Claves de contexto de condición AWS STS para el Centro de identidades de IAM

Cuando una entidad principal hace una solicitud a AWS, AWS recopila la información de la solicitud en un contexto de solicitud, que se usa para evaluar y autorizar la solicitud. Puede utilizar el elemento Condition de una política JSON para comparar las claves de la solicitud de contexto con los valores de claves que especifique en su política. La información de la solicitud proviene de diferentes orígenes, que abarcan la entidad principal que realiza la solicitud, el recurso con el que se realiza la solicitud y los metadatos sobre la solicitud en sí. Las claves de condición específicas del servicio se definen para su uso exclusivo con un servicio específico de AWS.

El Centro de identidades de IAM incluye un proveedor de contexto de AWS STS que permite a las aplicaciones administradas de AWS y a las aplicaciones de terceros agregar valores a las claves de condición definidas por el Centro de identidades de IAM. Estas claves se incluyen en los roles de IAM. Los valores clave se establecen cuando una aplicación pasa un token a AWS STS. La aplicación obtiene el token que pasa a AWS STS de cualquiera de las siguientes maneras:

Estas claves suelen ser utilizadas por aplicaciones que se integran con la propagación de identidades de confianza. En algunos casos, cuando hay valores clave, puede utilizarlas en las políticas de IAM que cree para permitir o denegar permisos.

Por ejemplo, es posible que desee proporcionar acceso condicional a un recurso en función del valor de UserId. Este valor indica qué usuario del Centro de identidades de IAM utiliza el rol. El ejemplo es similar al uso de SourceId. Sin embargo, a diferencia de SourceId, el valor de UserId representa un usuario específico y verificado del almacén de identidades. Este valor está presente en el token que la aplicación obtiene y luego pasa a AWS STS. No es una cadena de uso general que pueda contener valores arbitrarios.

identitystore:UserId

Esta clave de contexto es UserId del usuario del Centro de identidades de IAM, que es el sujeto de la afirmación de contexto emitida por el Centro de identidades de IAM. La afirmación de contexto se pasa a AWS STS. Puede utilizar esta clave para comparar el UserId del usuario del Centro de identidades de IAM en nombre del que se realiza la solicitud con el identificador del usuario que se especifique en la política.

identitystore:IdentityStoreArn

Esta clave de contexto es el ARN del almacén de identidades que está adjunto a la instancia del Centro de identidades de IAM que emitió la afirmación de contexto. También es el almacén de identidades en el que puede buscar los atributos para identitystore:UserID. Puede usar esta clave en las políticas para determinar si identitystore:UserID proviene de un ARN de almacén de identidades esperado.

identitycenter:ApplicationArn

Esta clave de contexto es el ARN de la aplicación para la que el Centro de identidades de IAM emitió una afirmación de contexto. Puede usar esta clave en las políticas para determinar si identitycenter:ApplicationArn proviene de una aplicación esperada. El uso de esta clave puede ayudar a evitar que una aplicación inesperada acceda a un rol de IAM.

identitycenter:CredentialId

Esta clave de contexto es un identificador aleatorio para la credencial de rol con identidad mejorada y se utiliza únicamente para el registro. Como este valor clave es impredecible, le recomendamos que no lo utilice para afirmaciones de contexto en políticas.

identitycenter:InstanceArn

Esta clave de contexto es el ARN de la instancia de Centro de identidades de IAM que emitió la afirmación de contexto para identitystore:UserID. Puede utilizar esta clave para determinar si identitystore:UserID y la afirmación de contexto provienen de un ARN de instancia de Centro de identidades de IAM esperado.