Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS STS clés contextuelles de condition pour IAM Identity Center
Lorsqu'un principal fait une demande à AWS, AWS rassemble les informations de la demande dans un contexte de demande, qui est utilisé pour évaluer et autoriser la demande. Vous pouvez utiliser l'Conditionélément d'une JSON politique pour comparer les clés dans le contexte de la demande avec les valeurs clés que vous spécifiez dans votre stratégie. Les informations relatives à la demande sont fournies par différentes sources, notamment le principal auteur de la demande, la ressource, la demande pour laquelle elle est faite et les métadonnées relatives à la demande elle-même. Les clés de condition spécifiques au service sont définies pour être utilisées avec un service individuel AWS .
IAMIdentity Center inclut un fournisseur de AWS STS contexte qui permet aux applications AWS gérées et aux applications tierces d'ajouter des valeurs pour les clés de condition définies par IAM Identity Center. Ces clés sont incluses dans IAMles rôles. Les valeurs clés sont définies lorsqu'une application transmet un jeton à AWS STS. L'application obtient le jeton auquel elle passe de AWS STS l'une des manières suivantes :
Lors de l'authentification auprès IAM d'Identity Center.
Après échange de jetons avec un émetteur de jetons de confiance pour une propagation d'identité fiable. Dans ce cas, l'application obtient un jeton auprès d'un émetteur de jetons de confiance et échange ce jeton contre un jeton auprès d'IAMIdentity Center.
Ces clés sont généralement utilisées par les applications qui s'intègrent à la propagation d'identité sécurisée. Dans certains cas, lorsque des valeurs clés sont présentes, vous pouvez utiliser ces clés dans IAM les politiques que vous créez pour autoriser ou refuser des autorisations.
Par exemple, vous souhaiterez peut-être fournir un accès conditionnel à une ressource en fonction de la valeur deUserId. Cette valeur indique quel utilisateur IAM d'Identity Center utilise le rôle. L'exemple est similaire à l'utilisation deSourceId. Contrairement à SourceId ce qui se passe, la valeur pour UserId représente un utilisateur spécifique vérifié dans le magasin d'identités. Cette valeur est présente dans le jeton que l'application obtient puis transmet. AWS STS Il ne s'agit pas d'une chaîne à usage général qui peut contenir des valeurs arbitraires.
Rubriques
boutique d'identité : UserId
Cette clé de contexte est celle UserId de l'utilisateur IAM d'Identity Center qui fait l'objet de l'assertion de contexte émise par IAM Identity Center. L'assertion de contexte est transmise à AWS STS. Vous pouvez utiliser cette clé pour comparer l'identifiant UserId de l'utilisateur IAM Identity Center au nom duquel la demande est faite avec l'identifiant de l'utilisateur que vous spécifiez dans la politique.
-
Disponibilité — Cette clé est incluse dans le contexte de la demande après la définition d'une assertion de contexte émise par IAM Identity Center, lorsqu'un rôle est assumé à l'aide d'une AWS STS
assume-rolecommande quelconque dans l' AWS STSAssumeRoleAPIopération AWS CLI or. -
Type de données : chaîne
-
Type de valeur – À valeur unique
boutique d'identité : IdentityStoreArn
Cette clé de contexte est celle ARN de la banque d'identités attachée à l'instance d'IAMIdentity Center qui a émis l'assertion de contexte. C'est également le magasin d'identité dans lequel vous pouvez rechercher des attributsidentitystore:UserID. Vous pouvez utiliser cette clé dans les politiques pour déterminer si elles identitystore:UserID proviennent d'une banque d'identités attendueARN.
-
Disponibilité — Cette clé est incluse dans le contexte de la demande après la définition d'une assertion de contexte émise par IAM Identity Center, lorsqu'un rôle est assumé à l'aide d'une AWS STS
assume-rolecommande quelconque dans l' AWS STSAssumeRoleAPIopération AWS CLI or. -
Type de valeur – À valeur unique
centre d'identité : ApplicationArn
Cette clé de contexte est celle ARN de l'application à laquelle IAM Identity Center a émis une assertion de contexte. Vous pouvez utiliser cette clé dans les politiques pour déterminer si elle identitycenter:ApplicationArn provient d'une application attendue. L'utilisation de cette clé permet d'empêcher une application inattendue d'accéder à un IAM rôle.
centre d'identité : CredentialId
Cette clé de contexte est un identifiant aléatoire pour les informations d'identification du rôle à identité améliorée et est utilisée uniquement pour la journalisation. Cette valeur clé étant imprévisible, nous vous recommandons de ne pas l'utiliser pour les assertions contextuelles dans les politiques.
-
Disponibilité — Cette clé est incluse dans le contexte de demande d'une AWS STS
AssumeRoleAPI opération. Le contexte de demande inclut une assertion de contexte émise par IAM Identity Center. -
Type de données : chaîne
-
Type de valeur – À valeur unique
centre d'identité : InstanceArn
Cette clé de contexte est celle ARN de l'instance d'IAMIdentity Center qui a émis l'assertion de contexte pouridentitystore:UserID. Vous pouvez utiliser cette clé pour déterminer si l'assertion de contexte identitystore:UserID et provient d'une instance d'IAMIdentity Center attendueARN.
