Clés de contexte de condition IAM et AWS STS - AWS Identity and Access Management
Clés disponibles pour IAMClés disponibles pour la fédération OIDC AWSClés disponibles pour la fédération SAML AWS STSClés de contexte inter-services pour la fédération AWS STS basée sur SAMLClés disponibles pour AWS STS

Clés de contexte de condition IAM et AWS STS

Vous pouvez utiliser l'élément Condition dans une politique JSON pour tester la valeur des clés qui figurent dans le contexte de toutes les demandes AWS. Ces clés fournissent des informations sur la demande elle-même ou les ressources référencées par cette dernière. Vous pouvez vérifier que les clés disposent de valeurs spécifiées avant d'autoriser l'action demandée par l'utilisateur. Vous bénéficiez ainsi d'un contrôle détaillé sur la correspondance ou non de vos instructions de politique JSON avec une demande entrante. Pour plus d'informations sur l'utilisation de l'élément Condition dans une politique JSON, consultez Éléments de politique JSON IAM : Condition.

Cette rubrique décrit les clés définies et fournies par le service IAM (avec un préfixe iam:) et le service AWS Security Token Service (AWS STS) (avec un préfixe sts:). Plusieurs autres services AWS fournissent également des clés spécifiques au service applicables aux actions et aux ressources définies par ce service. Pour plus d'informations, consultez Actions, ressources et clés de condition pour les services AWS. La documentation pour un service qui prend en charge des clés de condition possède généralement des informations supplémentaires. Par exemple, pour obtenir des informations sur les clés que pouvez utiliser dans les politiques relatives aux ressources Amazon S3, veuillez consulter clés de politique Amazon S3 dans le guide de l'utilisateur service de stockage simple Amazon.

Clés disponibles pour IAM

Vous pouvez utilisez les clés de condition suivantes dans des politiques qui contrôlent l'accès aux ressources IAM :

iam:AssociatedResourceArn

Fonctionne avec des opérateurs ARN.

Spécifie l'ARN de la ressource à laquelle ce rôle sera associé dans le service de destination. La ressource appartient généralement au service auquel le principal transmet le rôle. Parfois, la ressource peut appartenir à un troisième service. Par exemple, vous pouvez transmettre à Amazon EC2 Auto Scaling un rôle qui sera utilisé sur une instance Amazon EC2. Dans ce cas, la condition correspondrait à l'ARN de l'instance Amazon EC2.

Cette clé de condition s'applique uniquement à l'action PassRole dans une politique. Elle ne peut pas être utilisée pour limiter une autre action.

Important

Lors de l’utilisation de la condition iam:AssociatedResourceArn dans une politique pour restreindre l’action PassRole, des considérations particulières s’appliquent si la politique est destinée à définir l’accès pour l’action AddRoleToInstanceProfile. Dans ce cas, vous ne pouvez pas spécifier une région ou un identifiant d’instance dans l’ARN de l’instance EC2. La valeur de l’ARN doit être arn:aws:ec2:*:CallerAccountId:instance/*. L’utilisation d’une autre valeur ARN peut conduire à des résultats d’évaluation inattendus.

Utilisez cette clé de condition dans une politique basée sur l’identité pour permettre à une entité de transmettre un rôle, mais uniquement si ce rôle est associé à la ressource spécifiée. Par exemple, vous pouvez autoriser un utilisateur ou un rôle IAM à transmettre n’importe quel rôle au service Amazon EC2 à utiliser avec des instances dans le Compte AWS. L'utilisateur ou le rôle IAM ne serait pas autorisé à transmettre des rôles à d'autres services.

{
    "Effect": "Allow",
    "Action": "iam:PassRole",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "iam:PassedToService": "ec2.amazonaws.com"
        },
        "ArnLike": {
            "iam:AssociatedResourceARN": [
                "arn:aws:ec2:*:111122223333:instance/*"
            ]
        }
    }
}
Note

Les services AWS qui prennent en charge iam:PassedToService prennent également en charge cette clé de condition.

iam:AWSServiceName

Fonctionne avec des opérateurs de chaîne.

Spécifie le service AWS auquel ce rôle est attaché.

Cette clé de condition est prise en charge par l’opération de l’API CreateServiceLinkedRole.

Astuce

Pour plus d'informations concernant la prise en charge par les services des rôles liés à un service, consultez AWSServices qui fonctionnent avec IAM et recherchez les services affichant Oui dans la colonne Rôle lié à un service. Choisissez un Yes (Oui) ayant un lien permettant de consulter les détails du rôle pour ce service.

Dans cet exemple, vous autorisez une entité à créer un rôle lié à un service en utilisant l’opération de l’API CreateServiceLinkedRole si le nom de service est access-analyzer.amazonaws.com.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [{
       "Effect": "Allow",
       "Action": "iam:CreateServiceLinkedRole",
       "Resource": "*",
       "Condition": {
         "StringLike": {
           "iam:AWSServiceName": "access-analyzer.amazonaws.com"
         }
       }
     }]
 }
iam:FIDO-certification

Fonctionne avec des opérateurs de chaîne.

Vérifie le niveau de certification FIDO de l'appareil MFA au moment de l'enregistrement d'une clé de sécurité FIDO. La certification de l'appareil est extraite du FIDO Alliance Metadata Service (MDS). Si le statut ou le niveau de certification de votre clé de sécurité FIDO change, celui-ci ne sera pas mis à jour à moins que l'appareil ne soit désenregistré et enregistré de nouveau pour récupérer les informations de certification mises à jour.

Valeurs possibles de L1, L1plus, L2, L2plus, L3, L3plus

Dans cet exemple, vous enregistrez une clé de sécurité et récupérez la certification FIDO de niveau 1 plus pour votre appareil.

JSON
{
      "Version":"2012-10-17",		 	 	 
      "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-certification": "L1plus"
                }
            }
        }
    ]
                  
 }
iam:FIDO-FIPS-140-2-certification

Fonctionne avec des opérateurs de chaîne.

Vérifie le niveau de certification de la validation FIPS-140-2 de l'appareil MFA au moment de l'enregistrement d'une clé de sécurité FIDO. La certification de l'appareil est extraite du FIDO Alliance Metadata Service (MDS). Si le statut ou le niveau de certification de votre clé de sécurité FIDO change, celui-ci ne sera pas mis à jour à moins que l'appareil ne soit désenregistré et enregistré de nouveau pour récupérer les informations de certification mises à jour.

