IAM-Richtlinienelemente: Variablen und Tags - AWS Identitäts- und Zugriffsverwaltung
EinführungVerwenden von Variablen in RichtlinienTags als RichtlinienvariablenWo Richtlinienvariablen verwendet werden könnenRichtlinienvariablen ohne WertAnforderungsinformationen, die Sie für Richtlinienvariablen verwenden könnenFestlegen von StandardwertenWeitere Informationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Richtlinienelemente: Variablen und Tags

Verwenden Sie AWS Identity and Access Management (IAM) -Richtlinienvariablen als Platzhalter, wenn Sie beim Schreiben der Richtlinie den genauen Wert einer Ressource oder eines Bedingungsschlüssels nicht kennen.

Anmerkung

Wenn eine Variable AWS nicht aufgelöst werden kann, kann dies dazu führen, dass die gesamte Anweisung ungültig ist. Wenn Sie beispielsweise die Variable verwenden, wird die aws:TokenIssueTime Variable nur dann in einen Wert aufgelöst, wenn sich der Anforderer mit temporären Anmeldeinformationen (einer IAM Rolle) authentifiziert hat. Um zu verhindern, dass Variablen zu ungültigen Anweisungen führen, verwenden Sie... IfExists Bedingungsoperator.

Einführung

In IAM Richtlinien können Sie bei vielen Aktionen einen Namen für die spezifischen Ressourcen angeben, auf die Sie den Zugriff kontrollieren möchten. Die folgende Richtlinie erlaubt Benutzern beispielsweise das Auflisten, Lesen und Schreiben von Objekten im S3-Bucket amzn-s3-demo-bucket für marketing-Projekte.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],      
      "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket"],
      "Condition": {"StringLike": {"s3:prefix": ["marketing/*"]}}
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],      
      "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/marketing/*"]
    }
  ]
}

In manchen Fällen kennen Sie vielleicht den genauen Namen der Ressource nicht, wenn Sie die Richtlinie schreiben. Sie können die Richtlinie so verallgemeinern, dass sie für viele Benutzer funktioniert, ohne dass eine eindeutige Kopie der Richtlinie für jeden Benutzer erstellt werden muss. Anstatt für jeden Benutzer eine eigene Richtlinie zu erstellen, empfehlen wir Ihnen, eine einzelne Gruppenrichtlinie zu erstellen, die für jeden Benutzer in dieser Gruppe funktioniert.

Verwenden von Variablen in Richtlinien

Sie können dynamische Werte innerhalb von Richtlinien definieren, indem Sie Richtlinienvariablen verwenden, die Platzhalter in einer Richtlinie festlegen.

Variablen werden mit einem $-Präfix gefolgt von einem Paar geschweifter Klammern ({ }) markiert, die den Variablennamen des Werts aus der Anfrage enthalten.

Wenn die Richtlinie ausgewertet wird, werden die Richtlinienvariablen mit Werten aus den bedingten Kontextschlüsseln ersetzt, die in der Anforderung übermittelt wurden. Variablen können in identitätsbasierten Richtlinien, Ressourcenrichtlinien, Dienststeuerungsrichtlinien, Sitzungsrichtlinien und VPCEndpunktrichtlinien verwendet werden. Identitätsbasierte Richtlinien, die als Berechtigungsgrenzen verwendet werden, unterstützen auch Richtlinienvariablen.

Globale Bedingungskontextschlüssel können als Variablen in Anfragen für verschiedene AWS Dienste verwendet werden. Servicespezifische Bedingungsschlüssel können bei der Interaktion mit AWS -Ressourcen auch als Variablen verwendet werden, sind jedoch nur verfügbar, wenn Anfragen an Ressourcen gestellt werden, die sie unterstützen. Eine Liste der für jeden AWS Dienst und jede Ressource verfügbaren Kontextschlüssel finden Sie in der Service Authorization Reference. Unter bestimmten Umständen können Sie globale Bedingungskontextschlüssel nicht mit einem Wert füllen. Weitere Informationen zu den einzelnen Schlüsseln finden Sie unter AWS Globale Bedingungskontextschlüssel.

Wichtig

  • Bei Schlüsselnamen wird nicht zwischen Groß- und Kleinschreibung unterschieden. Beispiel: aws:CurrentTime ist gleichbedeutend mit AWS:currenttime.

