufrufende Service muss die Konto-ID der ursprünglichen Ressource an den aufgerufenen Service weitergeben.
**Anmerkung**  
Dieser Schlüssel bietet einen einheitlichen Mechanismus zur Durchsetzung der serviceübergreifenden Verwechslungsgefahr über alle AWS-Services hinweg. Allerdings erfordern nicht alle Serviceintegrationen die Verwendung dieses globalen Bedingungsschlüssels. Weitere Informationen zu servicespezifischen Mechanismen zur Minderung der dienstübergreifenden Risiken, die sich durch verwirrte Stellvertreter ergeben, finden AWS-Services Sie in der von Ihnen verwendeten Dokumentation.  
![\[aws: SourceAccount\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/sourceAccount.png)
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig

Durch die Nutzung dieses Bedingungsschlüssels können Sie sicherstellen, dass ein aufrufender Service nur dann Zugriff auf Ihre Ressource hat, wenn die Anfrage von einem bestimmten Konto stammt. Sie können beispielsweise die folgende Ressourcenkontrollrichtlinie (RCP) anhängen, um Anfragen von Service-Prinzipalen für Amazon-S3-Buckets abzulehnen, sofern diese nicht durch eine Ressource im angegebenen Konto ausgelöst wurden. Diese Richtlinie wendet die Steuerung nur auf Anfragen von Service-Prinzipalen (`"Bool": {"aws:PrincipalIsAWSService": "true"}`) an, bei denen der `aws:SourceAccount`-Schlüssel vorhanden ist (`"Null": {"aws:SourceAccount": "false"}`), sodass Serviceintegrationen, für die die Verwendung dieses Schlüssels nicht erforderlich ist, und Aufrufe Ihrer Prinzipale nicht betroffen sind. Wenn der Schlüssel `aws:SourceAccount` im Anfragekontext vorhanden ist, wird die `Null`-Bedingung als `true` ausgewertet, wodurch die Verwendung des Schlüssels `aws:SourceAccount` erzwungen wird.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "RCPEnforceConfusedDeputyProtection",
      "Effect": "Deny",
      "Principal": "*",
      "Action": [
        "s3:*"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEqualsIfExists": {
          "aws:SourceAccount": "111122223333"
        },
        "Null": {
          "aws:SourceAccount": "false"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    }
  ]
}
```

------

Verwenden Sie in ressourcenbasierten Richtlinien, bei denen der Principal ein AWS-Service Principal ist, den Schlüssel, um die dem Service gewährten Berechtigungen einzuschränken. Wenn beispielsweise ein Amazon-S3-Bucket so konfiguriert ist, dass Benachrichtigungen an ein Amazon-SNS-Thema gesendet werden, ruft der Amazon-S3-Service die `sns:Publish`-API-Operation für alle konfigurierten Ereignisse auf. Setzen Sie in der Themenrichtlinie, die den Vorgang `sns:Publish` erlaubt, den Wert des Bedingungsschlüssels auf die Konto-ID des Amazon-S3-Buckets.

### aws:SourceArn
<a name="condition-keys-sourcearn"></a>

Verwenden Sie diesen Schlüssel, um den [Amazon-Ressourcennamen (ARN)](reference_identifiers.md#identifiers-arns) der Ressource, die eine service-to-service Anfrage stellt, mit dem ARN zu vergleichen, den Sie in der Richtlinie angeben, aber nur, wenn die Anfrage von einem AWS Service Principal gestellt wird. Wenn der ARN der Quelle die Konto-ID enthält, ist es nicht erforderlich, `aws:SourceAccount` mit `aws:SourceArn` zu verwenden.

Dieser Schlüssel funktioniert nicht mit dem ARN des Auftraggebers, der die Anforderung stellt. Nutzen Sie stattdessen `aws:PrincipalArn`.
+ **Verfügbarkeit** — Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn der Aufruf Ihrer Ressource direkt von einem [AWS Service Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services) im Namen einer Ressource erfolgt, für die die Konfiguration die service-to-service Anfrage ausgelöst hat. Der aufrufende Service muss den ARN der ursprünglichen Ressource an den aufgerufenen Service übergeben.
**Anmerkung**  
Dieser Schlüssel bietet einen einheitlichen Mechanismus zur Durchsetzung der serviceübergreifenden Verwechslungsgefahr über alle AWS-Services hinweg. Allerdings erfordern nicht alle Serviceintegrationen die Verwendung dieses globalen Bedingungsschlüssels. Weitere Informationen zu servicespezifischen Mechanismen zur Minderung der dienstübergreifenden Risiken, die sich durch verwirrte Stellvertreter ergeben, finden AWS-Services Sie in der von Ihnen verwendeten Dokumentation.  
![\[aws: SourceArn\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/sourceArn.png)
+ **Datentyp** – ARN