Valeurs possibles de L1, L2, L3, L4

Dans cet exemple, vous enregistrez une clé de sécurité et récupérez la certification FIPS-140-2 de niveau 2 pour votre appareil.

JSON
{
      "Version":"2012-10-17",		 	 	 
      "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        }
    ]
                  
 }
iam:FIDO-FIPS-140-3-certification

Fonctionne avec des opérateurs de chaîne.

Vérifie le niveau de certification de la validation FIPS-140-3 de l'appareil MFA au moment de l'enregistrement d'une clé de sécurité FIDO. La certification de l'appareil est extraite du FIDO Alliance Metadata Service (MDS). Si le statut ou le niveau de certification de votre clé de sécurité FIDO change, celui-ci ne sera pas mis à jour à moins que l'appareil ne soit désenregistré et enregistré de nouveau pour récupérer les informations de certification mises à jour.

Valeurs possibles de L1, L2, L3, L4

Dans cet exemple, vous enregistrez une clé de sécurité et récupérez la certification FIPS-140-3 de niveau 3 pour votre appareil.

JSON
{
      "Version":"2012-10-17",		 	 	 
      "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-3-certification": "L3"
                }
            }
        }
    ]
                  
 }
iam:OrganizationsPolicyId

Fonctionne avec des opérateurs de chaîne.

Vérifie que la politique avec l'ID AWS Organizations spécifié correspond à la politique utilisée dans la demande. Pour voir un exemple de politique IAM qui utilise cette clé de condition, veuillez consulter IAM : afficher les dernières informations consultées relatives au service pour une politique AWS Organizations.

iam:PassedToService

Fonctionne avec des opérateurs de chaîne.

Spécifie le principal du service auquel un rôle peut être transmis. Cette clé de condition s'applique uniquement à l'action PassRole dans une politique. Elle ne peut pas être utilisée pour limiter une autre action.

Lorsque vous utilisez cette clé de condition dans une politique, spécifiez le service à l'aide d'un principal service. Un principal de service est le nom d'un service qui peut être spécifié dans l'élément Principal d'une politique. Il s'agit du format habituel : SERVICE_NAME_URL.amazonaws.com.

Vous pouvez utiliser iam:PassedToService pour limiter vos utilisateurs de sorte qu'ils puissent transmettre des rôles uniquement à des services spécifiques. Par exemple, un utilisateur peut créer un rôle de service qui autorise CloudWatch à écrire des données de journal en son nom dans un compartiment Amazon S3. Ensuite, l'utilisateur doit attacher une politique d'autorisation et une politique d'approbation au nouveau rôle de service. Dans ce cas, la politique d'approbation doit spécifier cloudwatch.amazonaws.com dans l'élément Principal. Pour afficher une politique qui permet à l'utilisateur de transmettre le rôle à CloudWatch, consultez IAM : transmettre un rôle IAM à un service AWS spécifique.

En utilisant cette clé de condition, vous pouvez vous assurer que les utilisateurs créent des rôles de service uniquement pour les services que vous spécifiez. Par exemple, si un utilisateur de la politique précédente tente de créer un rôle de service pour Amazon EC2, l'opération échouera. L'échec se produit, car l'utilisateur n'est pas autorisé à transmettre le rôle à Amazon EC2.

Parfois, vous transmettez un rôle à un service, qui le transmet ensuite à un service différent. iam:PassedToService inclut uniquement le service final qui endosse le rôle, et non le service intermédiaire qui transmet le rôle.

Note

Certains services ne prennent pas en charge cette clé de condition.

iam:PermissionsBoundary

Fonctionne avec des opérateurs ARN.

Vérifie que la politique spécifiée est attachée en tant que limite d'autorisations sur la ressource du principal IAM. Pour plus d'informations, veuillez consulter Limites d'autorisations pour les entités IAM

iam:PolicyARN

Fonctionne avec des opérateurs ARN.

Vérifie l'ARN (Amazon Resource Name) d'une politique gérée dans les demandes qui impliquent ce type de politique. Pour de plus amples informations, consultez Contrôle de l'accès aux politiques.

iam:RegisterSecurityKey

Fonctionne avec des opérateurs de chaîne.

Vérifie l'état actuel de l'activation de l'appareil MFA.

Valeurs possibles de Create ou Activate.

Dans cet exemple, vous enregistrez une clé de sécurité et récupérez la certification FIPS-140-3 de niveau 1 pour votre appareil.

JSON
{
      "Version":"2012-10-17",		 	 	 
      "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-3-certification": "L1"
                }
            }
        }
    ]
                  
 }
iam:ResourceTag/key-name

Fonctionne avec des opérateurs de chaîne.

Vérifie que l'étiquette attachée à la ressource d'identité (utilisateur ou rôle) correspond aux nom et valeur de la clé spécifiée.

Note

IAM et AWS STS prennent en charge à la fois la clé de condition IAM iam:ResourceTag et la clé de condition globale aws:ResourceTag.

Vous pouvez ajouter des attributs personnalisés à des ressources IAM sous la forme d'une paire clé-valeur. Pour plus d'informations sur les balises pour les ressources IAM, consultez Balises pour les ressources AWS Identity and Access Management. Vous pouvez utiliser ResourceTag pour contrôler l'accès aux ressources AWS, y compris les ressources IAM. Cependant, comme IAM ne prend pas en charge les balises pour les groupes, vous ne pouvez pas utiliser de balises pour contrôler l'accès aux groupes.

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise la suppression des utilisateurs avec la balise status=terminated. Pour utiliser cette politique, remplacez le texte de l'espace réservé en italique dans l'exemple de politique par vos propres informations de ressource. Ensuite, suivez les instructions fournies dans create a policy (créer une politique) ou edit a policy (modifier une politique).

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": "iam:DeleteUser",
        "Resource": "*",
        "Condition": {"StringEquals": {"iam:ResourceTag/status": "terminated"}}
    }]
}
iam:ServiceSpecificCredentialAgeDays

Fonctionne avec des opérateurs numériques.

Cette clé de condition limite la création d’informations d’identification spécifiques au service en fonction de leurs paramètres d’expiration. Elle vous permet de contrôler la durée maximale, en jours, des informations d’identification spécifiques au service qui peuvent être créées.