  • Sie können jeden einwertigen Bedingungsschlüssel als Variable verwenden. Sie können einen mehrwertigen Bedingungsschlüssel nicht als Variable verwenden.

Das folgende Beispiel zeigt eine Richtlinie für eine IAM Rolle oder einen Benutzer, die einen bestimmten Ressourcennamen durch eine Richtlinienvariable ersetzt. Sie können diese Richtlinie wiederverwenden, indem Sie den aws:PrincipalTag-Bedingungsschlüssel nutzen. Bei der Auswertung dieser Richtlinie lässt ${aws:PrincipalTag/team} die Aktionen nur zu, wenn der Bucket-Name mit einem Teamnamen aus dem team-Prinzipal-Tag endet.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],      
      "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket"],
      "Condition": {"StringLike": {"s3:prefix": ["${aws:PrincipalTag/team}/*"]}}
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],      
      "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/${aws:PrincipalTag/team}/*"]
    }
  ]
}

Die Variable wird mithilfe des Präfix $, gefolgt von einem Paar geschweifter Klammern ({ }), gekennzeichnet. Innerhalb der ${ }-Zeichen können Sie den Namen des Wertes aus der Anforderung einfügen, den Sie in der Richtlinie verwenden möchten. Die Werte, die Sie verwenden können, werden weiter unten auf dieser Seite besprochen.

Einzelheiten zu diesem globalen Bedingungsschlüssel finden Sie unter PrincipalTagaws/tag-key in der Liste der globalen Bedingungsschlüssel.

Anmerkung

Zur Verwendung der Richtlinienvariablen müssen Sie das Version-Element in eine Anweisung einfügen und die Version muss auf eine Version gesetzt werden, die Richtlinienvariablen unterstützt. Variablen wurden in Version 2012-10-17 eingeführt. Frühere Versionen der Richtliniensprache unterstützen Richtlinienvariablen nicht. Wenn Sie das Version-Element nicht einfügen und nicht auf ein geeignetes Versionsdatum festlegen, werden Variablen wie ${aws:username} als tatsächliche Zeichenfolgen in der Richtlinie behandelt.

Das Richtlinienelement Version unterscheidet sich von einer Richtlinienversion. Das Richtlinienelement Version wird innerhalb einer Richtlinie verwendet und gibt die Version der Richtliniensprache an. Eine Richtlinienversion wird dagegen erstellt, wenn Sie eine vom Kunden verwaltete Richtlinie in ändernIAM. Die vorhandene Richtlinie wird von der geänderten Richtlinie nicht überschrieben. IAMErstellt stattdessen eine neue Version der verwalteten Richtlinie. Weitere Informationen zum Richtlinienelement Version finden Sie unter IAMJSONpolitische Elemente: Version. Weitere Informationen zu den Richtlinienversionen finden Sie unter Richtlinien zur Versionierung IAM.

Eine Richtlinie, die es einem Prinzipal ermöglicht, Objekte aus dem /David-Pfad eines S3-Buckets abzurufen, sieht wie folgt aus:

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": ["s3:GetObject"],    
    "Resource": ["arn:aws:s3::amzn-s3-demo-bucket/David/*"]
  }]
}

Wenn diese Richtlinie dem Benutzer David zugewiesen ist, erhält dieser Benutzer Objekte aus seinem eigenen S3-Bucket. Sie müssten jedoch für jeden Benutzer eine eigene Richtlinie erstellen, die den Namen des Benutzers enthält. Anschließend müssten Sie die einzelnen Richtlinien an die jeweiligen Benutzer anfügen.

Durch die Verwendung einer Richtlinienvariablen können Sie Richtlinien erstellen, die wiederverwendet werden können. Mit der folgenden Richtlinie kann ein Benutzer Objekte aus einem Amazon-S3-Bucket abrufen, wenn der Tag-Schlüsselwert für aws:PrincipalTag mit dem in der Anfrage übergebenen Tag-Schlüssel-Wert owner übereinstimmt. 