  AWS empfiehlt, beim Vergleich [ARN-Operatoren](reference_policies_elements_condition_operators.md#Conditions_ARN) anstelle von [Zeichenkettenoperatoren](reference_policies_elements_condition_operators.md#Conditions_String) zu verwenden ARNs.
+ **Werttyp** - Einzelwertig

Durch die Nutzung dieses Bedingungsschlüssels können Sie sicherstellen, dass ein aufrufender Service nur dann Zugriff auf Ihre Ressource hat, wenn die Anfrage von einer bestimmten Ressource stammt. Wenn Sie eine ressourcenbasierte Richtlinie mit einem AWS-Service Prinzipal als Hauptbenutzer verwenden`Principal`, legen Sie den Wert dieses Bedingungsschlüssels auf den ARN der Ressource fest, auf die Sie den Zugriff einschränken möchten. Wenn beispielsweise ein Amazon-S3-Bucket so konfiguriert ist, dass Benachrichtigungen an ein Amazon-SNS-Thema gesendet werden, ruft der Amazon-S3-Service die `sns:Publish`-API-Operation für alle konfigurierten Ereignisse auf. Setzen Sie in der Themenrichtlinie, die den Vorgang `sns:Publish` erlaubt, den Wert des Bedingungsschlüssels auf den ARN des Amazon-S3-Buckets. Empfehlungen zur Verwendung dieses Bedingungsschlüssels in ressourcenbasierten Richtlinien finden Sie in der Dokumentation der von Ihnen verwendeten AWS-Services .

### aws:SourceOrgID
<a name="condition-keys-sourceorgid"></a>

Verwenden Sie diesen Schlüssel, um die [Organisations-ID](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_details.html) der Ressource, die eine service-to-service Anfrage stellt, mit der Organisations-ID zu vergleichen, die Sie in der Richtlinie angeben. Dies gilt jedoch nur, wenn die Anfrage von einem AWS Dienstprinzipal gestellt wird. Wenn Sie Konten in einer Organisation in AWS Organizations hinzufügen und entfernen, schließen Richtlinien, die den Schlüssel `aws:SourceOrgID` enthalten, automatisch die richtigen Konten ein und Sie müssen die Richtlinien nicht manuell aktualisieren.
+ **Verfügbarkeit** – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn der Anruf an Ihre Ressource direkt von einem [AWS -Service-Prinzipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services) im Namen einer Ressource erfolgt, die einem Konto gehört, das Mitglied einer Organisation ist. Der aufrufende Service übergibt den ARN der ursprünglichen Ressource an den aufgerufenen Service.
**Anmerkung**  
Dieser Schlüssel bietet einen einheitlichen Mechanismus zur Durchsetzung der serviceübergreifenden Verwechslungsgefahr über alle AWS-Services hinweg. Allerdings erfordern nicht alle Serviceintegrationen die Verwendung dieses globalen Bedingungsschlüssels. Weitere Informationen zu servicespezifischen Mechanismen zur Minderung der dienstübergreifenden Risiken für verwirrte Stellvertreter finden AWS-Services Sie in der von Ihnen verwendeten Dokumentation.  
![\[aws: ID SourceOrg\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/sourceOrgID.png)
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig

Durch die Nutzung dieses Bedingungsschlüssels können Sie sicherstellen, dass ein aufrufender Service nur dann Zugriff auf Ihre Ressource hat, wenn die Anfrage von einer bestimmten Organisation stammt. Sie können beispielsweise die folgende Resource Control Policy (RCP) anhängen, um Anfragen von Service Principals für Amazon S3 S3-Buckets abzulehnen, sofern sie nicht durch eine Ressource in der angegebenen Organisation ausgelöst wurden. AWS Diese Richtlinie wendet die Steuerung nur auf Anfragen von Service-Prinzipalen (`"Bool": {"aws:PrincipalIsAWSService": "true"}`) an, bei denen der Schlüssel `aws:SourceAccount` vorhanden ist (`"Null": {"aws:SourceAccount": "false"}`), sodass Service-Integrationen, für die die Verwendung des Schlüssels nicht erforderlich ist, und Aufrufe Ihrer Prinzipale nicht betroffen sind. Wenn der Schlüssel `aws:SourceAccount` im Anfragekontext vorhanden ist, wird die `Null`-Bedingung als `true` ausgewertet, wodurch die Verwendung des Schlüssels `aws:SourceOrgID` erzwungen wird. Wir verwenden `aws:SourceAccount` anstelle von `aws:SourceOrgID` im Bedingungsoperator `Null`, sodass die Kontrolle auch dann gilt, wenn die Anfrage von einem Konto stammt, das keiner Organisation angehört.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "RCPEnforceConfusedDeputyProtection",
      "Effect": "Deny",
      "Principal": "*",
      "Action": [
        "s3:*"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEqualsIfExists": {
          "aws:SourceOrgID": "o-xxxxxxxxxx"
        },
        "Null": {
          "aws:SourceAccount": "false"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
    }
  ]
}
```