La plage valide pour les jours est comprise entre 1 et 36 600 (minimum 1 jour, maximum 36 600 jours).

Cette clé de condition est prise en charge par l’opération de l’API CreateServiceSpecificCredential.

Dans cet exemple, vous autorisez un utilisateur à créer des informations d’identification spécifiques au service Amazon Bedrock uniquement si elles expirent dans les 90 jours.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceSpecificCredential",
            "Resource": "arn:aws:iam::111122223333:user/username",
            "Condition": {
                "StringEquals": {
                    "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
                },
                "NumericLessThanEquals": {
                    "iam:ServiceSpecificCredentialAgeDays": "90"
                }
            }
        }
    ]
}
iam:ServiceSpecificCredentialServiceName

Fonctionne avec des opérateurs de chaîne.

Spécifie les services AWS qui peuvent être utilisés lors de la gestion des informations d’identification spécifiques aux services. Cette clé de condition vous permet de restreindre les services AWS autorisés lors de la gestion des informations d’identification spécifiques à un service.

Cette clé de condition est prise en charge par les opérations d’API suivante :

Les services suivants sont pris en charge pour les informations d’identification spécifiques au service avec leur formatage de valeur exact :

  • bedrock.amazonaws.com

  • cassandra.amazonaws.com

  • codecommit.amazonaws.com

Dans cet exemple, vous autorisez un utilisateur à créer des informations d’identification spécifiques au service à l’aide de l’opération d’API CreateServiceSpecificCredential uniquement pour le service Amazon Bedrock.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceSpecificCredential",
            "Resource": "arn:aws:iam::111122223333:user/username",
            "Condition": {
                "StringEquals": {
                    "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
                }
            }
        }
    ]
}

Clés disponibles pour la fédération OIDC AWS

Vous pouvez utiliser la fédération OIDC pour donner des informations d’identification temporaires aux utilisateurs qui ont été authentifiés via un fournisseur d’identité (IdP) compatible avec OpenID Connect (OP) à un fournisseur d’identité IAM OpenID Connect (OIDC) dans votre compte AWS. GitHub, Amazon Cognito, Login with Amazon et Google sont des exemples de fournisseurs de ce type. Des jetons d’identité et des jetons d’accès provenant de votre propre IdP peuvent être utilisés, ainsi que des jetons de compte de service accordés aux charges de travail d’Amazon Elastic Kubernetes Service.

Vous pouvez utiliser les clés de contexte de condition OIDC AWS pour créer des politiques qui limitent l’accès des principaux fédérés aux ressources associées à un fournisseur, une application ou un utilisateur spécifique. Ces clés sont généralement utilisées dans la politique d'approbation d'un rôle. Définissez les clés de condition en utilisant le nom du fournisseur OIDC (token.actions.githubusercontent.com) suivi d’une demande (:aud) : token.actions.githubusercontent.com:aud.

Certaines clés de condition de fédération OIDC peuvent être utilisées dans la session de rôle pour autoriser l’accès aux ressources. Si la valeur est Oui dans la colonne Disponible dans la session, vous pouvez utiliser ces clés de condition dans les politiques pour définir les accès des utilisateurs dans d’autres services AWS. Lorsqu’une demande n’est pas disponible dans la session, la clé de contexte de condition OIDC ne peut être utilisée que dans une politique d’approbation de rôle pour l’authentification initiale AssumeRoleWithWebIdentity.

Sélectionnez votre IdP pour voir comment les demandes de votre IdP sont mappées aux clés de contexte de condition IAM dans AWS. Vous trouverez plus d’informations sur les clés pour GitHub et Google dans l’onglet Par défaut.

Default

La valeur par défaut répertorie les demandes OIDC standard et la manière dont elles sont mappées aux clés de contexte de conditionAWS STS dans AWS. Vous pouvez utiliser ces clés pour contrôler l'accès à un rôle. Pour ce faire, comparez les clés de condition AWS STS aux valeurs de la colonne de demandes JWT IdP. Utilisez ce mappage si votre IdP n’est pas répertorié dans les options de l’onglet.

Les flux de travail GitHub Actions et Google sont quelques exemples d’IdP qui utilisent l’implémentation par défaut dans leur jeton d’identification JWT OIDC.

AWS STSClé de condition Demande JWT IdP Disponible dans la session

amr

amr

Oui

aud

azp

Si aucune valeur n’est définie pour azp, la clé de condition aud est mappée à la demande aud.

Oui

e-mail

e-mail

Non

oaud

aud

Non

sub

sub

Oui

Pour plus d’informations sur l’utilisation de clés de contexte de condition OIDC avec GitHub, consultez Configuration d'un rôle pour le fournisseur d'identité OIDC GitHub. Pour de plus amples informations sur les champs Google aud et azp, veuillez consulter le guide Google Identity Platform OpenID Connect.

amr

Fonctionne avec des opérateurs de chaîne. La clé comporte plusieurs valeurs, ce qui signifie que vous l'analysez dans une politique à l'aide d'opérateurs de définition de condition.

Exemple: token.actions.githubusercontent.com:amr

La référence des méthodes d’authentification inclut les informations de connexion de l’utilisateur. Elle contient les valeurs suivantes :

  • Si l'utilisateur n'est pas authentifié, la clé contient uniquement unauthenticated.

  • Si l’utilisateur est authentifié, la clé contient la valeur authenticated et le nom du fournisseur de connexions utilisé dans l’appel (accounts.google.com).

aud

Fonctionne avec des opérateurs de chaîne.

Exemples d:

  • accounts.google.com:aud

  • token.actions.githubusercontent.com:aud

Utilisez la clé de condition aud pour vérifier que le public correspond à celui spécifié dans la politique. Vous pouvez utiliser la clé aud avec la clé sub pour le même fournisseur d’identité.

Cette clé de condition est définie à partir des champs de jeton suivants :

  • aud pour les ID de client Google OAuth 2.0 de votre application, lorsque le champ azp n'est pas défini. Lorsque le champ azp est défini, le champ aud correspond à la clé de condition accounts.google.com:oaud.

  • azp lorsque le champ azp est défini. Cela peut se produire pour les applications hybrides au sein desquelles une application web et une application Android ont un ID de client Google OAuth 2.0 différent mais partagent le même projet d'API Google.

