Chaves de contexto de condição do AWS STS para o IAM Identity Center

Quando uma entidade principal faz uma solicitação à AWS, a AWS reúne as informações da solicitação em um contexto de solicitação que é usado para avaliar e autorizar a solicitação. É possível usar o elemento Condition de uma política JSON para comparar chaves no contexto da solicitação com os valores de chave especificados em sua política. As informações da solicitação são fornecidas por diferentes fontes, incluindo a entidade principal que faz a solicitação, o recurso em relação ao qual a solicitação é feita e os metadados sobre a solicitação em si. As chaves de condição específicas do serviço são definidas para uso com um serviço da AWS individual.

O IAM Identity Center inclui um provedor de contexto do AWS STS que permite que aplicações gerenciadas pela AWS e aplicações de terceiros adicionem valores às chaves de condição definidas pelo IAM Identity Center. Essas chaves são incluídas nos perfis do IAM. Os valores de chave são definidos quando uma aplicação passa um token para o AWS STS. A aplicação obtém o token e o passa para o AWS STS de uma das seguintes maneiras:

Essas chaves normalmente são usadas por aplicações integradas com a propagação de identidades confiáveis. Em alguns casos, quando existem valores de chave presentes, é possível usar essas chaves nas políticas do IAM que você cria para permitir ou negar permissões.

Por exemplo, pode ser que você queira fornecer acesso condicional a um recurso com base no valor de UserId. Esse valor indica qual usuário do IAM Identity Center está usando o perfil. O exemplo é semelhante a usar SourceId. Porém, diferentemente de SourceId, o valor de UserId representa um usuário específico, verificado no repositório de identidades. Esse valor está presente no token que a aplicação obtém e depois passa para o AWS STS. Não é uma string de uso geral que pode conter valores arbitrários.

identitystore:UserId

Essa chave de contexto é o UserId do usuário do IAM Identity Center que é o assunto da asserção de contexto emitida pelo IAM Identity Center. A asserção de contexto é passada ao AWS STS. Você pode usar essa chave para comparar o UserId do usuário do IAM Identity Center em nome do qual a solicitação é feita com o identificador do usuário que você especifica na política.

identitystore:IdentityStoreArn

Essa chave de contexto é o ARN do repositório de identidades anexado à instância do IAM Identity Center que emitiu a asserção de contexto. É também o repositório de identidades no qual você pode pesquisar atributos para o identitystore:UserID. Você pode usar essa chave nas políticas para determinar se o identitystore:UserID vem de um ARN de repositório de identidades esperado.

identitycenter:ApplicationArn

Essa chave de contexto é o ARN da aplicação para a qual o IAM Identity Center emitiu uma asserção de contexto. Você pode usar essa chave em políticas para determinar se o identitycenter:ApplicationArn vem de uma aplicação esperada. Usar essa chave pode ajudar a evitar que um perfil do IAM seja acessado por uma aplicação inesperada.

identitycenter:CredentialId

Essa chave de contexto é um ID aleatório para a credencial de perfil com identidade aprimorada e é usada apenas para registro em log. Como esse valor de chave é imprevisível, recomendamos que ele não seja usado para asserções de contexto em políticas.

identitycenter:InstanceArn

Essa chave de contexto é o ARN da instância do IAM Identity Center que emitiu a asserção de contexto para o identitystore:UserID. Você pode usar essa chave para determinar se o identitystore:UserID e a asserção de contexto vieram de um ARN de instância do IAM Identity Center esperado.