{
  "Version": "2012-10-17",
  "Statement": [{
    "Sid": "AllowUnlessOwnedBySomeoneElse",
    "Effect": "Allow",
    "Action": ["s3:GetObject"],    
    "Resource": ["*"],
    "Condition": {
        "StringEquals": {
          "s3:ExistingObjectTag/owner": "${aws:PrincipalTag/owner}"
        }
      }
    }
  ]
}

Wenn Sie eine Richtlinienvariable anstelle eines solchen Benutzers verwenden, müssen Sie nicht für jeden einzelnen Benutzer eine eigene Richtlinie erstellen. Im folgenden Beispiel ist die Richtlinie einer IAM Rolle zugeordnet, die von Produktmanagern mithilfe temporärer Sicherheitsanmeldedaten übernommen wird. Wenn ein Benutzer eine Anfrage zum Hinzufügen eines Amazon S3 S3-Objekts stellt, IAM ersetzt er die ${aws:PrincipalTag} Variable durch den dept Tag-Wert aus der aktuellen Anfrage und bewertet die Richtlinie. 

{
  "Version": "2012-10-17",
  "Statement": [{
    "Sid": "AllowOnlyDeptS3Prefix",
    "Effect": "Allow",
    "Action": ["s3:GetObject"],    
    "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/${aws:PrincipalTag/dept}/*"],    
    }
  ]
}

Tags als Richtlinienvariablen

In einigen AWS Services können Sie Ihre eigenen benutzerdefinierten Attribute an Ressourcen anhängen, die von diesen Services erstellt wurden. Sie können beispielsweise Tags auf Amazon S3 S3-Buckets oder auf IAM Benutzer anwenden. Diese Tags sind Schlüssel-Wert-Paare. Sie definieren den Tag-Schlüsselnamen und den Wert, der diesem Schlüsselnamen zugeordnet ist. Beispielsweise können Sie ein Tag mit einem department-Schlüssel und einem Human Resources-Wert erstellen. Weitere Informationen zum Markieren von IAM Entitäten finden Sie unter. Tags für AWS Identity and Access Management Ressourcen Informationen über das Markieren von Ressourcen, die von anderen AWS -Services erstellt wurden, finden Sie in der Dokumentation des jeweiligen Services. Informationen zur Verwendung des Tag-Editors finden Sie unter Arbeiten mit dem Tag-Editor im AWS Management Console -Leitfaden.

Sie können IAM Ressourcen taggen, um das Auffinden, Organisieren und Nachverfolgen Ihrer IAM Ressourcen zu vereinfachen. Sie können IAM Identitäten auch taggen, um den Zugriff auf Ressourcen oder das Tagging selbst zu kontrollieren. Weitere Informationen über die Verwendung von Tags zur Zugriffskontrolle finden Sie unter Steuerung des Zugriffs auf und für IAM-Benutzer und IAM-Rollen mithilfe von Tags.

Wo Richtlinienvariablen verwendet werden können

Sie können Richtlinienvariablen im Resource-Element und in Zeichenfolgenvergleichen im Condition-Element verwenden.

Ressourcen-Element

Sie können eine Richtlinienvariable im Resource Element verwenden, jedoch nur im Ressourcenteil von. ARN Dieser Teil von ARN erscheint nach dem fünften Doppelpunkt (:). Sie können eine Variable nicht verwenden, um Teile des Doppelpunkts ARN vor dem fünften Doppelpunkt zu ersetzen, z. B. den Dienst oder das Konto. Weitere Informationen zum ARN Format finden Sie unterIAM ARNs.

Um einen Teil von an durch einen ARN Tagwert zu ersetzen, setzen Sie das Präfix und den Schlüsselnamen mit ein${ }. Das folgende Resource-Element bezieht sich beispielsweise nur auf einen Bucket, dessen Name mit dem Wert im Abteilungs-Tag des anfordernden Benutzers übereinstimmt.

"Resource": ["arn:aws::s3:::amzn-s3-demo-bucket/${aws:PrincipalTag/department}"]

Viele AWS Ressourcen verwenden ARNs diese, die einen vom Benutzer erstellten Namen enthalten. Die folgende IAM Richtlinie stellt sicher, dass nur vorgesehene Benutzer mit übereinstimmenden Tagwerten für Access-Project, Access-Application und Access-Environment ihre Ressourcen ändern können. Darüber hinaus können sie durch die Verwendung von *-Platzhalterübereinstimmungen benutzerdefinierte Suffixe für Ressourcennamen zulassen. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAccessBasedOnArnMatching",
      "Effect": "Allow",
      "Action": [
        "sns:CreateTopic",
        "sns:DeleteTopic"],      
      "Resource": ["arn:aws:sns:*:*:${aws:PrincipalTag/access-project}-${aws:PrincipalTag/access-application}-${aws:PrincipalTag/access-environment}-*"
      ]
    }
  ]
}

