Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS kunci konteks kondisi global
Ketika [kepala sekolah](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#principal) membuat [permintaan](intro-structure.md#intro-structure-request) AWS, AWS mengumpulkan informasi permintaan ke dalam [konteks permintaan](intro-structure.md#intro-structure-request). Anda dapat menggunakan elemen `Condition` dari kebijakan JSON untuk membandingkan kunci dalam konteks permintaan dengan nilai kunci yang Anda tentukan dalam kebijakan Anda. Informasi permintaan disediakan oleh sumber yang berbeda, termasuk prinsipal yang membuat permintaan, sumber daya permintaan dibuat terhadap, dan metadata tentang permintaan itu sendiri.
**Kunci kondisi global** dapat digunakan di semua AWS layanan. Meskipun kunci kondisi ini dapat digunakan di semua kebijakan, kunci tidak tersedia di setiap konteks permintaan. Misalnya, kunci `aws:SourceAccount` kondisi hanya tersedia ketika panggilan ke sumber daya Anda dilakukan langsung oleh [kepala AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services). Untuk mempelajari lebih lanjut tentang keadaan di mana kunci global disertakan dalam konteks permintaan, lihat Informasi **ketersediaan** untuk setiap kunci.
Beberapa layanan individu membuat kunci kondisi mereka sendiri yang tersedia dalam konteks permintaan untuk layanan lain. **Kunci kondisi lintas layanan** adalah jenis kunci kondisi global yang menyertakan awalan yang cocok dengan nama layanan, seperti `ec2:` atau`lambda:`, tetapi tersedia di seluruh layanan lain.
**Kunci kondisi khusus layanan** didefinisikan untuk digunakan dengan layanan individual AWS . Misalnya, Amazon S3 memungkinkan Anda menulis kebijakan dengan kunci `s3:VersionId` kondisi untuk membatasi akses ke versi tertentu dari objek Amazon S3. Kunci kondisi ini unik untuk layanan, artinya hanya berfungsi dengan permintaan ke layanan Amazon S3. Untuk kunci kondisi yang spesifik layanan, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS Layanan dan pilih layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) yang kuncinya ingin Anda lihat.
**catatan**
Jika Anda menggunakan kunci kondisi yang hanya tersedia dalam beberapa keadaan, Anda dapat menggunakan versi [IfExists](reference_policies_elements_condition_operators.md#Conditions_IfExists) dari operator kondisi. Jika kunci kondisi hilang dari konteks permintaan, kebijakan dapat gagal dalam evaluasi. Misalnya, gunakan blok berikut dengan operator `...IfExists` untuk mencocokkan saat permintaan berasal dari rentang IP tertentu atau dari VPC tertentu. Jika salah satu atau kedua kunci tidak disertakan dalam konteks permintaan, kondisi masih akan mengembalikan `true`. Nilai hanya diperiksa jika kunci yang ditentukan disertakan dalam konteks permintaan. Untuk informasi selengkapnya tentang bagaimana kebijakan dievaluasi ketika kunci tidak ada untuk operator lain, lihat [Operator kondisi](reference_policies_elements_condition_operators.md).
```
"Condition": {
"IpAddressIfExists": {"aws:SourceIp" : ["xxx"] },
"StringEqualsIfExists" : {"aws:SourceVpc" : ["yyy"]}
}
```
**penting**
Untuk membandingkan kondisi Anda terhadap konteks permintaan dengan beberapa nilai kunci, Anda harus menggunakan operator kumpulan `ForAllValues` atau `ForAnyValue`. Gunakan operator set hanya dengan kunci kondisi multivalued. Jangan gunakan operator set dengan kunci syarat bernilai tunggal. Untuk informasi selengkapnya, lihat [Tetapkan operator untuk kunci konteks multivaluasi](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).
| Properti kepala sekolah | Properti sesi peran | Properti jaringan | Properti dari sumber daya | Properti permintaan |
| --- | --- | --- | --- | --- |
| `aws:PrincipalArn` `aws:PrincipalAccount` `aws:PrincipalOrgPaths` `aws:PrincipalOrgID` `aws:PrincipalTag/*tag-key*` `aws:PrincipalIsAWSService` `aws:PrincipalServiceName` `aws:PrincipalServiceNamesList` `aws:PrincipalType` `aws:userid` `aws:username` | `aws:AssumedRoot` `aws:FederatedProvider` `aws:TokenIssueTime` `aws:MultiFactorAuthAge` `aws:MultiFactorAuthPresent` `aws:ChatbotSourceArn` `aws:Ec2InstanceSourceVpc` `aws:Ec2InstanceSourcePrivateIPv4` `aws:SourceIdentity` `ec2:RoleDelivery` `ec2:SourceInstanceArn` `glue:RoleAssumedBy` `glue:CredentialIssuingService` `codebuild:BuildArn` `codebuild:ProjectArn` `lambda:SourceFunctionArn` `ssm:SourceInstanceArn` `identitystore:UserId` | `aws:SourceIp` `aws:SourceVpc` `aws:SourceVpcArn` `aws:SourceVpce` `aws:VpceAccount` `aws:VpceOrgID` `aws:VpceOrgPaths` `aws:VpcSourceIp` | `aws:ResourceAccount` `aws:ResourceOrgID` `aws:ResourceOrgPaths` `aws:ResourceTag/*tag-key*` | `aws:CalledVia` `aws:CalledViaFirst` `aws:CalledViaLast` `aws:CalledViaAWSMCP` `aws:ViaAWSService` `aws:ViaAWSMCPService` `aws:CurrentTime` `aws:EpochTime` `aws:referer` `aws:RequestedRegion` `aws:RequestTag/*tag-key*` `aws:TagKeys` `aws:SecureTransport` `aws:SourceAccount` `aws:SourceArn` `aws:SourceOrgID` `aws:SourceOrgPaths` `aws:UserAgent` `aws:IsMcpServiceAction` |
## Kunci kondisi sensitif
Kunci kondisi berikut dianggap sensitif. Penggunaan wildcard dalam kunci kondisi ini tidak memiliki kasus penggunaan yang valid, bahkan dengan substring dari nilai kunci dengan wildcard. Ini karena wildcard dapat mencocokkan kunci kondisi dengan nilai apa pun, yang dapat menimbulkan risiko keamanan.