Lorsque vous écrivez une politique à l'aide de la clé de condition accounts.google.com:aud, vous devez savoir si l'application est une application hybride qui définit le champ azp.

azpChamp non défini

L'exemple de politique suivant fonctionne pour les applications non hybrides qui ne définissent pas le champ azp. Dans ce cas, la valeur du champ de jeton d'ID Google aud correspond à la fois aux valeurs de clé de condition accounts.google.com:aud et accounts.google.com:oaud.

JSON
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"Federated": "accounts.google.com"},
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "accounts.google.com:aud": "aud-value",
                    "accounts.google.com:oaud": "aud-value",
                    "accounts.google.com:sub": "sub-value"
                }
            }
        }
    ]
}

azpChamp défini

L'exemple de politique suivant fonctionne pour les applications hybrides qui définissent le champ azp. Dans ce cas, la valeur du champ de jeton d'ID Google aud correspond uniquement à la valeur de clé de condition accounts.google.com:oaud. La valeur du champ azp correspond à la valeur de clé de condition accounts.google.com:aud.

JSON
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"Federated": "accounts.google.com"},
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "accounts.google.com:aud": "azp-value",
                    "accounts.google.com:oaud": "aud-value",
                    "accounts.google.com:sub": "sub-value"
                }
            }
        }
    ]
}
e-mail

Fonctionne avec des opérateurs de chaîne.

Exemple: accounts.google.com:email

Cette clé de condition valide l’adresse e-mail de l’utilisateur. La valeur de cette demande peut ne pas être unique à ce compte et peut changer au fil du temps. Par conséquent, vous ne devez pas utiliser cette valeur comme identifiant principal pour vérifier votre enregistrement d’utilisateur.

oaud

Fonctionne avec des opérateurs de chaîne.

Exemple: accounts.google.com:oaud

Cette clé spécifie l’autre public (aud) auquel ce jeton d’ID est destiné. Il doit s'agir de l'un des ID client OAuth 2.0 de votre application.

sub

Fonctionne avec des opérateurs de chaîne.

Exemples d:

  • accounts.google.com:sub

  • token.actions.githubusercontent.com:sub

Utilisez ces clés pour vérifier que le sujet correspond à celui spécifié dans la politique. Vous pouvez utiliser la clé sub avec la clé aud pour le même fournisseur d'identité.

Dans la politique d’approbation des rôles suivante, la clé de condition sub limite le rôle à la branche GitHub nommée demo.

JSON
JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::111122223333:oidc-provider/token.actions.githubusercontent.com"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "token.actions.githubusercontent.com:aud": "sts.amazonaws.com",
          "token.actions.githubusercontent.com:sub": "repo:org-name/repo-name:ref:refs/heads/demo"
        }
      }
    }
  ]
}
Amazon Cognito

Cet onglet explique comment Amazon Cognito mappe les demandes OIDC pour les clés de contexte de condition AWS STS dans AWS. Vous pouvez utiliser ces clés pour contrôler l'accès à un rôle. Pour ce faire, comparez les clés de condition AWS STS aux valeurs de la colonne de demandes JWT IdP.

Pour les rôles utilisés par Amazon Cognito, les clés sont définies par l'URL cognito-identity.amazonaws.com suivie de la demande.

Pour plus d’informations sur le mappage des demandes relatives au groupe d’identités, consultez la section Mappages des fournisseurs par défaut dans le Guide du développeur Amazon Cognito. Pour plus d’informations sur le mappage des demandes relatives au groupe d’utilisateurs, consultez la section Utilisation du jeton d’identification dans le Guide du développeur Amazon Cognito.

AWS STSClé de condition Demande JWT IdP Disponible dans la session

amr

amr

Oui

aud

aud

Oui

oaud

aud

Non

sub

sub

Oui
amr

Fonctionne avec des opérateurs de chaîne. La clé comporte plusieurs valeurs, ce qui signifie que vous l'analysez dans une politique à l'aide d'opérateurs de définition de condition.

Exemplecognito-identity.amazonaws.com:amr

La référence des méthodes d’authentification inclut les informations de connexion de l’utilisateur. Elle contient les valeurs suivantes :

  • Si l'utilisateur n'est pas authentifié, la clé contient uniquement unauthenticated.

  • Si l’utilisateur est authentifié, la clé contient la valeur authenticated et le nom du fournisseur de connexions utilisé dans l’appel (cognito-identity.amazonaws.com).

Par exemple, la condition suivante de la politique d’approbation d’un rôle Amazon Cognito détermine si l’utilisateur n’est pas authentifié.

"Condition": {
  "StringEquals": 
    { "cognito-identity.amazonaws.com:aud": "us-east-2:identity-pool-id" },
  "ForAnyValue:StringLike": 
    { "cognito-identity.amazonaws.com:amr": "unauthenticated" }
}
aud

Fonctionne avec des opérateurs de chaîne.

Exemplecognito-identity.amazonaws.com:aud

Client d'application du groupe d'utilisateurs qui a authentifié l'utilisateur. Amazon Cognito affiche la même valeur dans le champ standard client_id du jeton d'accès.

oaud

Fonctionne avec des opérateurs de chaîne.

Exemplecognito-identity.amazonaws.com:oaud

Client d'application du groupe d'utilisateurs qui a authentifié l'utilisateur. Amazon Cognito affiche la même valeur dans le champ standard client_id du jeton d'accès.

sub

Fonctionne avec des opérateurs de chaîne.

Exemplecognito-identity.amazonaws.com:sub

Identifiant unique (UUID), ou sujet, de l'utilisateur authentifié. Le nom d'utilisateur n'est peut-être pas unique dans votre groupe d'utilisateurs. La sous-revendication est le meilleur moyen d’identifier un utilisateur donné. Vous pouvez utiliser la clé sub avec la clé aud pour le même fournisseur d'identité.

"Condition": {
         "StringEquals": {
            "cognito-identity.amazonaws.com:aud": "us-east-1:12345678-abcd-abcd-abcd-123456790ab",
            "cognito-identity.amazonaws.com:sub": [
               "us-east-1:12345678-1234-1234-1234-123456790ab",
               "us-east-1:98765432-1234-1234-1243-123456790ab"
            ]
         }
      }
Login with Amazon

Cet onglet explique comment Login with Amazon mappe les demandes OIDC pour les clés de contexte de condition AWS STS dans AWS. Vous pouvez utiliser ces clés pour contrôler l'accès à un rôle. Pour ce faire, comparez les clés de condition AWS STS aux valeurs de la colonne de demandes JWT IdP.