------

### aws:SourceOrgPaths
<a name="condition-keys-sourceorgpaths"></a>

Verwenden Sie diesen Schlüssel, um den AWS Organizations Pfad der Ressource, die eine service-to-service Anfrage stellt, mit dem Organisationspfad zu vergleichen, den Sie in der Richtlinie angeben, aber nur, wenn die Anfrage von einem AWS Service Principal gestellt wird. Ein AWS Organizations Pfad ist eine Textdarstellung der Struktur einer AWS Organizations Entität. Weitere Informationen zu Pfaden und deren Verwendung finden Sie unter [Den AWS Organizations -Entitätspfad verstehen](access_policies_last-accessed-view-data-orgs.md#access_policies_last-accessed-viewing-orgs-entity-path).
+ **Verfügbarkeit** – Dieser Schlüssel ist nur dann im Anforderungskontext enthalten, wenn der Anruf an Ihre Ressource direkt von einem [AWS -Service-Prinzipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services) im Namen einer Ressource erfolgt, die einem Konto gehört, das Mitglied einer Organisation ist. Der aufrufende Service übergibt den Organisations-Pfad der ursprünglichen Ressource an den aufgerufenen Service.
**Anmerkung**  
Dieser Schlüssel bietet einen einheitlichen Mechanismus zur Durchsetzung der serviceübergreifenden Verwechslungsgefahr über alle AWS-Services hinweg. Allerdings erfordern nicht alle Serviceintegrationen die Verwendung dieses globalen Bedingungsschlüssels. Weitere Informationen zu servicespezifischen Mechanismen zur Minderung der dienstübergreifenden Risiken für verwirrte Stellvertreter finden AWS-Services Sie in der von Ihnen verwendeten Dokumentation.  
![\[aws: SourceOrgPaths\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/sourceOrgPaths.png)
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String) (Liste)
+ **Werttyp** - Mehrwertig

Verwenden Sie diesen Bedingungsschlüssel, um sicherzustellen, dass ein aufrufender Service nur dann auf Ihre Ressource zugreifen kann, wenn die Anfrage von einer bestimmten Organisationseinheit (OE) in AWS Organizations stammt.

