Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
La seguente serie di esempi di policy mostra come creare condizioni politicy con chiavi di contesto multivalore.
Esempio: politica di rifiuto con operatore di set di condizioni ForAllValues
Gli esempi seguenti mostrano come utilizzare una policy basata sull'identità per negare l'uso di azioni di tagging IAM quando nella richiesta sono inclusi prefissi di chiave di tag specifici. I valori aws:TagKeysincludono un carattere jolly (*) per la corrispondenza parziale delle stringhe. La policy include l'ForAllValuesimposta l'operatore con la chiave di contesto aws:TagKeysperché la chiave di contesto della richiesta può includere più valori. Affinché la chiave aws:TagKeys di contesto corrisponda, ogni valore nel contesto della richiesta deve corrispondere ad almeno un valore nella politica.
L'operatore ForAllValues set restituisce true anche se non ci sono chiavi di contesto nella richiesta.
È possibile evitare che le chiavi di contesto mancanti o le chiavi di contesto con valori vuoti risultino vere includendo nella policy un operatore di Null condizione con un valore pari false a per verificare se la chiave di contesto nella richiesta esiste e il suo valore non è nullo. Per ulteriori informazioni, consulta Operatore di condizione per verificare la presenza di chiavi di condizione .
Importante
Questa policy non consente alcuna operazione. Utilizza questa policy in combinazione con altre policy che consentono operazioni specifiche.
Esempio Nega un singolo valore di condizione politica per una chiave di contesto multivalore
Nell'esempio seguente, la policy nega le richieste in cui i valori della richiesta non includono aws:TagKeys il prefisso key1. Il contesto della richiesta può avere più valori, ma a causa dell'operatore del set di ForAllValues condizioni, tutti i valori chiave del tag nel contesto della richiesta devono iniziare con il prefisso key1.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyRestrictedTags",
"Effect": "Deny",
"Action": [
"iam:Tag*",
"iam:UnTag*"
],
"Resource": [
"*"
],
"Condition": {
"ForAllValues:StringNotLike": {
"aws:TagKeys": "key1*"
}
}
}
]
}La tabella seguente mostra come AWS valuta questa politica in base ai valori della chiave di condizione nella richiesta. Per un'istruzione Deny, Match is Denied e No match is Not Denied, quindi potrebbe essere consentita da un'altra dichiarazione.
| Condizione della politica | Contesto della richiesta | Risultato |
|---|---|---|
|
|
Nessuna corrispondenza Può essere consentito da un'altra dichiarazione. |
|
|
Nessuna corrispondenza Può essere consentito da un'altra dichiarazione. |
|
|
Partita |
|
No |
Partita |
Esempio Nega più valori di condizioni politiche per una chiave di contesto multivalore
Nell'esempio seguente, la policy nega le richieste in cui i valori della richiesta non includono il prefisso key1 o key2. aws:TagKeys Il contesto della richiesta può avere più valori, ma a causa dell'operatore del set di ForAllValues condizioni, tutti i valori delle chiavi dei tag nel contesto della richiesta devono iniziare con il prefisso key1 o key2.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyRestrictedTags",
"Effect": "Deny",
"Action": [
"iam:Tag*",
"iam:UnTag*"
],
"Resource": [
"*"
],
"Condition": {
"ForAllValues:StringNotLike": {
"aws:TagKeys": [
"key1*",
"key2*"
]
}
}
}
]
}La tabella seguente mostra come AWS valuta questa politica in base ai valori della chiave di condizione nella richiesta. Per un'istruzione Deny, Match is Denied e No match is Not Denied, quindi potrebbe essere consentita da un'altra dichiarazione.
| Condizione della politica | Contesto della richiesta | Risultato |
|---|---|---|
|
|
Nessuna corrispondenza Può essere consentito da un'altra dichiarazione. |
|
|
Nessuna corrispondenza Può essere consentito da un'altra dichiarazione. |
|
|
Nessuna corrispondenza Può essere consentito da un'altra dichiarazione. |
|
|
Partita |
|
No |
Partita |
Esempio: politica di rifiuto con operatore di set di condizioni ForAnyValue
Il seguente esempio di policy basata sull'identità nega la creazione di istantanee di volumi di EC2 istanze se alcune istantanee sono contrassegnate con una delle chiavi di tag specificate nella policy, oppure. environment webserver La policy include l’ForAnyValueoperatore di insieme con la chiave di contesto aws:TagKeys perché la chiave di contesto della richiesta può includere più valori. Se la richiesta di etichettatura include uno dei valori chiave dei tag specificati nella policy, la aws:TagKeys chiave di contesto restituisce true richiamando l'effetto della policy di negazione.
Importante
Questa policy non consente alcuna operazione. Utilizza questa policy in combinazione con altre policy che consentono operazioni specifiche.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ec2:CreateSnapshot",
"ec2:CreateSnapshots"
],
"Resource": "arn:aws:ec2:us-west-2::snapshot/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": "webserver"
}
}
}
]
}La tabella seguente mostra come AWS valuta questa politica in base ai valori della chiave di condizione nella richiesta. Per un'istruzione Deny, Match is Denied e No match is Not Denied, quindi potrebbe essere consentita da un'altra dichiarazione.
| Condizione della politica | Contesto della richiesta | Risultato |
|---|---|---|
|
|
Partita |
|
|
Incontro |
|
|
Nessuna corrispondenza Può essere consentito da un'altra dichiarazione. |
|
No |
Nessuna corrispondenza Può essere consentito da un'altra dichiarazione. |
