IAM JSON 策略元素:Condition
Condition
元素(或 Condition
块)允许您指定策略生效的条件。Condition
元素是可选的。在 Condition
元素中,您可构建表达式并使用条件运算符(等于、小于和其他)将策略中的上下文键和值与请求上下文中的键和值进行匹配。要了解有关请求上下文的更多信息,请参阅请求的组成部分。
"Condition" : { "
{condition-operator}
" : { "{condition-key}
" : "{condition-value}
" }}
您在策略条件中指定的上下文键可以是全局条件上下文键或特定于服务的上下文键。全局条件上下文键具有 aws:
前缀。特定于服务的上下文键具有服务的前缀。例如,Amazon EC2 允许您使用服务独有的 ec2:InstanceType
上下文键来编写条件。要查看带 iam:
前缀的特定于服务的 IAM 上下文键,请参阅 IAM 和 AWS STS 条件上下文密钥。
上下文键名称不区分大小写。例如,包含 aws:SourceIP
上下文键等效于测试 AWS:SourceIp
。上下文键值 是否区分大小写取决于您使用的条件运算符。例如,以下条件包含 StringEquals
运算符,以确保只有 johndoe
提出的请求才符合条件。名为 JohnDoe
的用户会被拒绝访问。
"Condition" : { "StringEquals" : { "aws:username" : "johndoe" }}
以下条件使用 StringEqualsIgnoreCase 运算符来匹配名为 johndoe
或 JohnDoe
的用户。
"Condition" : { "StringEqualsIgnoreCase" : { "aws:username" : "johndoe" }}
某些上下文键支持允许您指定键名称的一部分的键/值对。示例包括 aws:RequestTag/tag-key 上下文键、AWS KMS kms:EncryptionContext:
和多个服务支持的 ResourceTag/tag-key 上下文键。encryption_context_key
-
如果您对 Amazon EC2 等服务使用
ResourceTag/
上下文键,则必须指定tag-key
tag-key
的键名称。 -
键名称不区分大小写。这意味着,如果您在策略的条件元素中指定
"aws:ResourceTag/TagKey1": "Value1"
,则条件将匹配名为TagKey1
或tagkey1
的资源标签键,但不会同时匹配两者。 -
支持这些属性的 AWS 服务可能允许您创建多个仅大小写不同的键名称。例如,您可能需要通过
ec2=test1
和EC2=test2
标记 Amazon EC2 实例。在使用"aws:ResourceTag/EC2": "test1"
等条件以允许访问该资源时,键名称匹配两个标签,但仅一个值匹配。这可能会导致意外的条件失败。
重要
最佳实践是,在命名键-值对属性时,请确保您的账户成员遵循一致的命名约定。示例包括标签或 AWS KMS 加密上下文。您可以使用 aws:TagKeys 上下文键(用于标记)或 kms:EncryptionContextKeys
(用于 AWS KMS 加密上下文)强制实现此目的。
-
有关所有条件运算符及其工作原理描述的列表,请参阅条件运算符。
-
除非另行指定,否则所有上下文键均可有多个值。有关如何处理具有多个值的上下文键,请参阅 多值上下文键。
-
有关所有全局可用的上下文键的列表,请参阅 AWS 全局条件上下文密钥。
-
有关每个服务定义的条件上下文键,请参阅 AWS 服务的操作、资源和条件键。
请求上下文
当主体向 AWS 发出请求时,AWS 会将请求信息收集到请求上下文中。该信息用于对请求进行评估和授权。您可以使用 JSON 策略的 Condition
元素来针对请求上下文测试特定上下文键。例如,您可以创建一个策略,该策略使用 aws:CurrentTime 上下文键以允许用户仅在特定的日期范围内执行操作。
在提交请求时,AWS 将评估策略中的每个上下文键并返回值 true、false、not present,偶尔还会返回 null(空数据字符串)。请求中不存在的上下文键会视为不匹配。例如,以下策略允许删除您自己的多重身份验证(MFA)设备,但前提是您在最近 1 小时(3600 秒)内已使用 MFA 进行登录。
{ "Version": "2012-10-17", "Statement": { "Sid": "AllowRemoveMfaOnlyIfRecentMfa", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}", "Condition": { "NumericLessThanEquals": {"aws:MultiFactorAuthAge": "3600"} } } }
请求上下文可返回以下值:
-
True - 如果请求者在过去 1 小时或更短时间内已使用 MFA 进行登录,则条件返回 true。
-
False - 如果请求者在 1 小时前已使用 MFA 进行登录,则条件返回 false。
-
Not present(不存在)- 如果请求者已使用其 IAM 用户访问密钥在 AWS CLI 或 AWS API 中发出请求,则键不存在。在此情况下,键不存在,并且它不匹配。
-
Null – 对于用户定义的上下文键(如在请求中传递标签),可以包含一个空字符串。在此情况下,请求上下文中的值为 null。在某些情况下,null 值可能会返回 true。例如,如果您将多值
ForAllValues
条件运算符与aws:TagKeys
上下文键结合使用,则请求上下文返回 null 时,您将遇到意外结果。有关更多信息,请参阅 aws:TagKeys 和 多值上下文键。
条件块
以下示例显示 Condition
元素的基本格式:
"Condition": {"StringLike": {"s3:prefix": ["janedoe/*"]}}
请求中的值由上下文键表示,在此示例中为 s3:prefix
。将上下文密钥值与您指定为文本值的值进行比较,例如 janedoe/*
。要进行的比较类型由条件运算符指定(此处为 StringLike
)。您可以使用典型的布尔比较(例如等于、大于和小于)来创建比较字符串、日期、数字等的条件。使用字符串运算符或 ARN 运算符时,还可以在上下文键值中使用策略变量。以下示例包括 aws:username
变量。
"Condition": {"StringLike": {"s3:prefix": ["${aws:username}/*"]}}
在某些情况下,上下文键可能包含多个值。例如,对 Amazon DynamoDB 的请求可能需要从表返回或更新多个属性。访问 DynamoDB 表的策略可能包含 dynamodb:Attributes
上下文键,此键包含请求中列出的所有属性。您可以使用 Condition
元素中的集合运算符,根据策略中的允许属性列表测试请求中的多个属性。有关更多信息,请参阅 多值上下文键。
在请求期间评估策略时,AWS 会将键替换为请求中的相应值。(在此示例中,AWS 将使用请求的日期和时间。) 将对条件进行评估以返回 true 或 false,然后再整体考虑策略是允许还是拒绝请求。
一个条件中包含多个值
一个 Condition
元素可以包含多个条件运算符,而每个条件运算符又可以包含多个上下文键值对。下图对此进行了说明。
有关更多信息,请参阅 多值上下文键。