AWS STSClé de condition Demande JWT IdP Disponible dans la session

app_id

ID d'application

Oui

sub

ID de l'utilisateur

Oui

user_id

ID de l'utilisateur

Oui
app_id

Fonctionne avec des opérateurs de chaîne.

Exemplewww.amazon.com:app_id

Cette clé spécifie le contexte d’audience qui correspond au champ aud utilisé par d’autres fournisseurs d’identité.

sub

Fonctionne avec des opérateurs de chaîne.

Exemplewww.amazon.com:sub

Cette clé vérifie que l’ID utilisateur correspond à celui spécifié dans la politique. Vous pouvez utiliser la clé sub avec la clé aud pour le même fournisseur d'identité.

user_id

Fonctionne avec des opérateurs de chaîne.

Exemplewww.amazon.com:user_id

Cette clé spécifie le contexte d’audience qui correspond au champ aud utilisé par d’autres fournisseurs d’identité. Vous pouvez utiliser la clé user_id avec la clé id du même fournisseur d’identité.

Facebook

Cet onglet explique comment Facebook mappe les demandes OIDC pour les clés de contexte de condition AWS STS dans AWS. Vous pouvez utiliser ces clés pour contrôler l'accès à un rôle. Pour ce faire, comparez les clés de condition AWS STS aux valeurs de la colonne de demandes JWT IdP.

AWS STSClé de condition Demande JWT IdP Disponible dans la session

app_id

ID d'application

Oui

id

id

Oui
app_id

Fonctionne avec des opérateurs de chaîne.

Exemplegraph.facebook.com:app_id

Cette clé spécifie que le contexte d’audience correspond au champ aud utilisé par d’autres fournisseurs d’identité.

id

Fonctionne avec des opérateurs de chaîne.

Exemplegraph.facebook.com:id

Cette clé vérifie que l’ID de l’application (ou du site) correspond à celui spécifié dans la politique.

Plus d’informations sur la fédération OIDC

Clés disponibles pour la fédération SAML AWS STS

Si vous utilisez la fédération SAML avec AWS Security Token Service (AWS STS), vous pouvez inclure des clés de condition supplémentaires dans la politique.

Politiques d'approbation de rôle SAML

Dans la politique d'approbation d'un rôle, vous pouvez inclure les clés suivantes afin d'établir si le principal est autorisé à endosser le rôle. Hormis saml:doc, toutes les valeurs sont dérivées de l'assertion SAML. Tous les éléments de la liste sont disponibles dans l'éditeur visuel de la console IAM lorsque vous créez ou modifiez une politique avec des conditions. Les éléments marqués d'un [[] peuvent avoir une valeur qui est une liste du type spécifié.

saml:aud

Fonctionne avec des opérateurs de chaîne.

L'URL d'un point de terminaison auquel les assertions SAML sont présentées. La valeur de cette clé provient du champ SAML Recipient de l'assertion, non du champ Audience.

saml:commonName[]

Fonctionne avec des opérateurs de chaîne.

Attribut commonName.

saml:cn[]

Fonctionne avec des opérateurs de chaîne.

Attribut eduOrg.

saml:doc

Fonctionne avec des opérateurs de chaîne.

Représente le principal utilisé pour endosser le rôle. Le format est ID compte/nom convivial fournisseur, par exemple 123456789012/SAMLProviderName. La valeur ID compte fait référence au compte qui est propriétaire du fournisseur SAML.

saml:edupersonaffiliation[]

Fonctionne avec des opérateurs de chaîne.

Attribut eduPerson.

saml:edupersonassurance[]

Fonctionne avec des opérateurs de chaîne.

Attribut eduPerson.

saml:edupersonentitlement[]

Fonctionne avec des opérateurs de chaîne.

Attribut eduPerson.

saml:edupersonnickname[]

Fonctionne avec des opérateurs de chaîne.

Attribut eduPerson.

saml:edupersonorgdn

Fonctionne avec des opérateurs de chaîne.

Attribut eduPerson.

saml:edupersonorgunitdn[]

Fonctionne avec des opérateurs de chaîne.

Attribut eduPerson.

saml:edupersonprimaryaffiliation

Fonctionne avec des opérateurs de chaîne.

Attribut eduPerson.

saml:edupersonprimaryorgunitdn

Fonctionne avec des opérateurs de chaîne.

Attribut eduPerson.

saml:edupersonprincipalname

Fonctionne avec des opérateurs de chaîne.

Attribut eduPerson.

saml:edupersonscopedaffiliation[]

Fonctionne avec des opérateurs de chaîne.

Attribut eduPerson.

saml:edupersontargetedid[]

Fonctionne avec des opérateurs de chaîne.

Attribut eduPerson.

saml:eduorghomepageuri[]

Fonctionne avec des opérateurs de chaîne.

Attribut eduOrg.

saml:eduorgidentityauthnpolicyuri[]

Fonctionne avec des opérateurs de chaîne.

Attribut eduOrg.

saml:eduorglegalname[]

Fonctionne avec des opérateurs de chaîne.

Attribut eduOrg.

saml:eduorgsuperioruri[]

Fonctionne avec des opérateurs de chaîne.

Attribut eduOrg.

saml:eduorgwhitepagesuri[]

Fonctionne avec des opérateurs de chaîne.

Attribut eduOrg.

saml:givenName[]

Fonctionne avec des opérateurs de chaîne.

Attribut givenName.

saml:iss

Fonctionne avec des opérateurs de chaîne.

Auteur, représenté par un URN.

saml:mail[]

Fonctionne avec des opérateurs de chaîne.

Attribut mail.

saml:name[]

Fonctionne avec des opérateurs de chaîne.

Attribut name.

saml:namequalifier

Fonctionne avec des opérateurs de chaîne.

Valeur de hachage basée sur le nom convivial du fournisseur SAML. La valeur est la concaténation des valeurs suivantes, dans l'ordre et séparées par le caractère '/' :

  1. Valeur de la réponse Issuer (saml:iss)

  2. ID du compte AWS.

  3. Nom convivial (dernière partie de l'ARN) du fournisseur SAML dans IAM

La concaténation de l'ID de compte et du nom convivial du fournisseur SAML est disponible dans les politiques IAM en tant que clé saml:doc. Pour plus d’informations, veuillez consulter Identification unique des utilisateurs dans la fédération SAML.

saml:organizationStatus[]

Fonctionne avec des opérateurs de chaîne.