Condition-Element

Sie können eine Richtlinienvariable für Condition Werte in jeder Bedingung verwenden, die die Zeichenfolgenoperatoren oder die Operatoren beinhaltet. ARN String-Operatoren beinhalten StringEquals, StringLike und StringNotLike. ARNZu den Operatoren gehören ArnEquals undArnLike. Sie können eine Richtlinienvariable nicht mit anderen Operatoren wie Numeric, Date, Boolean, Binary, IP Address oder Null verwenden. Weitere Hinweise zu Bedingungsoperatoren finden Sie unter IAMJSONpolitische Elemente: Bedingungsoperatoren.

Beim Referenzieren eines Tags in einem Condition-Elementausdruck verwenden Sie das entsprechende Präfix und den Schlüsselnamen als Bedingungsschlüssel. Verwenden Sie dann den Wert, den Sie testen möchten, im Bedingungswert.

Das folgende Richtlinienbeispiel ermöglicht Benutzern beispielsweise vollständigen Zugriff, jedoch nur, wenn dem Benutzer das Tag costCenter zugeordnet ist. Das Tag muss auch einen Wert von entweder 12345 oder 67890 haben. Wenn das Tag keinen Wert oder einen anderen Wert hat, schlägt die Anforderung fehl.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "iam:*user*"
       ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "iam:ResourceTag/costCenter": [ "12345", "67890" ]
        }
      }
    }
  ]
}

Richtlinienvariablen ohne Wert

Wenn Richtlinienvariablen auf einen Bedingungskontextschlüssel verweisen, der keinen Wert hat oder in einem Autorisierungskontext für eine Anforderung nicht vorhanden ist, ist der Wert effektiv Null. Es gibt keinen gleichen oder ähnlichen Wert. Bedingungskontextschlüssel sind im Autorisierungskontext möglicherweise nicht vorhanden, wenn:

  • Sie servicespezifische Bedingungskontextschlüssel in Anfragen an Ressourcen verwenden, die diesen Bedingungsschlüssel nicht unterstützen.

  • Tags für IAM Prinzipale, Sitzungen, Ressourcen oder Anfragen sind nicht vorhanden.

  • Andere Umstände, wie sie für jeden globalen Bedingungskontextschlüssel in AWS Kontextschlüssel für globale Bedingungen aufgeführt sind.

Wenn Sie eine Variable ohne Wert im Bedingungselement einer IAM Richtlinie verwenden, IAMJSONpolitische Elemente: Bedingungsoperatoren z. B. „Gefällt mir“ StringEquals oder „Nicht StringLike zutreffend“, und die Richtlinienanweisung wird nicht wirksam.

Invertierte Bedingungsoperatoren wie StringNotEquals oder StringNotLike entsprechen einem Nullwert oder stimmen mit ihm überein, da der Wert des Bedingungsschlüssels, anhand dessen sie testen, nicht dem tatsächlichen Nullwert entspricht oder diesem entspricht.

Im folgenden Beispiel muss aws:principaltag/Team gleich s3:ExistingObjectTag/Team sein, um den Zugriff zu gewähren. Der Zugriff wird ausdrücklich verweigert, wenn aws:principaltag/Team nicht festgelegt ist. Wenn eine Variable, die im Autorisierungskontext keinen Wert hat, als Teil des Resource- oder NotResource-Elements einer Richtlinie verwendet wird, entspricht die Ressource, die eine Richtlinienvariable ohne Wert enthält, keiner Ressource.

{
  "Version": "2012-10-17",
  "Statement": [
   {
    "Effect": "Deny", 
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
    "Condition": {
      "StringNotEquals": {
        "s3:ExistingObjectTag/Team": "${aws:PrincipalTag/Team}"
       }
      }
    }
  ]
}

Anforderungsinformationen, die Sie für Richtlinienvariablen verwenden können

Sie können das Condition Element einer JSON Richtlinie verwenden, um Schlüssel im Anforderungskontext mit Schlüsselwerten zu vergleichen, die Sie in Ihrer Richtlinie angeben. Wenn Sie eine Richtlinienvariable verwenden, wird die Variable in Ihrer Richtlinie durch einen Wert aus dem Anforderungskontextschlüssel AWS ersetzt.

