Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS STS clés contextuelles de condition pour IAM Identity Center
Lorsqu'un principal fait une demande à AWS, AWS rassemble les informations de la demande dans un contexte de demande, qui est utilisé pour évaluer et autoriser la demande. Vous pouvez utiliser l'élément Condition d'une politique JSON pour comparer des clés dans le contexte de demande avec les valeurs de clé spécifiées dans votre politique. Les informations relatives à la demande sont fournies par différentes sources, notamment le principal auteur de la demande, la ressource, la demande pour laquelle elle est faite et les métadonnées relatives à la demande elle-même. Les clés de condition spécifiques au service sont définies pour être utilisées avec un service individuel AWS .
IAM Identity Center inclut un fournisseur de AWS STS contexte qui permet aux applications AWS gérées et aux applications tierces d'ajouter des valeurs aux clés de condition définies par IAM Identity Center. Ces clés sont incluses dans les rôles IAM. Les valeurs clés sont définies lorsqu'une application transmet un jeton à AWS STS. L'application obtient le jeton auquel elle passe de AWS STS l'une des manières suivantes :
Pendant l'authentification avec IAM Identity Center.
Après échange de jetons avec un émetteur de jetons de confiance pour une propagation d'identité fiable. Dans ce cas, l'application obtient un jeton auprès d'un émetteur de jetons fiable et échange ce jeton contre un jeton auprès d'IAM Identity Center.
Ces clés sont généralement utilisées par les applications qui s'intègrent à la propagation d'identité sécurisée. Dans certains cas, lorsque des valeurs clés sont présentes, vous pouvez utiliser ces clés dans les politiques IAM que vous créez pour autoriser ou refuser des autorisations.
Par exemple, vous souhaiterez peut-être fournir un accès conditionnel à une ressource en fonction de la valeur deUserId. Cette valeur indique quel utilisateur IAM Identity Center utilise le rôle. L'exemple est similaire à l'utilisation deSourceId. Contrairement à SourceId ce qui se passe, la valeur pour UserId représente un utilisateur spécifique vérifié dans le magasin d'identités. Cette valeur est présente dans le jeton que l'application obtient puis transmet. AWS STS Il ne s'agit pas d'une chaîne à usage général qui peut contenir des valeurs arbitraires.
Rubriques
boutique d'identité : UserId
Cette clé de contexte est celle UserId de l'utilisateur IAM Identity Center qui fait l'objet de l'assertion de contexte émise par IAM Identity Center. L'assertion de contexte est transmise à AWS STS. Vous pouvez utiliser cette clé pour comparer l'identifiant UserId de l'utilisateur IAM Identity Center au nom duquel la demande est faite avec l'identifiant de l'utilisateur que vous spécifiez dans la politique.
-
Disponibilité : cette clé est incluse dans le contexte de la demande après la définition d'une assertion de contexte émise par IAM Identity Center, lorsqu'un rôle est assumé à l'aide d'une AWS STS
assume-rolecommande quelconque dans le cadre de l'opération AWS CLI ou de l' AWS STSAssumeRoleAPI. -
Type de données : chaîne
-
Type de valeur – À valeur unique
boutique d'identité : IdentityStoreArn
Cette clé de contexte est l'ARN de la banque d'identités attachée à l'instance d'IAM Identity Center qui a émis l'assertion de contexte. C'est également le magasin d'identité dans lequel vous pouvez rechercher des attributsidentitystore:UserID. Vous pouvez utiliser cette clé dans les politiques pour déterminer si elle identitystore:UserID provient d'un ARN de magasin d'identités attendu.
-
Disponibilité : cette clé est incluse dans le contexte de la demande après la définition d'une assertion de contexte émise par IAM Identity Center, lorsqu'un rôle est assumé à l'aide d'une AWS STS
assume-rolecommande quelconque dans le cadre de l'opération AWS CLI ou de l' AWS STSAssumeRoleAPI. -
Type de valeur – À valeur unique
centre d'identité : ApplicationArn
Cette clé de contexte est l'ARN de l'application à laquelle IAM Identity Center a émis une assertion de contexte. Vous pouvez utiliser cette clé dans les politiques pour déterminer si elle identitycenter:ApplicationArn provient d'une application attendue. L'utilisation de cette clé peut aider à empêcher une application inattendue d'accéder à un rôle IAM.
centre d'identité : CredentialId
Cette clé de contexte est un identifiant aléatoire pour les informations d'identification du rôle à identité améliorée et est utilisée uniquement pour la journalisation. Cette valeur clé étant imprévisible, nous vous recommandons de ne pas l'utiliser pour les assertions contextuelles dans les politiques.
-
Disponibilité — Cette clé est incluse dans le contexte de demande d'une opération d' AWS STS
AssumeRoleAPI. Le contexte de demande inclut une assertion de contexte émise par IAM Identity Center. -
Type de données : chaîne
-
Type de valeur – À valeur unique
centre d'identité : InstanceArn
Cette clé de contexte est l'ARN de l'instance d'IAM Identity Center qui a émis l'assertion de contexte pour. identitystore:UserID Vous pouvez utiliser cette clé pour déterminer si l'assertion de contexte identitystore:UserID et provient d'un ARN d'instance IAM Identity Center attendu.