Attribut organizationStatus.

saml:primaryGroupSID[]

Fonctionne avec des opérateurs de chaîne.

Attribut primaryGroupSID.

saml:sub

Fonctionne avec des opérateurs de chaîne.

Objet de la demande, qui inclut une valeur qui identifie de manière unique un utilisateur individuel au sein d'une organisation (par exemple, _cbb88bf52c2510eabe00c1642d4643f41430fe25e3).

saml:sub_type

Fonctionne avec des opérateurs de chaîne.

Cette clé peut avoir la valeur persistent, transient, ou consister en l'URI Format complet des éléments Subject et NameID utilisés dans votre assertion SAML. La valeur persistent indique que la valeur de saml:sub reste la même pour l'utilisateur entre les sessions. Si la valeur est transient, l'utilisateur a une valeur saml:sub différente pour chaque session. Pour plus d'informations sur l'attribut NameID de l'élément Format, consultez Configuration d’assertions SAML pour la réponse d’authentification.

saml:surname[]

Fonctionne avec des opérateurs de chaîne.

Attribut surnameuid.

saml:uid[]

Fonctionne avec des opérateurs de chaîne.

Attribut uid.

saml:x500UniqueIdentifier[]

Fonctionne avec des opérateurs de chaîne.

Attribut x500UniqueIdentifier.

Pour obtenir des informations générales sur les attributs eduPerson et eduOrg, accédez au site Web EFEDS Wiki. Pour obtenir la liste des attributs eduPerson, consultez Spécifications des classes d'objets eduPerson (201602).

Les clés de condition dont le type est une liste peuvent inclure plusieurs valeurs. Pour créer des conditions dans la politique pour des valeurs de liste, vous pouvez utiliser des opérateurs de définition (ForAllValues, ForAnyValue). Par exemple, pour autoriser un utilisateur dont l'affiliation est « faculté » ou « personnel » (mais pas « étudiant »), vous pouvez utiliser la condition suivante : 

"Condition": {
   "ForAllValues:StringLike": {
     "saml:edupersonaffiliation":[ "faculty", "staff"] 
   }
}

Clés de contexte inter-services pour la fédération AWS STS basée sur SAML

Certaines clés de condition pour la fédération basée sur SAML peuvent être utilisées dans des demandes ultérieures pour autoriser des opérations AWS dans d'autres services et les appels AssumeRole. Il s'agit des clés de condition suivantes qui peuvent être utilisées dans les stratégies d'approbation des rôles lorsque les principaux fédérés endossent un autre rôle, ainsi que dans les stratégies de ressources d'autres services AWS pour autoriser l'accès aux ressources par les principaux fédérés. Pour plus d'informations sur l'utilisation de ces clés, consultez la section À propos de la fédération SAML 2.0.

Sélectionnez une clé de condition pour voir la description.

Note

Aucune autre clé de condition pour la fédération basée sur SAML n'est disponible à l'utilisation après la réponse d'authentification initiale du fournisseur d'identité (IdP) externe.

Clés disponibles pour AWS STS

Vous pouvez utiliser les clés de condition suivantes dans des politiques d'approbation de rôle IAM pour des rôles qui sont endossés à l'aide d'opérations AWS Security Token Service (AWS STS).

saml:sub

Fonctionne avec des opérateurs de chaîne.

Objet de la demande, qui inclut une valeur qui identifie de manière unique un utilisateur individuel au sein d'une organisation (par exemple, _cbb88bf52c2510eabe00c1642d4643f41430fe25e3).

sts:AWSServiceName

Fonctionne avec des opérateurs de chaîne.

Utilisez cette clé pour spécifier un service dans lequel un jeton porteur fonctionne. Lorsque vous utilisez cette clé de condition dans une politique, spécifiez le service à l'aide d'un principal service. Un principal de service est le nom d'un service qui peut être spécifié dans l'élément Principal d'une politique. Par exemple, codeartifact.amazonaws.com est le principal du service AWS CodeArtifact.

Disponibilité : cette clé est présente dans les demandes qui obtiennent un jeton porteur. Vous ne pouvez pas faire un appel direct vers l'interface AWS STS pour obtenir un jeton porteur. Lorsque vous effectuez certaines opérations dans d'autres services, le service demande le jeton au porteur en votre nom.

Certains services AWS nécessitent que vous ayez l'autorisation d'obtenir un jeton porteur du service AWS STS avant de pouvoir accéder à leurs ressources par programmation. Par exemple, AWS CodeArtifact exige des principaux qu'ils utilisent des jetons porteurs pour effectuer certaines opérations. La commande aws codeartifact get-authorization-token renvoie un jeton porteur. Vous pouvez ensuite utiliser le jeton porteur pour effectuer des opérations AWS CodeArtifact. Pour de plus amples informations sur les jetons porteurs, veuillez consulter Jeton porteur de service.

Vous pouvez utiliser cette clé de condition pour permettre aux entités d'obtenir un jeton porteur à utiliser avec un service spécifique.

sts:DurationSeconds

Fonctionne avec des opérateurs numériques.

Utilisez cette clé pour spécifier la durée (en secondes) qu'un principal peut utiliser lors de l'obtention d'un jeton porteur AWS STS.

Disponibilité : cette clé est présente dans les demandes qui obtiennent un jeton porteur. Vous ne pouvez pas faire un appel direct vers l'interface AWS STS pour obtenir un jeton porteur. Lorsque vous effectuez certaines opérations dans d'autres services, le service demande le jeton au porteur en votre nom. La clé n'est pas présente pour les opérations AWS STS assume-role.

Certains services AWS nécessitent que vous ayez l'autorisation d'obtenir un jeton porteur du service AWS STS avant de pouvoir accéder à leurs ressources par programmation. Par exemple, AWS CodeArtifact exige des principaux qu'ils utilisent des jetons porteurs pour effectuer certaines opérations. La commande aws codeartifact get-authorization-token renvoie un jeton porteur. Vous pouvez ensuite utiliser le jeton porteur pour effectuer des opérations AWS CodeArtifact. Pour de plus amples informations sur les jetons porteurs, veuillez consulter Jeton porteur de service.

sts:ExternalId

Fonctionne avec des opérateurs de chaîne.