Auftraggeber-Schlüsselwerte

Die Werte für aws:username, aws:userid und aws:PrincipalType hängen davon ab, welche Art von Auftraggeber die Anforderung ausgelöst hat. Die Anfrage könnte beispielsweise unter Verwendung der Anmeldeinformationen eines IAM Benutzers, einer IAM Rolle oder des Root-Benutzer des AWS-Kontos gestellt werden. In der folgenden Tabelle sind die Werte für diese Schlüssel für verschiedene Auftraggebertypen .

Auftraggeber aws:username aws:userid aws:PrincipalType
Root-Benutzer des AWS-Kontos (Nicht vorhanden) AWS-Konto ID Account
IAMNutzer IAM-user-name Eindeutige ID User
Verbundbenutzer (Nicht vorhanden) account:caller-specified-name FederatedUser
OIDCverbundener Benutzer

Informationen über Richtlinienschlüssel, die verfügbar sind, wenn Sie den Web-Identitätsverbund verwenden, finden Sie unter Verfügbare Schlüssel für den AWS OIDC Verbund.

(Nicht vorhanden)

role-id:caller-specified-role-name

wobei role-id sich die eindeutige ID der Rolle caller-specified-role-name befindet und die durch den an die AssumeRoleWithWebIdentity Anfrage übergebenen RoleSessionName Parameter angegeben wird.

 AssumedRole
SAMLverbundener Benutzer

Informationen zu Richtlinienschlüsseln, die verfügbar sind, wenn Sie den SAML Verbund verwenden, finden Sie unterEindeutige Identifizierung von Benutzern in einem SAML basierten Verbund.

(Nicht vorhanden)

role-id:caller-specified-role-name

Dabei role-id handelt es sich um die eindeutige ID der Rolle, und die caller-specified-role-name wird durch das Attribute-Element angegeben, wobei das Name-Attribut auf https://aws.amazon.com/SAML/ RoleSessionName attributes/ gesetzt ist.

 AssumedRole
Angenommene Rolle (Nicht vorhanden)

role-id:caller-specified-role-name

wobei die eindeutige ID der Rolle role-id steht und die durch den an die Anfrage übergebenen RoleSessionName Parameter angegeben caller-specified-role-name wird. AssumeRole

AssumedRole
Einer EC2 Amazon-Instance zugewiesene Rolle (Nicht vorhanden)

role-id:ec2-instance-id

wobei role-id die eindeutige ID der Rolle und die ec2-Instance-ID die eindeutige Kennung der Instance ist. EC2

 AssumedRole
Anonymer Anrufer (nur Amazon SQSSNS, Amazon und Amazon S3) (Nicht vorhanden) anonymous Anonymous

Beachten Sie für die Elemente in dieser Tabelle Folgendes:

  • Nicht vorhanden bedeutet, dass der Wert nicht in den aktuellen Anforderungsinformationen vorhanden ist und jeder Versuch, ihn zuzuordnen, fehlschlägt und dafür sorgt, dass die Anforderung abgelehnt wird.

  • role-id ist eine eindeutige Kennung, die jeder Rolle bei der Erstellung zugewiesen wurde. Sie können die Rollen-ID mit dem AWS CLI folgenden Befehl anzeigen: aws iam get-role --role-name rolename

  • caller-specified-name and caller-specified-role-name sind Namen, die vom aufrufenden Prozess (z. B. einer Anwendung oder einem Dienst) beim Abrufen temporärer Anmeldeinformationen übergeben werden.

