Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS STS Bedingungskontextschlüssel für IAM Identity Center
Wenn ein Principal eine Anfrage an stellt AWS, AWS sammelt er die Anforderungsinformationen in einem Anforderungskontext, der zur Auswertung und Autorisierung der Anfrage verwendet wird. Sie können das Condition-Element einer JSON-Richtlinie verwenden, um Schlüssel im Anforderungskontext mit Schlüsselwerten zu vergleichen, die Sie in Ihrer Richtlinie angeben. Die Anforderungsinformationen werden von verschiedenen Quellen bereitgestellt, darunter dem Principal, der die Anfrage stellt, der Ressource, der Anfrage, gegen die sie gestellt wurde, und den Metadaten zur Anfrage selbst. Dienstspezifische Bedingungsschlüssel werden für die Verwendung mit einem einzelnen AWS Dienst definiert.
IAM Identity Center umfasst einen AWS STS Kontextanbieter, der AWS es verwalteten Anwendungen und Drittanbieteranwendungen ermöglicht, Werte für Bedingungsschlüssel hinzuzufügen, die von IAM Identity Center definiert werden. Diese Schlüssel sind in IAM-Rollen enthalten. Die Schlüsselwerte werden festgelegt, wenn eine Anwendung ein Token an AWS STSübergibt. Die Anwendung erhält das Token, an das sie weitergibt, AWS STS auf eine der folgenden Arten:
Während der Authentifizierung mit IAM Identity Center.
Nach dem Token-Austausch mit einem vertrauenswürdigen Token-Emittenten zur Weitergabe vertrauenswürdiger Identitäten. In diesem Fall erhält die Anwendung ein Token von einem vertrauenswürdigen Token-Aussteller und tauscht dieses Token gegen ein Token von IAM Identity Center aus.
Diese Schlüssel werden in der Regel von Anwendungen verwendet, die in die Verbreitung vertrauenswürdiger Identitäten integriert sind. In einigen Fällen können Sie, wenn Schlüsselwerte vorhanden sind, diese Schlüssel in IAM-Richtlinien verwenden, die Sie erstellen, um Berechtigungen zuzulassen oder zu verweigern.
Beispielsweise möchten Sie möglicherweise bedingten Zugriff auf eine Ressource gewähren, die auf dem Wert von basiert. UserId Dieser Wert gibt an, welcher IAM Identity Center-Benutzer die Rolle verwendet. Das Beispiel ähnelt der Verwendung SourceId von. Im SourceId Gegensatz dazu UserId steht der Wert für jedoch für einen bestimmten, verifizierten Benutzer aus dem Identitätsspeicher. Dieser Wert ist in dem Token enthalten, das die Anwendung erhält und an das sie dann AWS STS weiterleitet. Es handelt sich nicht um eine Allzweckzeichenfolge, die beliebige Werte enthalten kann.
Themen
Identitätsspeicher: UserId
Dieser Kontextschlüssel ist der UserId des IAM Identity Center-Benutzers, der Gegenstand der von IAM Identity Center ausgegebenen Kontext-Assertion ist. Die Kontext-Assertion wird an übergeben. AWS STS Sie können diesen Schlüssel verwenden, um den Namen UserId des IAM Identity Center-Benutzers, in dessen Namen die Anfrage gestellt wird, mit der ID für den Benutzer zu vergleichen, den Sie in der Richtlinie angeben.
-
Verfügbarkeit — Dieser Schlüssel wird in den Anforderungskontext aufgenommen, nachdem eine vom IAM Identity Center ausgegebene Kontext-Assertion festgelegt wurde, wenn eine Rolle mit einem beliebigen AWS STS
assume-roleBefehl in der Operation AWS CLI oder AWS STSAssumeRoleder API übernommen wird. -
Datentyp — Zeichenfolge
-
Werttyp - Einzelwertig
Identitätsspeicher: IdentityStoreArn
Dieser Kontextschlüssel ist der ARN des Identitätsspeichers, der an die Instanz von IAM Identity Center angehängt ist, die die Kontext-Assertion ausgegeben hat. Es ist auch der Identitätsspeicher, in dem Sie nach Attributen suchen können. identitystore:UserID Sie können diesen Schlüssel in Richtlinien verwenden, um festzustellen, ob er von einem erwarteten Identitätsspeicher-ARN identitystore:UserID stammt.
-
Verfügbarkeit — Dieser Schlüssel wird in den Anforderungskontext aufgenommen, nachdem eine vom IAM Identity Center ausgegebene Kontext-Assertion festgelegt wurde, wenn eine Rolle mit einem beliebigen AWS STS
assume-roleBefehl in der AWS CLI oder AWS STSAssumeRoleAPI-Operation übernommen wird. -
Werttyp - Einzelwertig
Identitätszentrum: ApplicationArn
Dieser Kontextschlüssel ist der ARN der Anwendung, für die IAM Identity Center eine Kontext-Assertion ausgegeben hat. Sie können diesen Schlüssel in Richtlinien verwenden, um festzustellen, ob er von einer erwarteten Anwendung identitycenter:ApplicationArn stammt. Mithilfe dieses Schlüssels kann verhindert werden, dass eine unerwartete Anwendung auf eine IAM-Rolle zugreift.
Identitätszentrum: CredentialId
Dieser Kontextschlüssel ist eine zufällige ID für die Anmeldeinformationen der Rolle mit erweiterter Identität und wird nur für die Protokollierung verwendet. Da dieser Schlüsselwert nicht vorhersehbar ist, empfehlen wir, ihn nicht für Kontext-Assertionen in Richtlinien zu verwenden.
-
Verfügbarkeit — Dieser Schlüssel ist im Anforderungskontext eines AWS STS
AssumeRoleAPI-Vorgangs enthalten. Der Anforderungskontext umfasst eine vom IAM Identity Center ausgegebene Kontext-Assertion. -
Datentyp — Zeichenfolge
-
Werttyp - Einzelwertig
Identitätszentrum: InstanceArn
Dieser Kontextschlüssel ist der ARN der Instanz von IAM Identity Center, die die Kontext-Assertion für ausgegeben hat. identitystore:UserID Sie können diesen Schlüssel verwenden, um festzustellen, ob die identitystore:UserID und kontextbezogene Assertion von einem erwarteten ARN der IAM Identity Center-Instanz stammt.