Utilisez cette clé pour exiger qu'un principal fournisse un identifiant spécifique lors de la prise en charge d'un rôle IAM.

Disponibilité : cette clé est présente dans la demande lorsque le principal fournit un ID externe tout en endossant un rôle à l'aide de l'AWS CLI ou de l'API AWS.

Identifiant unique qui peut être requis lorsque vous endossez un rôle dans un autre compte. Si l'administrateur du compte auquel appartient le rôle vous a fourni un ID externe, indiquez cette valeur dans le paramètre ExternalId. Cette valeur peut être n'importe quelle chaîne, comme une phrase de passe ou un numéro de compte. La fonction principale de l'ID externe consiste à traiter et à prévenir le problème du député confus. Pour de plus amples informations sur l'ID externe et le problème du député confus, veuillez consulter Accès à des Comptes AWS appartenant à des tiers.

La valeur ExternalId peut avoir un minimum de 2 caractères et un maximum de 1 224 caractères. La valeur doit être alphanumérique sans espaces. Elle peut également inclure les symboles suivants : signe plus (+), signe égal (=), virgule (,), point (.), arobase (@), deux points (:), barre oblique (/) et tiret (-).

sts:RequestContext/context-key

Fonctionne avec des opérateurs de chaîne.

Utilisez cette clé pour comparer les paires clé-valeur du contexte de session intégrées dans l'assertion contextuelle signée par l'émetteur du jeton sécurisé transmise dans la demande avec les paires clé-valeurs spécifiées dans la politique de confiance des rôles.

Disponibilité : cette clé est présente dans la demande lorsqu’une assertion de contexte est fournie dans le paramètre de demande ProvidedContexts lorsqu’elle endosse un rôle au moyen de l’API AssumeRole AWS STS.

Cette clé de contexte a le format suivant : "sts:RequestContext/context-key":"context-value"context-key et context-value constituent une paire clé-valeur de contexte. Lorsque plusieurs clés de contexte sont intégrées dans l'assertion de contexte signée transmise dans la demande, il y a une clé de contexte pour chaque paire clé-valeur. Vous devez autoriser l'action sts:SetContext dans la politique de confiance des rôles afin de permettre à un principal de définir des clés de contexte dans le jeton de session obtenu. Pour en savoir plus sur les clés de contexte IAM Identity Center prises en charge qui peuvent être utilisées avec cette clé, consultez la section clés de condition AWS STS pour IAM Identity Center dans le Guide de l’utilisateur AWS IAM Identity Center.

Vous pouvez utiliser cette clé dans une politique de confiance des rôles pour appliquer un contrôle d'accès précis basé sur l'utilisateur ou ses attributs lorsqu'il endosse un rôle. Une fois le rôle endossé, l’activité apparaît dans les journaux AWS CloudTrail de l’attribut AdditionalEventData, contenant les paires clé-valeur du contexte de session définies par le fournisseur de contexte dans la demande d’attribution du rôle. Cela permet aux administrateurs de différencier plus facilement les sessions de rôle lorsqu'un rôle est utilisé par différents principaux. Les paires clé-valeur sont définies par le fournisseur de contexte spécifié, et non par AWS CloudTrail ou AWS STS. Cela permet au fournisseur de contexte de contrôler le contexte contenu dans les journaux et les informations de session CloudTrail.

sts:RequestContextProviders

Fonctionne avec des opérateurs ARN.

Utilisez cette clé pour comparer l'ARN du fournisseur de contexte dans la demande avec l'ARN du fournisseur de contexte spécifié dans la politique de confiance des rôles.

Disponibilité : cette clé est présente dans la demande lorsqu’une assertion de contexte est fournie dans le paramètre de demande ProvidedContexts lorsqu’elle endosse un rôle au moyen de l’API AssumeRole AWS STS.

L'exemple de condition suivant vérifie que l'ARN du fournisseur de contexte transmis dans la demande correspond à l'ARN spécifié dans la condition de politique d'approbation des rôles. Nous vous recommandons d’ajouter une vérification de valeur nulle avec ForAllValues afin d’éviter que les clés de contexte manquantes ou les clés de contexte avec des valeurs vides ne soient évaluées comme vraies. Pour en savoir plus, consultez Opérateur de condition pour vérifier l'existence de clés de condition .

JSON

{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Action": "sts:SetContext",
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
      "ForAllValues:ArnEquals": {
        "sts:RequestContextProviders": [
          "arn:aws:iam::aws:contextProvider/IdentityCenter"
        ]
      },
      "Null": {
        "sts:RequestContextProviders": "false"
      }
    }
  }
}
sts:RoleSessionName

Fonctionne avec des opérateurs de chaîne.

Utilisez cette clé pour comparer le nom de session spécifié par un principal lorsqu'il endosse un rôle avec la valeur spécifiée dans la politique.

Availability (Disponibilité) : cette clé est présente dans la demande lorsque le principal endosse le rôle à l'aide de la Console de gestion AWS Management Console, de la commande de CLI assume-role ou de l'opération d'API AWS STS AssumeRole.

Vous pouvez utiliser cette clé dans une politique d'approbation de rôle pour exiger que vos utilisateurs fournissent un nom de session spécifique lorsqu'ils endossent un rôle. Par exemple, vous pouvez exiger que les utilisateurs IAM spécifient leur propre nom d'utilisateur comme nom de session. Une fois que l'utilisateur IAM endosse le rôle, l'activité apparaît dans les journaux AWS CloudTrail sous le nom de session correspondant à son nom d'utilisateur. Cela permet aux administrateurs de différencier plus facilement les sessions de rôle lorsqu'un rôle est utilisé par différents principaux.

La politique d'approbation de rôle suivante exige que les utilisateurs IAM dans le compte 111122223333 fournissent leur nom d'utilisateur IAM comme nom de session lorsqu'ils endossent le rôle. Cette exigence est appliquée à l'aide de la variable de condition aws:username dans la clé de condition. Cette politique permet aux utilisateurs IAM d'endosser le rôle auquel la politique est attachée. Cette politique empêche quiconque utilise des informations d'identification temporaires d'endosser le rôle, car la variable username est uniquement présente pour les utilisateurs IAM.