Um Auswirkungen auf Service-Integrationen zu verhindern, die die Verwendung dieses Schlüssels nicht erfordern, verwenden Sie ähnlich wie bei `aws:SourceOrgID` den `Null`-Bedingungsoperator mit dem Bedingungsschlüssel `aws:SourceAccount`, sodass die Steuerung weiterhin gilt, wenn die Anforderung von einem Konto stammt, das nicht einer Organisation angehört.

```
{
      "Condition": {
        "ForAllValues:StringNotLikeIfExists": {
            "aws:SourceOrgPaths": "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/"
        },
        "Null": {
          "aws:SourceAccount": "false"
        },
        "Bool": {
          "aws:PrincipalIsAWSService": "true"
        }
      }
}
```

`aws:SourceOrgPaths` ist ein mehrwertiger Bedingungsschlüssel. Mehrwertige Bedingungsschlüssel können im Anforderungskontext mehrere Werte haben. Sie müssen die Set-Operatoren `ForAnyValue` oder `ForAllValues` zusammen mit [String-Bedingungsoperatoren](reference_policies_elements_condition_operators.md#Conditions_String) für diesen Schlüssel verwenden. Weitere Hinweise zu mehrwertigen Bedingungsschlüsseln finden Sie unter [Operatoren für mehrwertige Kontextschlüssel festlegen](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).

### aws:UserAgent
<a name="condition-keys-useragent"></a>

Verwenden Sie diesen Schlüssel, um die Client-Anwendung des Anforderers mit der Anwendung zu vergleichen, die Sie in der Richtlinie angeben.
+ **Verfügbarkeit** – Dieser Schlüssel ist immer im Anforderungskontext enthalten.
+ **Datentyp** – [Zeichenfolge](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Werttyp** - Einzelwertig

**Warnung**  
Dieser Schlüssel sollte mit Vorsicht verwendet werden. Da der Wert `aws:UserAgent` vom Aufrufer in einem HTTP-Header bereitgestellt wird, können nicht autorisierte Parteien modifizierte oder benutzerdefinierte Browser verwenden, um beliebige `aws:UserAgent`-Werte bereitzustellen. Daher `aws:UserAgent` sollte es nicht dazu verwendet werden, Unbefugte daran zu hindern, direkte AWS Anfragen zu stellen. Sie können es verwenden, um nur bestimmte Client-Anwendungen zuzulassen, und zwar erst nach dem Testen Ihrer Richtlinie.

### aws:IsMcpServiceAction
<a name="condition-keys-ismcpserviceaction"></a>

Verwenden Sie diesen Schlüssel, um zu überprüfen, ob es sich bei der autorisierten Aktion um eine MCP-Serviceaktion handelt. Dieser Schlüssel bezieht sich nicht auf Aktionen, die der MCP-Dienst für andere AWS Dienste ausführt.
+ **Verfügbarkeit** — Dieser Schlüssel ist im Anforderungskontext enthalten und nur dann auf True gesetzt, wenn der MCP-Dienst eine MCP-Dienstaktion autorisiert.
+ **Datentyp** – [boolesch](reference_policies_elements_condition_operators.md#Conditions_Boolean)
+ **Werttyp** - Einzelwertig

## Andere dienstübergreifende Bedingungsschlüssel
<a name="condition-keys-other"></a>

AWS STS [unterstützt [SAML-basierte Verbundbedingungsschlüssel und dienstübergreifende Bedingungsschlüssel](reference_policies_iam-condition-keys.md#condition-keys-saml) für den OIDC-Verbund.](reference_policies_iam-condition-keys.md#condition-keys-wif) Diese Schlüssel sind verfügbar, wenn ein Benutzer, der mithilfe von OIDC oder SAML verbunden war, Operationen in anderen Diensten ausführt. AWS