Tindakan, sumber daya, dan kunci kondisi untuk Layanan Token AWS Keamanan

AWS Security Token Service (awalan layanan:sts) menyediakan sumber daya khusus layanan, tindakan, dan kunci konteks kondisi berikut untuk digunakan dalam IAM kebijakan izin.

Referensi:

Pelajari cara mengonfigurasi layanan ini.
Lihat daftar APIoperasi yang tersedia untuk layanan ini.
Pelajari cara mengamankan layanan ini dan sumber dayanya dengan menggunakan kebijakan IAM izin.

Topik

Tindakan yang ditentukan oleh Layanan Token AWS Keamanan
Jenis sumber daya yang ditentukan oleh AWS Security Token Service
Kunci kondisi untuk Layanan Token AWS Keamanan

Tindakan yang ditentukan oleh Layanan Token AWS Keamanan

Anda dapat menentukan tindakan berikut dalam Action elemen pernyataan IAM kebijakan. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Ketika Anda menggunakan tindakan dalam kebijakan, Anda biasanya mengizinkan atau menolak akses ke API operasi atau CLI perintah dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan tunggal mengontrol akses ke lebih dari satu operasi. Atau, beberapa operasi memerlukan beberapa tindakan yang berbeda.

Kolom tipe sumber daya pada tabel Tindakan menunjukkan apakah setiap tindakan mendukung izin tingkat sumber daya. Jika tidak ada nilai untuk kolom ini, Anda harus menentukan semua sumber daya (“*”) yang berlaku kebijakan dalam Resource elemen pernyataan kebijakan Anda. Jika kolom menyertakan jenis sumber daya, maka Anda dapat menentukan ARN jenis itu dalam pernyataan dengan tindakan tersebut. Jika tindakan memiliki satu atau lebih sumber daya yang diperlukan, pemanggil harus memiliki izin untuk menggunakan tindakan dengan sumber daya tersebut. Sumber daya yang diperlukan ditunjukkan dalam tabel dengan tanda bintang (*). Jika Anda membatasi akses sumber daya dengan Resource elemen dalam IAM kebijakan, Anda harus menyertakan pola ARN atau untuk setiap jenis sumber daya yang diperlukan. Beberapa tindakan mendukung berbagai jenis sumber daya. Jika jenis sumber daya opsional (tidak ditunjukkan sesuai kebutuhan), maka Anda dapat memilih untuk menggunakan salah satu jenis sumber daya opsional.

Kolom Condition keys pada tabel Actions menyertakan kunci yang dapat Anda tentukan dalam Condition elemen pernyataan kebijakan. Untuk informasi selengkapnya tentang kunci kondisi yang terkait dengan sumber daya untuk layanan, lihat kolom Kunci kondisi pada tabel Jenis sumber daya.

catatan

Kunci kondisi sumber daya tercantum dalam tabel Jenis sumber daya. Anda dapat menemukan tautan ke jenis sumber daya yang berlaku untuk tindakan di kolom Jenis sumber daya (*wajib) pada tabel Tindakan. Jenis sumber daya dalam tabel Jenis sumber daya menyertakan kolom Kunci kondisi, yang merupakan kunci kondisi sumber daya yang berlaku untuk tindakan dalam tabel Tindakan.

Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tindakan.