+ `aws:PrincipalAccount`
+ `aws:PrincipalOrgID`
+ `aws:ResourceAccount`
+ `aws:ResourceOrgID`
+ `aws:SourceAccount`
+ `aws:SourceOrgID`
+ `aws:SourceVpc`
+ `aws:SourceVpce`
+ `aws:VpceAccount`
+ `aws:VpceOrgID`
## Properti kepala sekolah
Gunakan tombol kondisi berikut untuk membandingkan detail tentang prinsipal yang membuat permintaan dengan properti utama yang Anda tentukan dalam kebijakan. Untuk daftar kepala sekolah yang dapat membuat permintaan, lihat. [Cara menentukan kepala sekolah](reference_policies_elements_principal.md#Principal_specifying)
### aws:PrincipalArn
Gunakan kunci ini untuk membandingkan [Amazon Resource Name](reference_identifiers.md#identifiers-arns) (ARN) prinsipal yang melakukan permintaan layanan ke layanan dengan ARN yang Anda tentukan dalam kebijakan. Untuk peran IAM, konteks permintaan memberikan ARN peran, bukan ARN pengguna yang mengambil peran tersebut.
+ **Ketersediaan** – Kunci ini disertakan dalam konteks permintaan untuk semua permintaan yang ditandatangani. Permintaan anonim tidak menyertakan kunci ini. Anda dapat menentukan jenis prinsipal berikut dalam kunci kondisi ini:
+ IAM Role
+ Pengguna IAM
+ AWS STS prinsipal pengguna federasi
+ Akun AWS pengguna root
+ **Tipe data** — ARN
AWS merekomendasikan agar Anda menggunakan operator [ARN alih-alih operator](reference_policies_elements_condition_operators.md#Conditions_ARN) [string saat membandingkan](reference_policies_elements_condition_operators.md#Conditions_String). ARNs
+ **Jenis nilai** - Bernilai tunggal
+ **Contoh nilai** Daftar berikut menunjukkan nilai konteks permintaan yang dikembalikan untuk berbagai jenis prinsipal yang dapat Anda tentukan dalam kunci kondisi: `aws:PrincipalArn`
+ **Peran IAM** - Konteks permintaan berisi nilai berikut untuk kunci `aws:PrincipalArn` kondisi. Jangan tentukan ARN sesi peran yang diasumsikan sebagai nilai untuk kunci kondisi ini. Untuk informasi lebih lanjut tentang kepala sesi peran yang diasumsikan, lihat[Kepala sesi peran](reference_policies_elements_principal.md#principal-role-session).
```
arn:aws:iam::123456789012:role/role-name
```
+ **Pengguna IAM** - Konteks permintaan berisi nilai berikut untuk kunci `aws:PrincipalArn` kondisi.
```
arn:aws:iam::123456789012:user/user-name
```
+ **AWS STS prinsip pengguna federasi - Konteks** permintaan berisi nilai berikut untuk kunci kondisi. `aws:PrincipalArn`
```
arn:aws:sts::123456789012:federated-user/user-name
```
+ **Akun AWS root user** - Konteks permintaan berisi nilai berikut untuk kunci kondisi`aws:PrincipalArn`. Saat Anda menentukan ARN pengguna root sebagai nilai untuk kunci `aws:PrincipalArn` kondisi, itu membatasi izin hanya untuk pengguna root. Akun AWS Ini berbeda dengan menentukan ARN pengguna root dalam elemen utama kebijakan berbasis sumber daya, yang mendelegasikan wewenang ke. Akun AWS Untuk informasi selengkapnya tentang menentukan ARN pengguna root di elemen utama kebijakan berbasis sumber daya, lihat. [Akun AWS kepala sekolah](reference_policies_elements_principal.md#principal-accounts)
```
arn:aws:iam::123456789012:root
```
Anda dapat menentukan ARN pengguna root sebagai nilai untuk kunci kondisi `aws:PrincipalArn` dalam kebijakan kontrol AWS Organizations layanan ()SCPs. SCPsadalah jenis kebijakan organisasi yang digunakan untuk mengelola izin di organisasi Anda dan hanya memengaruhi akun anggota di organisasi. SCP membatasi izin untuk pengguna dan peran IAM dalam akun anggota, termasuk pengguna akun anggota. *Untuk informasi selengkapnya tentang efek SCPs pada izin, lihat [Efek SCP pada izin di Panduan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions) Pengguna.AWS Organizations *
### aws:PrincipalAccount
Gunakan kunci ini untuk membandingkan akun yang memiliki prinsipal yang meminta dengan pengenal akun yang Anda tentukan dalam kebijakan. Untuk permintaan anonim, konteks permintaan akan ditampilkan`anonymous`.
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan untuk semua permintaan, termasuk permintaan anonim.
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
Dalam contoh berikut, akses ditolak kecuali ke kepala sekolah dengan nomor rekening. `123456789012`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyAccessFromPrincipalNotInSpecificAccount",
"Action": "service:*",
"Effect": "Deny",
"Resource": [
"arn:aws:service:us-east-1:111122223333:resource"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [
"123456789012"
]
}
}
}
]
}
```
------
### aws:PrincipalOrgPaths
Gunakan kunci ini untuk membandingkan AWS Organizations jalur bagi kepala sekolah yang membuat permintaan ke jalur dalam kebijakan. Prinsipal itu dapat berupa pengguna IAM, peran IAM, prinsipal pengguna AWS STS federasi, atau. Pengguna root akun AWS Dalam kebijakan, kunci kondisi ini memastikan bahwa pemohon adalah anggota akun dalam akar organisasi tertentu atau unit organisasi (OUs) di AWS Organizations. AWS Organizations Path adalah representasi teks dari struktur suatu AWS Organizations entitas. Untuk informasi lebih lanjut tentang cara menggunakan dan memahami jalur, lihat [Memahami jalur AWS Organizations entitas](access_policies_last-accessed-view-data-orgs.md#access_policies_last-accessed-viewing-orgs-entity-path).