Important

Vous pouvez utiliser n'importe quelle clé de condition à valeur unique comme variable. Vous ne pouvez pas utiliser de clé de condition à valeurs multiples en tant que variable.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RoleTrustPolicyRequireUsernameForSessionName",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Principal": {"AWS": "arn:aws:iam::111122223333:root"},
            "Condition": {
                "StringLike": {"sts:RoleSessionName": "prefix-${aws:username}"}
            }
        }
    ]
}

Lorsqu'un administrateur affiche le journal AWS CloudTrail d'une action, il peut comparer le nom de session aux noms d'utilisateurs de son compte. Dans l'exemple suivant, l'utilisateur appelé matjac a effectué l'opération en utilisant le rôle appelé MateoRole. L'administrateur peut alors contacter Mateo Jackson, dont le nom d'utilisateur est matjac.

    "assumedRoleUser": {
        "assumedRoleId": "AROACQRSTUVWRAOEXAMPLE:matjac",
        "arn": "arn:aws:sts::111122223333:assumed-role/MateoRole/matjac"
    }

Si vous autorisez l'accès entre comptes à l'aide de rôles, les utilisateurs d'un compte peuvent endosser un rôle dans un autre compte. L'ARN de l'utilisateur du rôle endossé répertorié dans CloudTrail inclut le compte où le rôle existe. Il n'inclut pas le compte de l'utilisateur qui a endossé le rôle. Les utilisateurs ne sont uniques qu'au sein d'un compte. Par conséquent, nous vous recommandons d'utiliser cette méthode pour vérifier les journaux CloudTrail uniquement pour les rôles endossés par les utilisateurs dans les comptes que vous administrez. Vos utilisateurs peuvent utiliser le même nom d'utilisateur dans plusieurs comptes.

sts:SourceIdentity

Fonctionne avec des opérateurs de chaîne.

Utilisez cette clé pour comparer l'identité source spécifiée par un principal lorsqu'il endosse un rôle avec la valeur spécifiée dans la politique.

Disponibilité : cette clé est présente dans la demande lorsque le principal fournit une identité source lorsqu'il endosse un rôle au moyen d'une commande de la CLI assume-role AWS STS ou d'une opération d'API AssumeRole AWS STS.

Vous pouvez utiliser cette clé dans une politique d'approbation de rôle pour exiger que vos utilisateurs définissent une identité source spécifique lorsqu'ils endossent un rôle. Par exemple, vous pouvez exiger que votre main-d'œuvre ou vos identités fédérées spécifient une valeur pour l'identité source. Vous pouvez configurer votre fournisseur d'identité (IdP) de sorte qu'il utilise l'un des attributs associés à vos utilisateurs, un nom d'utilisateur ou un e-mail par exemple, comme identité source. L'IdP transmet ensuite l'identité source sous forme d'attribut dans les assertions ou revendications qu'il envoie à AWS. La valeur de l'attribut d'identité source identifie l'utilisateur ou l'application qui endosse le rôle.

Une fois que l'utilisateur endosse le rôle, l'activité apparaît dans les journaux AWS CloudTrail avec la valeur d'identité source qui a été définie. Cela permet aux administrateurs de déterminer plus facilement qui ou quoi a effectué des actions avec un rôle dans AWS. Vous devez octroyer des autorisations pour l'action sts:SetSourceIdentity afin d'autoriser une identité à définir une identité source.

Contrairement à sts:RoleSessionName, une fois l'identité source définie, la valeur ne peut plus être modifiée. Elle est présente dans le contexte de la demande pour toutes les actions effectuées avec le rôle par l'identité source. La valeur persiste dans les sessions de rôle suivantes lorsque vous utilisez les informations d'identification de session pour endosser un autre rôle. Le fait d'endosser un rôle à partir d'un autre est appelé chaînage des rôles.

Vous pouvez utiliser la clé de condition globale aws:SourceIdentity pour renforcer le contrôle de l'accès aux ressources AWS en fonction de la valeur de l'identité source dans les demandes suivantes.

La politique de confiance de rôle suivante autorise l'utilisateur IAM AdminUserà endosser un rôle dans le compte 111122223333. Elle octroie également l'autorisation à l'interface AdminUser de définir une identité source, dans la mesure où l'identité source définie correspond à DiegoRamirez.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAdminUserAssumeRole",
            "Effect": "Allow",
            "Principal": {"AWS": " arn:aws:iam::111122223333:user/AdminUser"},
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity"
            ],
            "Condition": {
                "StringEquals": {"sts:SourceIdentity": "DiegoRamirez"}
            }
        }
    ]
}

Pour en savoir plus sur les informations relatives à l'identité source, veuillez consulter Surveiller et contrôler les actions prises avec les rôles endossés.

sts:TaskPolicyArn

Fonctionne avec des opérateurs ARN.

Utilisez cette clé pour comparer l’ARN de la politique d’une requête sts:AssumeRoot avec l’ARN de la politique spécifié dans la politique.

Disponibilité : cette clé est présente dans la requête lorsque vous effectuez une requête à l’aide de sts:AssumeRoot.

Les administrateurs peuvent utiliser cette clé de condition dans les politiques IAM pour empêcher certains rôles ou utilisateurs du compte de gestion ou du compte d’administrateur délégué d’effectuer certaines actions lorsqu’ils utilisent les informations d’identification racine. Pour de plus amples informations, consultez Réaliser une tâche privilégiée sur un compte membre AWS Organizations.

sts:TransitiveTagKeys

Fonctionne avec des opérateurs de chaîne.

Utilisez cette clé pour comparer les clés des balises de session transitoire de la demande avec celles spécifiées dans la politique.

Availability (Disponibilité) : cette clé est présente dans la demande lorsque vous effectuez une demande à l'aide d'informations d'identification de sécurité temporaires. Il s'agit notamment des informations d'identification créées à l'aide d'une opération assume-rôle, ou de l'opération GetFederationToken.

Lorsque vous effectuez une demande à l'aide d'informations d'identification de sécurité temporaires, le contexte de la demande inclut la clé de contexte aws:PrincipalTag. Cette clé inclut une liste de balises de session, de balises de session transitoire et de balises de rôle. Les balises de session transitoires sont des balises qui perdurent pendant toutes les sessions ultérieures lorsque vous utilisez les informations d'identification de session pour endosser un autre rôle. Le fait d'endosser un rôle à partir d'un autre est appelé chaînage des rôles.

Vous pouvez utiliser cette clé de condition dans une politique pour exiger la définition de balises de session spécifiques comme transitoires lorsque vous endossez un rôle ou fédérez un utilisateur.