Tindakan	Deskripsi	Tingkat akses	Jenis sumber daya (*diperlukan)	Kunci syarat
AssumeRole	Memberikan izin untuk mendapatkan satu set kredensil keamanan sementara yang dapat Anda gunakan untuk mengakses AWS sumber daya yang biasanya tidak dapat Anda akses	Tulis	role*
AssumeRole		Tulis		aws:TagKeys aws:RequestTag/${TagKey} sts:TransitiveTagKeys sts:ExternalId sts:RoleSessionName iam:ResourceTag/${TagKey} sts:SourceIdentity cognito-identity.amazonaws.com:amr cognito-identity.amazonaws.com:aud cognito-identity.amazonaws.com:sub www.amazon.com:app_id www.amazon.com:user_id graph.facebook.com:app_id graph.facebook.com:id accounts.google.com:aud accounts.google.com:sub saml:namequalifier saml:sub saml:sub_type
AssumeRoleWithSAML	Memberikan izin untuk mendapatkan satu set kredensi keamanan sementara untuk pengguna yang telah diautentikasi melalui respons otentikasi SAML	Tulis	role*
AssumeRoleWithSAML		Tulis		saml:namequalifier saml:sub saml:sub_type saml:aud saml:iss saml:doc saml:cn saml:commonName saml:eduorghomepageuri saml:eduorgidentityauthnpolicyuri saml:eduorglegalname saml:eduorgsuperioruri saml:eduorgwhitepagesuri saml:edupersonaffiliation saml:edupersonassurance saml:edupersonentitlement saml:edupersonnickname saml:edupersonorgdn saml:edupersonorgunitdn saml:edupersonprimaryaffiliation saml:edupersonprimaryorgunitdn saml:edupersonprincipalname saml:edupersonscopedaffiliation saml:edupersontargetedid saml:givenName saml:mail saml:name saml:organizationStatus saml:primaryGroupSID saml:surname saml:uid saml:x500UniqueIdentifier aws:TagKeys aws:RequestTag/${TagKey} sts:TransitiveTagKeys sts:SourceIdentity sts:RoleSessionName
AssumeRoleWithWebIdentity	Memberikan izin untuk mendapatkan satu set kredensi keamanan sementara untuk pengguna yang telah diautentikasi dalam aplikasi seluler atau web dengan penyedia identitas web	Tulis	role*
AssumeRoleWithWebIdentity		Tulis		cognito-identity.amazonaws.com:amr cognito-identity.amazonaws.com:aud cognito-identity.amazonaws.com:sub www.amazon.com:app_id www.amazon.com:user_id graph.facebook.com:app_id graph.facebook.com:id accounts.google.com:aud accounts.google.com:oaud accounts.google.com:sub aws:TagKeys aws:RequestTag/${TagKey} sts:TransitiveTagKeys sts:SourceIdentity sts:RoleSessionName
AssumeRoot	Memberikan izin untuk mendapatkan satu set kredensi keamanan sementara yang dapat Anda gunakan untuk melakukan tugas istimewa di akun anggota di organisasi Anda	Tulis	root-user*
AssumeRoot		Tulis		sts:TaskPolicyArn
DecodeAuthorizationMessage	Memberikan izin untuk memecahkan kode informasi tambahan tentang status otorisasi permintaan dari pesan yang disandikan yang dikembalikan sebagai tanggapan atas permintaan AWS	Tulis
GetAccessKeyInfo	Memberikan izin untuk mendapatkan rincian tentang id kunci akses yang diteruskan sebagai parameter untuk permintaan	Baca
GetCallerIdentity	Memberikan izin untuk mendapatkan rincian tentang IAM identitas yang kredensialnya digunakan untuk memanggil API	Baca
GetFederationToken	Memberikan izin untuk mendapatkan satu set kredensi keamanan sementara (terdiri dari ID kunci akses, kunci akses rahasia, dan token keamanan) untuk pengguna federasi	Baca	user
GetFederationToken		Baca		aws:TagKeys aws:RequestTag/${TagKey}
GetServiceBearerToken[hanya izin]	Memberikan izin untuk mendapatkan token STS pembawa untuk pengguna AWS root, IAM peran, atau pengguna IAM	Baca		sts:AWSServiceName sts:DurationSeconds
GetSessionToken	Memberikan izin untuk mendapatkan satu set kredensi keamanan sementara (terdiri dari ID kunci akses, kunci akses rahasia, dan token keamanan) untuk pengguna atau Akun AWS IAM	Baca
SetContext[hanya izin]	Memberikan izin untuk mengatur kunci konteks pada sesi STS	Tulis	role
			self-session
				sts:RequestContext/${ContextKey} sts:RequestContextProviders
SetSourceIdentity[hanya izin]	Memberikan izin untuk mengatur identitas sumber pada sesi STS	Tulis	role
			user
				sts:SourceIdentity
TagSession[hanya izin]	Memberikan izin untuk menambahkan tag ke sesi STS	Penandaan	role
			user
				aws:TagKeys aws:RequestTag/${TagKey} sts:TransitiveTagKeys saml:aud

Jenis sumber daya yang ditentukan oleh AWS Security Token Service

Jenis sumber daya berikut ditentukan oleh layanan ini dan dapat digunakan dalam Resource elemen pernyataan kebijakan IAM izin. Setiap tindakan dalam Tabel tindakan mengidentifikasi jenis sumber daya yang dapat ditentukan dengan tindakan tersebut. Jenis sumber daya juga dapat menentukan kunci kondisi mana yang dapat Anda sertakan dalam kebijakan. Tombol-tombol ini ditampilkan di kolom terakhir dari tabel Jenis sumber daya. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tipe sumber daya.

Jenis sumber daya	ARN	Kunci syarat
role	`arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}`	aws:ResourceTag/${TagKey} iam:ResourceTag/${TagKey}
user	`arn:${Partition}:iam::${Account}:user/${UserNameWithPath}`
root-user	`arn:${Partition}:iam::${Account}:root`
self-session	`arn:${Partition}:sts::${Account}:self`

Kunci kondisi untuk Layanan Token AWS Keamanan

AWS Security Token Service mendefinisikan kunci kondisi berikut yang dapat digunakan dalam Condition elemen IAM kebijakan. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut saat pernyataan kebijakan berlaku. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tombol kondisi.

Untuk melihat kunci kondisi global yang tersedia untuk semua layanan, lihat Kunci kondisi global yang tersedia.

Kunci syarat	Deskripsi	Jenis
accounts.google.com:aud	Memfilter akses oleh ID aplikasi Google	String
accounts.google.com:oaud	Memfilter akses oleh audiens Google	String
accounts.google.com:sub	Memfilter akses berdasarkan subjek klaim (ID pengguna Google)	String
aws:RequestTag/${TagKey}	Filter akses berdasarkan tanda yang diberikan dalam permintaan	String
aws:ResourceTag/${TagKey}	Filter akses dengan tanda yang terkait dengan sumber daya	String
aws:TagKeys	Filter akses berdasarkan kunci tanda yang diberikan dalam permintaan	ArrayOfString
cognito-identity.amazonaws.com:amr	Memfilter akses dengan informasi login untuk Amazon Cognito	String
cognito-identity.amazonaws.com:aud	Memfilter akses berdasarkan ID kumpulan identitas Amazon Cognito	String
cognito-identity.amazonaws.com:sub	Memfilter akses berdasarkan subjek klaim (ID pengguna Amazon Cognito)	String
graph.facebook.com:app_id	Memfilter akses dengan ID aplikasi Facebook	String
graph.facebook.com:id	Memfilter akses oleh ID pengguna Facebook	String
iam:ResourceTag/${TagKey}	Memfilter akses dengan tag yang dilampirkan ke peran yang diasumsikan	String
saml:aud	Memfilter akses berdasarkan titik akhir URL tempat SAML pernyataan disajikan	String
saml:cn	Memfilter akses dengan eduOrg atribut	ArrayOfString
saml:commonName	Memfilter akses dengan commonName atribut	String
saml:doc	Memfilter akses pada prinsipal yang digunakan untuk mengambil peran	String
saml:eduorghomepageuri	Memfilter akses dengan eduOrg atribut	ArrayOfString
saml:eduorgidentityauthnpolicyuri	Memfilter akses dengan eduOrg atribut	ArrayOfString
saml:eduorglegalname	Memfilter akses dengan eduOrg atribut	ArrayOfString
saml:eduorgsuperioruri	Memfilter akses dengan eduOrg atribut	ArrayOfString
saml:eduorgwhitepagesuri	Memfilter akses dengan eduOrg atribut	ArrayOfString
saml:edupersonaffiliation	Memfilter akses dengan eduPerson atribut	ArrayOfString
saml:edupersonassurance	Memfilter akses dengan eduPerson atribut	ArrayOfString
saml:edupersonentitlement	Memfilter akses dengan eduPerson atribut	ArrayOfString
saml:edupersonnickname	Memfilter akses dengan eduPerson atribut	ArrayOfString
saml:edupersonorgdn	Memfilter akses dengan eduPerson atribut	String
saml:edupersonorgunitdn	Memfilter akses dengan eduPerson atribut	ArrayOfString
saml:edupersonprimaryaffiliation	Memfilter akses dengan eduPerson atribut	String
saml:edupersonprimaryorgunitdn	Memfilter akses dengan eduPerson atribut	String
saml:edupersonprincipalname	Memfilter akses dengan eduPerson atribut	String
saml:edupersonscopedaffiliation	Memfilter akses dengan eduPerson atribut	ArrayOfString
saml:edupersontargetedid	Memfilter akses dengan eduPerson atribut	ArrayOfString
saml:givenName	Memfilter akses dengan givenName atribut	String
saml:iss	Memfilter akses oleh penerbit, yang diwakili oleh URN	String
saml:mail	Memfilter akses dengan atribut email	String
saml:name	Memfilter akses dengan atribut nama	String
saml:namequalifier	Memfilter akses berdasarkan nilai hash penerbit, ID akun, dan nama ramah	String
saml:organizationStatus	Memfilter akses dengan organizationStatus atribut	String
saml:primaryGroupSID	Memfilter akses dengan primaryGroup SID atribut	String
saml:sub	Memfilter akses berdasarkan subjek klaim (ID SAML pengguna)	String
saml:sub_type	Memfilter akses berdasarkan nilai persisten, sementara, atau Format penuh URI	String
saml:surname	Memfilter akses dengan atribut nama keluarga	String
saml:uid	Memfilter akses dengan atribut uid	String
saml:x500UniqueIdentifier	Memfilter akses dengan atribut uid	String
sts:AWSServiceName	Memfilter akses oleh layanan yang memperoleh token pembawa	String
sts:DurationSeconds	Memfilter akses berdasarkan durasi dalam hitungan detik saat mendapatkan token pembawa	String
sts:ExternalId	Memfilter akses dengan pengenal unik yang diperlukan saat Anda berperan di akun lain	String
sts:RequestContext/${ContextKey}	Memfilter akses berdasarkan pasangan nilai kunci konteks sesi yang disematkan dalam pernyataan konteks yang ditandatangani yang diambil dari penyedia konteks tepercaya	String
sts:RequestContextProviders	Memfilter akses oleh penyedia konteks ARNs	ArrayOfARN
sts:RoleSessionName	Memfilter akses berdasarkan nama sesi peran yang diperlukan saat Anda mengambil peran	String
sts:SourceIdentity	Memfilter akses berdasarkan identitas sumber yang diteruskan dalam permintaan	String
sts:TaskPolicyArn	Memfilter akses oleh TaskPolicy ARN	String
sts:TransitiveTagKeys	Memfilter akses dengan kunci tag transitif yang diteruskan dalam permintaan	ArrayOfString
www.amazon.com:app_id	Memfilter akses dengan Login with Amazon ID aplikasi	String
www.amazon.com:user_id	Memfilter akses dengan Login with Amazon User ID	String

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Amazon Security Lake

AWS Layanan Migrasi Server