  • ec2-instance-id ist ein Wert, der der Instance beim Start zugewiesen wurde und auf der Instance-Seite der EC2 Amazon-Konsole angezeigt wird. Sie können die Instance-ID auch anzeigen, indem Sie den AWS CLI folgenden Befehl ausführen: aws ec2 describe-instances

In Anforderungen für Verbundbenutzer verfügbare Informationen

Verbundbenutzer sind Benutzer, die mit einem anderen System als authentifiziert wurden. IAM Beispielsweise kann ein Unternehmen über eine interne Anwendung verfügen, über die Anrufe getätigt werden. AWS Es könnte unpraktisch sein, jedem Unternehmensbenutzer, der die Anwendung verwendet, eine IAM Identität zuzuweisen. Stattdessen verwendet das Unternehmen möglicherweise eine Proxy-Anwendung (mittlere Ebene) mit einer einzigen IAM Identität, oder das Unternehmen verwendet möglicherweise einen SAML Identitätsanbieter (IdP). Die Proxy-Anwendung oder der SAML IdP authentifiziert einzelne Benutzer, die das Unternehmensnetzwerk verwenden. Eine Proxyanwendung kann dann ihre IAM Identität verwenden, um temporäre Sicherheitsanmeldeinformationen für einzelne Benutzer abzurufen. Ein SAML IdP kann tatsächlich Identitätsinformationen gegen AWS temporäre Sicherheitsanmeldedaten austauschen. Die temporären Anmeldeinformationen können dann für den Zugriff auf AWS Ressourcen verwendet werden.

Ebenso können Sie eine Anwendung für ein mobiles Gerät erstellen, in dem die Anwendung auf AWS -Ressourcen zugreifen muss. In diesem Fall können Sie den OIDCVerbund verwenden, bei dem die App den Benutzer mithilfe eines bekannten Identitätsanbieters wie Login with Amazon, Amazon Cognito, Facebook oder Google authentifiziert. Die Anwendung kann dann die Authentifizierungsinformationen des Benutzers von diesen Anbietern verwenden, um temporäre Sicherheitsanmeldeinformationen für den Zugriff auf AWS -Ressourcen abzurufen.

Es wird empfohlen, den OIDC Verbund zu verwenden, indem Sie die Vorteile von Amazon Cognito und dem AWS Mobilgerät SDKs nutzen. Weitere Informationen finden Sie hier:

Sonderzeichen

Es gibt einige spezielle vordefinierte Richtlinienvariablen, die feste Werte haben. Diese bieten Ihnen die Möglichkeit, Zeichen darzustellen, die sonst eine besondere Bedeutung haben. Wenn diese Sonderzeichen Teil der Zeichenfolge sind, die Sie versuchen zusammenzubringen, und Sie sie einfach einfügen, würden sie fehlinterpretiert werden. Beispielsweise würde das Einfügen eines Sternchens (*) in die Zeichenfolge als Platzhalter interpretiert werden, der für andere Zeichen steht, und nicht tatsächlich als *. In solchen Fällen können Sie die folgenden vordefinierten Richtlinienvariablen verwenden:

  • ${*} – zu verwenden, wenn Sie ein * (Sternchen) benötigen

  • ${?} – zu verwenden, wenn Sie ein ? (Fragezeichen) benötigen

  • ${$} – zu verwenden, wenn Sie ein $ (Dollarzeichen) benötigen

Diese vordefinierten Richtlinienvariablen können in einer beliebigen Zeichenfolge verwendet werden, in der Sie reguläre Richtlinien nutzen können.

Festlegen von Standardwerten

Um einer Variablen einen Standardwert hinzuzufügen, umgeben Sie den Standardwert mit einfachen Anführungszeichen (' '), und trennen Sie den Variablentext und den Standardwert durch Komma und Leerzeichen (, ) enthalten.

Zum Beispiel, wenn ein Prinzipal mit team=yellow gekennzeichnet ist, können sie auf ExampleCorp's-Amazon-S3-Bucket namens amzn-s3-demo-bucket-yellow zugreifen. Eine Richtlinie mit dieser Ressource ermöglicht es Teammitgliedern, auf ihren Team-Bucket zuzugreifen, nicht jedoch auf die anderer Teams. Für Benutzer ohne Team-Tags wird der Standardwert von company-wide für den Bucket-Namen eingestellt. Diese Benutzer können nur auf amzn-s3-demo-bucket-company-wideBucket zugreifen, wo umfassende Informationen anzeigt werden können, z. B. Anweisungen für den Beitritt zu einem Team.

"Resource":"arn:aws:s3:::amzn-s3-demo-bucket-${aws:PrincipalTag/team, 'company-wide'}"

Weitere Informationen

Weitere Informationen zu Richtlinien finden Sie in den folgenden Themen: