本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS STS IAM Identity Center 的條件內容索引鍵
當委託人向 提出請求時 AWS, 會將請求資訊 AWS 收集到請求內容 中,用於評估和授權請求。您可以使用JSON政策的 Condition元素,將請求內容中的金鑰與您在政策中指定的金鑰值進行比較。請求資訊由不同的來源提供,包括提出請求的委託人、資源、提出請求的請求,以及請求本身的中繼資料。定義服務特定條件索引鍵,以便與個別 AWS 服務搭配使用。
IAM Identity Center 包含 AWS STS 內容提供者,可讓 AWS 受管應用程式和第三方應用程式為 IAM Identity Center 定義的條件索引鍵新增值。這些金鑰包含在IAM角色 中。當應用程式將權杖傳遞給 時,會設定金鑰值 AWS STS。應用程式 AWS STS 會以下列其中一種方式取得傳遞給 的權杖:
使用 IAM Identity Center 進行身分驗證期間。
使用受信任權杖發行者進行權杖交換後,以進行受信任身分傳播。在此情況下,應用程式會從信任的權杖發行者取得權杖,並從 IAM Identity Center 交換該權杖。
這些金鑰通常由與受信任身分傳播整合的應用程式使用。在某些情況下,當索引鍵值存在時,您可以在您建立IAM的政策中使用這些索引鍵來允許或拒絕許可。
例如,您可能想要根據 的值提供資源的條件式存取UserId。此值表示哪個 IAM Identity Center 使用者正在使用 角色。此範例類似於使用 SourceId。不過SourceId,與 不同, 的值UserId 代表身分存放區中經過驗證的特定使用者。此值存在於應用程式取得的權杖中,然後傳遞給 AWS STS。它不是可以包含任意值的一般用途字串。
主題
identitystore:UserId
此內容索引鍵是 IAM Identity Center 發佈內容聲明UserId的主體 IAM Identity Center 使用者的 。內容宣告會傳遞至 AWS STS。您可以使用此金鑰,將代表其提出請求UserId的 IAM Identity Center 使用者的 與您在政策中指定之使用者的識別碼進行比較。
-
可用性 – 設定 IAM Identity Center 發出的內容宣告後,當角色在 AWS CLI 或 AWS STS
AssumeRoleAPI操作中使用任何 AWS STSassume-role命令擔任時,此金鑰會包含在請求內容中。 -
資料類型 – 字串
-
值類型 - 單一值
identitystore:IdentityStoreArn
此內容索引鍵是連接到發出內容宣告之 IAM Identity Center 執行個體ARN的身分存放區的 。它也是您可以在其中查詢 的屬性的身分存放區identitystore:UserID。您可以在政策中使用此金鑰來判斷 是否identitystore:UserID來自預期的身分存放區 ARN。
identitycenter:ApplicationArn
此內容索引鍵是 IAM Identity Center 向其發出內容宣告的應用程式ARN的 。您可以在政策中使用此金鑰來判斷是否identitycenter:ApplicationArn來自預期的應用程式。使用此金鑰有助於防止意外應用程式存取IAM角色。
identitycenter:CredentialId
此內容索引鍵是身分增強型角色憑證的隨機 ID,僅用於記錄。由於此金鑰值無法預測,因此建議您不要將其用於政策中的內容宣告。
-
可用性 – 此金鑰包含在 API 操作的 AWS STS
AssumeRole請求內容中。請求內容包含 IAM Identity Center 發出的內容宣告。 -
資料類型 – 字串
-
值類型 - 單一值
identitycenter:InstanceArn
此內容索引鍵是發行 ARN 內容宣告的 IAM Identity Center 執行個體的 identitystore:UserID。您可以使用此金鑰來判斷 identitystore:UserID和內容宣告是否來自預期的 IAM Identity Center 執行個體 ARN。