+ **Ketersediaan** – Kunci ini disertakan dalam konteks permintaan hanya jika prinsipal merupakan anggota dari suatu organisasi. Permintaan anonim tidak menyertakan kunci ini.
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String) (daftar)
+ **Jenis nilai** — Multivalued
**catatan**
Organisasi IDs secara global unik tetapi OU IDs dan root IDs hanya unik dalam suatu organisasi. Ini berarti bahwa tidak ada dua organisasi yang memiliki ID organisasi yang sama. Namun, organisasi lain mungkin memiliki OU atau root dengan ID yang sama seperti milik Anda. Kami merekomendasikan agar Anda selalu menyertakan ID organisasi saat menentukan OU atau root.
Misalnya, kondisi berikut memberikan `true` untuk prinsipal dalam akun yang disematkan langsung ke OU `ou-ab12-22222222`, tetapi tidak dalam OUs anakannya.
```
"Condition" : { "ForAnyValue:StringEquals" : {
"aws:PrincipalOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/"]
}}
```
Kondisi berikut memberikan `true` untuk prinsipal di akun yang disematkan langsung ke OU atau salah satu OUs anakannya. Ketika Anda menyertakan wildcard, Anda harus menggunakan operator kondisi `StringLike`.
```
"Condition" : { "ForAnyValue:StringLike" : {
"aws:PrincipalOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/*"]
}}
```
Kondisi berikut kembali `true` untuk prinsipal dalam akun yang dilampirkan langsung ke salah satu anak OUs, tetapi tidak langsung ke OU orang tua. Kondisi sebelumnya ditujukan untuk OU atau turunannya. Kondisi berikut hanya ditujukan untuk turunannya (dan turunan dari turunan tersebut).
```
"Condition" : { "ForAnyValue:StringLike" : {
"aws:PrincipalOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/ou-*"]
}}
```
Kondisi berikut memungkinkan akses untuk setiap prinsipal dalam organisasi `o-a1b2c3d4e5`, terlepas dari OU indukannya.
```
"Condition" : { "ForAnyValue:StringLike" : {
"aws:PrincipalOrgPaths":["o-a1b2c3d4e5/*"]
}}
```
`aws:PrincipalOrgPaths` adalah kunci kondisi multinilai. Kunci multivalued dapat memiliki beberapa nilai dalam konteks permintaan. Saat Anda menggunakan beberapa nilai dengan operator kondisi `ForAnyValue`, jalur prinsipal harus sesuai dengan salah satu jalur yang tercantum dalam kebijakan. Untuk informasi selengkapnya tentang kunci kondisi multinilai ini, lihat [Tetapkan operator untuk kunci konteks multivaluasi](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).
```
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"o-a1b2c3d4e5/r-ab12/ou-ab12-33333333/*",
"o-a1b2c3d4e5/r-ab12/ou-ab12-22222222/*"
]
}
}
```
### aws:PrincipalOrgID
Gunakan kunci ini untuk membandingkan pengenal organisasi tempat prinsipal permintaan berada dengan pengenal yang ditentukan dalam kebijakan. AWS Organizations
+ **Ketersediaan** – Kunci ini disertakan dalam konteks permintaan hanya jika prinsipal merupakan anggota dari suatu organisasi. Permintaan anonim tidak menyertakan kunci ini.
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
Kunci global ini memberikan alternatif untuk mencantumkan semua akun IDs untuk semua AWS akun dalam suatu organisasi. Anda dapat menggunakan tombol kondisi ini untuk menyederhanakan penentuan elemen `Principal` dalam [kebijakan berbasis sumber daya](access_policies_identity-vs-resource.md). Anda dapat menentukan [ID organisasi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_details.html) dalam elemen kondisi. Saat Anda menambah dan menghapus akun, kebijakan yang mencakup kunci `aws:PrincipalOrgID` akan secara otomatis menyertakan akun yang benar dan tidak memerlukan pembaruan manual.
Misalnya, kebijakan bucket Amazon S3 berikut memungkinkan anggota akun mana pun di organisasi `o-xxxxxxxxxxx` untuk menambahkan objek ke dalam bucket `amzn-s3-demo-bucket`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "AllowPutObject",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {"StringEquals":
{"aws:PrincipalOrgID":"o-xxxxxxxxxxx"}
}
}
}
```
------
**catatan**
Kondisi global ini juga berlaku untuk akun manajemen suatu AWS organisasi. Kebijakan ini mencegah semua kepala sekolah di luar organisasi tertentu mengakses bucket Amazon S3. Ini termasuk AWS layanan apa pun yang berinteraksi dengan sumber daya internal Anda, seperti AWS CloudTrail mengirim data log ke bucket Amazon S3 Anda. Untuk mempelajari bagaimana Anda dapat memberikan akses AWS layanan dengan aman, lihat[aws:PrincipalIsAWSService](#condition-keys-principalisawsservice).
Untuk informasi lebih lanjut tentang AWS Organizations, lihat [Apa itu AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) dalam *AWS Organizations User Guide*.
### aws:PrincipalTag/*tag-key*
Gunakan kunci ini untuk membandingkan tanda yang dilampirkan ke prinsipal yang mengajukan permintaan dengan tanda yang Anda tentukan dalam kebijakan. Jika prinsipal memiliki lebih dari satu tag yang disematkan, konteks permintaan mencakup satu kunci `aws:PrincipalTag` untuk setiap kunci tag yang disematkan.
+ **Ketersediaan** – Kunci ini disertakan dalam konteks permintaan jika prinsipal menggunakan pengguna IAM dengan tag yang disematkan. Ini disertakan untuk prinsipal yang menggunakan peran IAM dengan tag yang disematkan atau [tag sesi](id_session-tags.md). Permintaan anonim tidak menyertakan kunci ini.
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
Anda dapat menambahkan atribut khusus ke pengguna atau peran dalam bentuk pasangan nilai kunci. Untuk informasi selengkapnya tentang tag IAM, lihat [Tag untuk AWS Identity and Access Management sumber daya](id_tags.md). Anda dapat menggunakan `aws:PrincipalTag` untuk [mengontrol akses](access_iam-tags.md#access_iam-tags_control-principals) untuk prinsipal AWS .
Contoh ini menunjukkan cara membuat kebijakan berbasis identitas yang memungkinkan pengguna dengan **department=hr** tag mengelola pengguna, grup, atau peran IAM. Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Lalu, ikuti petunjuk di [buat kebijakan](access_policies_create.md) atau [ubah kebijakan](access_policies_manage-edit.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:Get*",
"iam:List*",
"iam:Generate*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalTag/department": "hr"
}
}
}
]
}
```
------
### aws:PrincipalIsAWSService
Gunakan kunci ini untuk memeriksa apakah panggilan ke sumber daya Anda dilakukan langsung oleh [kepala AWS layanan](reference_policies_elements_principal.md#principal-services). Misalnya, AWS CloudTrail menggunakan prinsip layanan `cloudtrail.amazonaws.com` untuk menulis log ke bucket Amazon S3 Anda. Kunci konteks permintaan diatur ke benar ketika layanan menggunakan prinsipal layanan untuk melakukan tindakan langsung pada sumber daya Anda. Kunci konteks disetel ke false jika layanan menggunakan kredensyal dari prinsipal IAM untuk membuat permintaan atas nama kepala sekolah. Ini juga disetel ke false jika layanan menggunakan peran [layanan atau peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) untuk melakukan panggilan atas nama kepala sekolah.
+ **Ketersediaan** — Kunci ini hadir dalam konteks permintaan untuk semua permintaan API yang ditandatangani yang menggunakan AWS kredensyal. Permintaan anonim tidak menyertakan kunci ini.
+ **Tipe data** — [Boolean](reference_policies_elements_condition_operators.md#Conditions_Boolean)
+ **Jenis nilai** - Bernilai tunggal
Anda dapat menggunakan kunci kondisi ini untuk membatasi akses ke identitas tepercaya dan lokasi jaringan yang diharapkan sambil memberikan akses ke AWS layanan dengan aman.
Dalam contoh kebijakan bucket Amazon S3 berikut, akses ke bucket dibatasi kecuali permintaan tersebut berasal dari `vpc-111bbb22` atau berasal dari prinsipal layanan, seperti. CloudTrail
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ExpectedNetworkServicePrincipal",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/AWS Logs/AccountNumber/*",
"Condition": {
"StringNotEqualsIfExists": {
"aws:SourceVpc": "vpc-111bbb22"
},
"BoolIfExists": {
"aws:PrincipalIsAWSService": "false"
}
}
}
]
}
```
------
Dalam video berikut, pelajari selengkapnya tentang cara menggunakan kunci kondisi `aws:PrincipalIsAWSService` dalam kebijakan.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/gv-_H8a42G4)
### aws:PrincipalServiceName
Gunakan kunci ini untuk membandingkan nama [prinsipal layanan](reference_policies_elements_principal.md#principal-services) dalam kebijakan dengan prinsipal layanan yang membuat permintaan untuk sumber daya Anda. Anda dapat menggunakan kunci ini untuk memeriksa apakah panggilan ini dibuat oleh prinsipal layanan tertentu. Ketika prinsipal layanan membuat permintaan langsung ke sumber daya Anda,kunci `aws:PrincipalServiceName`berisi nama prinsipal layanan. Misalnya, nama utama AWS CloudTrail layanan adalah`cloudtrail.amazonaws.com`.
+ **Ketersediaan** — Kunci ini ada dalam permintaan saat panggilan dilakukan oleh kepala AWS layanan. Kunci ini tidak ada dalam situasi lain, termasuk berikut ini:
+ Jika layanan menggunakan peran [layanan atau peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) untuk melakukan panggilan atas nama kepala sekolah.
+ Jika layanan menggunakan kredensi kepala IAM untuk mengajukan permintaan atas nama kepala sekolah.
+ Jika panggilan dilakukan langsung oleh kepala sekolah IAM.
+ Jika panggilan dilakukan oleh pemohon anonim.
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
Anda dapat menggunakan kunci kondisi ini untuk membatasi akses ke identitas tepercaya dan lokasi jaringan yang diharapkan sambil memberikan akses ke layanan dengan aman. AWS
Dalam contoh kebijakan bucket Amazon S3 berikut, akses ke bucket dibatasi kecuali permintaan tersebut berasal dari `vpc-111bbb22` atau berasal dari prinsipal layanan, seperti. CloudTrail
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ExpectedNetworkServicePrincipal",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/AWS Logs/AccountNumber/*",
"Condition": {
"StringNotEqualsIfExists": {
"aws:SourceVpc": "vpc-111bbb22",
"aws:PrincipalServiceName": "cloudtrail.amazonaws.com"
}
}
}
]
}
```
------
### aws:PrincipalServiceNamesList
Kunci ini menyediakan daftar semua nama [prinsipal layanan](reference_policies_elements_principal.md#principal-services) yang termasuk dalam layanan. Ini adalah kunci kondisi lanjutan. Anda dapat menggunakannya untuk membatasi layanan dari mengakses sumber daya Anda hanya dari Wilayah tertentu. Beberapa layanan dapat membuat prinsipal layanan Regional untuk menunjukkan instans layanan tertentu dalam Wilayah tertentu. Anda dapat membatasi akses ke sumber daya untuk instans layanan tertentu. Saat prinsipal layanan membuat permintaan langsung ke sumber daya Anda, `aws:PrincipalServiceNamesList` berisi daftar seluruh nama prinsipal layanan yang tidak diurutkan yang terkait dengan instans Regional layanan.
+ **Ketersediaan** — Kunci ini ada dalam permintaan saat panggilan dilakukan oleh kepala AWS layanan. Kunci ini tidak ada dalam situasi lain, termasuk berikut ini:
+ Jika layanan menggunakan peran [layanan atau peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) untuk melakukan panggilan atas nama kepala sekolah.
+ Jika layanan menggunakan kredensi kepala IAM untuk mengajukan permintaan atas nama kepala sekolah.
+ Jika panggilan dilakukan langsung oleh kepala sekolah IAM.
+ Jika panggilan dilakukan oleh pemohon anonim.
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String) (daftar)
+ **Jenis nilai** — Multivalued
`aws:PrincipalServiceNamesList` adalah kunci kondisi multinilai. Kunci multivalued dapat memiliki beberapa nilai dalam konteks permintaan. Anda harus menggunakan `ForAnyValue` atau `ForAllValues` mengatur operator dengan [operator kondisi string](reference_policies_elements_condition_operators.md#Conditions_String) untuk kunci ini. Untuk informasi selengkapnya tentang kunci kondisi multinilai ini, lihat [Tetapkan operator untuk kunci konteks multivaluasi](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).
### aws:PrincipalType
Gunakan kunci ini untuk membandingkan tipe prinsipal yang membuat permintaan dengan tipe prinsipal yang Anda sebutkan dalam kebijakan. Untuk informasi selengkapnya, lihat [Cara menentukan kepala sekolah](reference_policies_elements_principal.md#Principal_specifying). Untuk contoh spesifik dari nilai-nilai `principal` kunci, lihat[Nilai-nilai kunci utama](reference_policies_variables.md#principaltable).
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan untuk semua permintaan, termasuk permintaan anonim.
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
### aws:userid
Gunakan kunci ini untuk membandingkan pengenal prinsipal pemohon dengan ID yang Anda tentukan dalam kebijakan. Untuk pengguna IAM, nilai konteks permintaan adalah ID pengguna. Untuk peran IAM, format nilai ini dapat bervariasi. Untuk detail tentang bagaimana informasi tersebut muncul untuk prinsipal yang berbeda, lihat [Cara menentukan kepala sekolah](reference_policies_elements_principal.md#Principal_specifying). Untuk contoh spesifik dari nilai-nilai `principal` kunci, lihat[Nilai-nilai kunci utama](reference_policies_variables.md#principaltable).
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan untuk semua permintaan, termasuk permintaan anonim.
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
### aws:username
Gunakan kunci ini untuk membandingkan nama pengguna pemohon dengan nama pengguna yang Anda sebutkan dalam kebijakan. Untuk detail tentang bagaimana informasi tersebut muncul untuk prinsipal yang berbeda, lihat [Cara menentukan kepala sekolah](reference_policies_elements_principal.md#Principal_specifying). Untuk contoh spesifik dari nilai-nilai `principal` kunci, lihat[Nilai-nilai kunci utama](reference_policies_variables.md#principaltable).
+ **Ketersediaan** – Kunci ini selalu disertakan dalam konteks permintaan untuk pengguna IAM. Permintaan dan permintaan anonim yang dibuat menggunakan peran Pengguna root akun AWS atau IAM tidak menyertakan kunci ini. Permintaan yang dibuat menggunakan kredensyal IAM Identity Center tidak menyertakan kunci ini dalam konteksnya.
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
## Properti sesi peran
Gunakan tombol kondisi berikut untuk membandingkan properti sesi peran pada saat sesi dibuat. Kunci kondisi ini hanya tersedia jika permintaan dibuat oleh prinsipal dengan sesi peran atau kredensyal utama pengguna gabungan. Nilai untuk kunci kondisi ini disematkan dalam token sesi peran.
[Peran](reference_policies_elements_principal.md#principal-roles) adalah jenis kepala sekolah. Anda juga dapat menggunakan kunci kondisi dari [Properti kepala sekolah](#condition-keys-principal-properties) bagian untuk mengevaluasi properti peran saat peran membuat permintaan.
### aws:AssumedRoot
Gunakan kunci ini untuk memeriksa apakah permintaan dibuat menggunakan [AssumeRoot](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html). `AssumeRoot`mengembalikan kredensi jangka pendek untuk sesi pengguna root istimewa yang dapat Anda gunakan untuk mengambil tindakan istimewa pada akun anggota di organisasi Anda. Untuk informasi selengkapnya, lihat [Kelola akses root untuk akun anggota secara terpusat](id_root-user.md#id_root-user-access-management).
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan hanya jika prinsipal menggunakan kredensil dari [AssumeRoot](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html)untuk membuat permintaan.
+ **Tipe data** — [Boolean](reference_policies_elements_condition_operators.md#Conditions_Boolean)
+ **Jenis nilai** - Bernilai tunggal
Dalam contoh berikut, ketika digunakan sebagai kebijakan kontrol layanan, menyangkal penggunaan kredensil jangka panjang dari pengguna root di akun AWS Organizations anggota. Kebijakan ini tidak menolak `AssumeRoot` sesi dari mengambil tindakan yang diizinkan oleh `AssumeRoot` sesi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Deny",
"Action":"*",
"Resource": "*",
"Condition":{
"ArnLike":{
"aws:PrincipalArn":[
"arn:aws:iam::*:root"
]
},
"Null":{
"aws:AssumedRoot":"true"
}
}
}
]
}
```
------
### aws:FederatedProvider
Gunakan kunci ini untuk membandingkan penyedia identitas penerbit (iDP) prinsipal dengan iDP yang Anda tentukan dalam kebijakan. Ini berarti bahwa peran IAM diasumsikan menggunakan [https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRoleWithWebIdentity](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRoleWithWebIdentity) AWS STS operasi. Bila kredensi sementara sesi peran yang dihasilkan digunakan untuk membuat permintaan, konteks permintaan mengidentifikasi IDP yang mengautentikasi identitas federasi asli.
+ **Ketersediaan** — Kunci ini hadir dalam sesi peran peran yang diasumsikan menggunakan penyedia OpenID Connect (OIDC), dan dalam kebijakan role-trust ketika penyedia OIDC digunakan untuk menelepon. `AssumeRoleWithWebIdentity`
+ **Tipe data** - [String\$1](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
\$1 Tipe data tergantung pada IDP Anda:
+ **Jika Anda menggunakan AWS iDP bawaan, seperti [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/iam-roles.html), nilai kuncinya adalah string.** Nilai kuncinya mungkin terlihat seperti:`cognito-identity.amazonaws.com`.
+ **Jika Anda menggunakan iDP yang tidak built-in ke AWS, like atau [https://docs.github.com/en/actions/security-for-github-actions/security-hardening-your-deployments/configuring-openid-connect-in-amazon-web-services](https://docs.github.com/en/actions/security-for-github-actions/security-hardening-your-deployments/configuring-openid-connect-in-amazon-web-services)[Amazon EKS](https://docs.aws.amazon.com//eks/latest/userguide/associate-service-account-role.html), nilai kuncinya adalah ARN.** Nilai kuncinya mungkin terlihat seperti:`arn:aws:iam::111122223333:oidc-provider/oidc.eks.region.amazonaws.com/id/OIDC_Provider_ID`.
Untuk informasi lebih lanjut tentang eksternal IdPs dan`AssumeRoleWithWebIDentity`, lihat[Skenario umum](id_federation_common_scenarios.md). Untuk informasi selengkapnya, lihat [Kepala sesi peran](reference_policies_elements_principal.md#principal-role-session).
### aws:TokenIssueTime
Gunakan kunci ini untuk membandingkan tanggal dan waktu saat kredensial keamanan sementara dikeluarkan dengan tanggal dan waktu yang Anda tentukan dalam kebijakan.
+ **Ketersediaan** – Kunci ini disertakan dalam konteks permintaan hanya jika prinsipal menggunakan kredensial sementara untuk membuat permintaan. Kuncinya tidak ada dalam AWS CLI, AWS API, atau permintaan AWS SDK yang dibuat menggunakan kunci akses.
+ **Tipe data** - [Tanggal](reference_policies_elements_condition_operators.md#Conditions_Date)
+ **Jenis nilai** - Bernilai tunggal
Untuk mempelajari layanan mana yang mendukung penggunaan kredensial sementara, lihat [AWS layanan yang bekerja dengan IAM](reference_aws-services-that-work-with-iam.md).
### aws:MultiFactorAuthAge
Gunakan kunci ini untuk membandingkan jumlah detik sejak prinsipal yang meminta diberi kewenangan menggunakan MFA dengan nomor yang Anda sebutkan dalam kebijakan. Untuk informasi selengkapnya tentang MFA, lihat [AWS Otentikasi multi-faktor di IAM](id_credentials_mfa.md).
**penting**
Kunci kondisi ini tidak ada untuk identitas gabungan atau permintaan yang dibuat menggunakan kunci akses untuk menandatangani permintaan AWS CLI, AWS API, atau SDK. AWS Untuk mempelajari selengkapnya tentang menambahkan perlindungan MFA ke operasi API dengan kredenal keamanan sementara, lihat. [Akses API aman dengan MFA](id_credentials_mfa_configure-api-require.md)
Untuk memeriksa apakah MFA digunakan untuk memvalidasi identitas federasi IAM, Anda dapat meneruskan metode otentikasi dari penyedia identitas Anda ke tag sesi. AWS Lihat perinciannya di [Lulus tag sesi di AWS STS](id_session-tags.md). Untuk menerapkan MFA untuk identitas Pusat Identitas IAM, Anda [dapat mengaktifkan atribut untuk kontrol akses untuk](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac.html) meneruskan klaim pernyataan SAMP dengan metode otentikasi dari penyedia identitas Anda ke IAM Identity Center.
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan hanya jika prinsipal menggunakan [kredensil keamanan sementara](id_credentials_temp.md) untuk membuat permintaan. Kebijakan dengan kondisi MFA dapat dilampirkan pada:
+ Pengguna atau grup IAM
+ Sumber daya seperti bucket Amazon S3, antrean Amazon Amazon SQS, atau topik Amazon SNS
+ Kebijakan kepercayaan dari peran IAM yang dapat diasumsikan oleh pengguna
+ **Tipe data** - [Numerik](reference_policies_elements_condition_operators.md#Conditions_Numeric)
+ **Jenis nilai** - Bernilai tunggal
### aws:MultiFactorAuthPresent
Gunakan kunci ini untuk memeriksa apakah otentikasi multi-faktor (MFA) digunakan untuk memvalidasi [kredenal keamanan sementara](id_credentials_temp.md) yang membuat permintaan.
**penting**
Kunci kondisi ini tidak ada untuk identitas gabungan atau permintaan yang dibuat menggunakan kunci akses untuk menandatangani permintaan AWS CLI, AWS API, atau SDK. AWS Untuk mempelajari selengkapnya tentang menambahkan perlindungan MFA ke operasi API dengan kredenal keamanan sementara, lihat. [Akses API aman dengan MFA](id_credentials_mfa_configure-api-require.md)
Untuk memeriksa apakah MFA digunakan untuk memvalidasi identitas federasi IAM, Anda dapat meneruskan metode otentikasi dari penyedia identitas Anda ke tag sesi. AWS Lihat perinciannya di [Lulus tag sesi di AWS STS](id_session-tags.md). Untuk menerapkan MFA untuk identitas Pusat Identitas IAM, Anda [dapat mengaktifkan atribut untuk kontrol akses untuk](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac.html) meneruskan klaim pernyataan SAMP dengan metode otentikasi dari penyedia identitas Anda ke IAM Identity Center.
+ **Ketersediaan** – Kunci ini disertakan dalam konteks permintaan hanya jika prinsipal menggunakan kredensial sementara untuk membuat permintaan. Kebijakan dengan kondisi MFA dapat dilampirkan pada:
+ Pengguna atau grup IAM
+ Sumber daya seperti bucket Amazon S3, antrean Amazon Amazon SQS, atau topik Amazon SNS
+ Kebijakan kepercayaan dari peran IAM yang dapat diasumsikan oleh pengguna
+ **Tipe data** — [Boolean](reference_policies_elements_condition_operators.md#Conditions_Boolean)
+ **Jenis nilai** - Bernilai tunggal
Kredensi sementara digunakan untuk mengautentikasi peran IAM dan pengguna IAM dengan token sementara dari [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)atau [GetSessionToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html), dan pengguna. Konsol Manajemen AWS
Kunci akses pengguna IAM adalah kredensil jangka panjang, tetapi dalam beberapa kasus, AWS membuat kredensil sementara atas nama pengguna IAM untuk melakukan operasi. Dalam kasus ini, kunci `aws:MultiFactorAuthPresent` tersedia dalam permintaan dan diatur ke nilai `false`. Ada dua kasus umum hal ini bisa terjadi:
+ Pengguna IAM secara Konsol Manajemen AWS tidak sadar menggunakan kredensi sementara. Pengguna masuk ke konsol menggunakan nama pengguna dan kata sandi yang merupakan kredensial jangka panjang. Namun, di latar belakang, konsol membuat kredensial sementara atas nama pengguna.
+ Jika pengguna IAM melakukan panggilan ke AWS layanan, layanan menggunakan kembali kredensi pengguna untuk membuat permintaan lain ke layanan lain. Misalnya, saat memanggil Athena untuk mengakses bucket Amazon S3, atau saat CloudFormation menggunakan untuk membuat instans Amazon EC2. Untuk permintaan berikutnya, AWS gunakan kredensi sementara.
Untuk mempelajari layanan mana yang mendukung penggunaan kredensial sementara, lihat [AWS layanan yang bekerja dengan IAM](reference_aws-services-that-work-with-iam.md).
Kunci `aws:MultiFactorAuthPresent` tidak tersedia ketika perintah API atau CLI disebut kredensial jangka panjang, seperti pasangan access key pengguna. Oleh karena itu, kami merekomendasikan bahwa ketika Anda memeriksa kunci ini, Anda menggunakan versi `...IfExists` dari operator kondisi.
Penting untuk dipahami bahwa elemen `Condition` ***bukan*** merupakan suatu cara yang andal untuk memastikan apakah permintaan diautentikasi menggunakan MFA.
```
##### WARNING: NOT RECOMMENDED #####
"Effect" : "Deny",
"Condition" : { "Bool" : { "aws:MultiFactorAuthPresent" : "false" } }
```
Kombinasi dari efek `Deny`, elemen `Bool`, dan nilai `false` menolak permintaan yang dapat diautentikasi menggunakan MFA, tetapi tidak. Ini hanya berlaku untuk kredensial sementara yang mendukung penggunaan MFA. Pernyataan ini tidak menolak akses ke permintaan yang dilakukan menggunakan kredensial jangka panjang, atau permintaan yang diautentikasi menggunakan MFA. Gunakan contoh ini dengan hati-hati karena logikanya rumit dan tidak menguji apakah otentikasi-MFA benar-benar digunakan.
Jangan juga menggunakan kombinasi efek `Deny`, elemen `Null`, dan `true` karena contoh berperilaku dengan cara yang sama dan logikanya bahkan lebih rumit.
**Kombinasi yang Direkomendasikan**
Kami sarankan Anda menggunakan operator [`BoolIfExists`](reference_policies_elements_condition_operators.md#Conditions_IfExists) untuk memastikan permintaan teraotentikasi menggunakan MFA ataukah tidak.
```
"Effect" : "Deny",
"Condition" : { "BoolIfExists" : { "aws:MultiFactorAuthPresent" : "false" } }
```
Kombinasi dari `Deny`, `BoolIfExists`, dan `false` menolak permintaan yang tidak diautentikasi menggunakan MFA. Secara khusus, operator ini menolak permintaan dari kredensial sementara yang tidak menyertakan MFA. Ini juga menyangkal permintaan yang dibuat menggunakan kredensyal jangka panjang, seperti AWS CLI atau operasi AWS API yang dibuat menggunakan kunci akses. Operator `*IfExists` memeriksa keberadaan kunci `aws:MultiFactorAuthPresent` dan apakah bisa tersedia atau tidak, sebagaimana yang ditunjukkan oleh keberadaannya. Gunakan ini saat Anda ingin menolak permintaan yang tidak diautentikasi menggunakan MFA. Ini lebih aman, tetapi dapat merusak kode atau skrip apa pun yang menggunakan kunci akses untuk mengakses AWS CLI atau AWS API.
**Kombinasi Alternatif**
Anda juga dapat menggunakan [`BoolIfExists`](reference_policies_elements_condition_operators.md#Conditions_IfExists)operator untuk mengizinkan permintaan yang diautentikasi MFA dan AWS CLI atau permintaan AWS API yang dibuat menggunakan kredensil jangka panjang.
```
"Effect" : "Allow",
"Condition" : { "BoolIfExists" : { "aws:MultiFactorAuthPresent" : "true" } }
```
Kondisi ini cocok jika kunci ada dan tersedia **atau** jika kunci tidak ada. Kombinasi dari `Allow`, `BoolIfExists`, dan `true` mengaktifkan permintaan yang diautentikasi menggunakan MFA, atau permintaan yang tidak dapat diautentikasi menggunakan MFA. Ini berarti AWS CLI, operasi AWS API, dan AWS SDK diizinkan ketika pemohon menggunakan kunci akses jangka panjangnya. Kombinasi ini tidak memungkinkan permintaan dari kredensial sementara yang bisa, tetapi tidak menyertakan MFA.
Saat Anda membuat kebijakan menggunakan editor visual konsol IAM dan memilih **MFA yang diperlukan**, kombinasi ini akan diterapkan. Pengaturan ini memerlukan MFA untuk akses konsol, tetapi memungkinkan akses terprogram tanpa MFA.
Atau, Anda dapat menggunakan operator `Bool` hanya untuk permintaan terprogram dan konsol saat diautentikasi menggunakan MFA.
```
"Effect" : "Allow",
"Condition" : { "Bool" : { "aws:MultiFactorAuthPresent" : "true" } }
```
Kombinasi dari `Allow`, `Bool`, dan `true` hanya mengizinkan permintaan yang diautentikasi oleh MFA. Ini hanya berlaku untuk kredensial sementara yang mendukung penggunaan MFA. Pernyataan ini tidak memungkinkan akses ke permintaan yang dilakukan menggunakan access key jangka panjang, atau untuk permintaan yang dilakukan menggunakan kredensial sementara tanpa MFA.
***Jangan*** gunakan susunan kebijakan yang serupa dengan yang berikut ini untuk memastikan adanya kunci MFA atau tidak:
```
##### WARNING: USE WITH CAUTION #####
"Effect" : "Allow",
"Condition" : { "Null" : { "aws:MultiFactorAuthPresent" : "false" } }
```
Kombinasi dari efek `Allow`, elemen `Null`, dan nilai `false` hanya memungkinkan permintaan yang dapat diautentikasi menggunakan MFA, terlepas dari apakah permintaan tersebut benar-benar diautentikasi. Ini memungkinkan semua permintaan yang dibuat menggunakan kredensial sementara, dan menolak akses untuk kredensial jangka panjang. Gunakan contoh ini dengan hati-hati karena tidak menguji apakah autentikasi MFA benar-benar digunakan.
### aws:ChatbotSourceArn
Gunakan kunci ini untuk membandingkan konfigurasi obrolan sumber ARN yang ditetapkan oleh prinsipal dengan ARN konfigurasi obrolan yang Anda tentukan dalam kebijakan peran IAM yang terkait dengan konfigurasi saluran Anda. Anda dapat mengotorisasi permintaan berdasarkan sesi peran asumsikan yang diprakarsai oleh Pengembang Amazon Q di aplikasi obrolan.
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan oleh Pengembang Amazon Q di layanan aplikasi obrolan setiap kali sesi peran diasumsikan. Nilai kuncinya adalah ARN konfigurasi obrolan, seperti saat Anda [menjalankan AWS CLI perintah dari saluran obrolan](https://docs.aws.amazon.com/chatbot/latest/adminguide/chatbot-cli-commands.html).
+ **Tipe data** — [ARN](reference_policies_elements_condition_operators.md#Conditions_ARN)
+ **Jenis nilai** - Bernilai tunggal
+ **Nilai contoh** - `arn:aws::chatbot::123456789021:chat-configuration/slack-channel/private_channel`
Kebijakan berikut menolak permintaan Amazon S3 menempatkan pada bucket yang ditentukan untuk semua permintaan yang berasal dari saluran Slack.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ExampleS3Deny",
"Effect": "Deny",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"ArnLike": {
"aws:ChatbotSourceArn": "arn:aws:chatbot::*:chat-configuration/slack-channel/*"
}
}
}
]
}
```
------
### aws:Ec2InstanceSourceVpc
Kunci ini mengidentifikasi VPC tempat kredensyal peran Amazon EC2 IAM dikirimkan. Anda dapat menggunakan kunci ini dalam kebijakan dengan kunci [`aws:SourceVPC`](#condition-keys-sourcevpc)global untuk memeriksa apakah panggilan dilakukan dari VPC (`aws:SourceVPC`) yang cocok dengan VPC tempat kredensi dikirimkan ke (). `aws:Ec2InstanceSourceVpc`
+ **Ketersediaan** - Kunci ini disertakan dalam konteks permintaan setiap kali pemohon menandatangani permintaan dengan kredensi peran Amazon EC2. Ini dapat digunakan dalam kebijakan IAM, kebijakan kontrol layanan, kebijakan titik akhir VPC, dan kebijakan sumber daya.
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
Kunci ini dapat digunakan dengan nilai pengidentifikasi VPC, tetapi paling berguna bila digunakan sebagai variabel yang dikombinasikan dengan kunci konteks. `aws:SourceVpc` Kunci `aws:SourceVpc` konteks disertakan dalam konteks permintaan hanya jika pemohon menggunakan titik akhir VPC untuk membuat permintaan. Menggunakan `aws:Ec2InstanceSourceVpc` dengan `aws:SourceVpc` memungkinkan Anda untuk menggunakan `aws:Ec2InstanceSourceVpc` lebih luas karena membandingkan nilai yang biasanya berubah bersama.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RequireSameVPC",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:SourceVpc": "${aws:Ec2InstanceSourceVpc}"
},
"Null": {
"ec2:SourceInstanceARN": "false"
},
"BoolIfExists": {
"aws:ViaAWSService": "false"
}
}
}
]
}
```
------
Pada contoh di atas, akses ditolak jika `aws:SourceVpc` nilainya tidak sama dengan `aws:Ec2InstanceSourceVpc` nilainya. Pernyataan kebijakan dibatasi hanya pada peran yang digunakan sebagai peran instans Amazon EC2 dengan menguji keberadaan kunci `ec2:SourceInstanceARN` kondisi.
Kebijakan ini digunakan `aws:ViaAWSService` AWS untuk mengizinkan otorisasi permintaan saat permintaan dibuat atas nama peran instans Amazon EC2 Anda. Misalnya, saat Anda membuat permintaan dari instans Amazon EC2 ke bucket Amazon S3 terenkripsi, Amazon S3 melakukan panggilan atas nama Anda. AWS KMS Beberapa kunci tidak ada saat permintaan dibuat AWS KMS.
### aws:Ec2InstanceSourcePrivateIPv4
Kunci ini mengidentifikasi alamat IPv4 pribadi dari antarmuka elastic network primer yang dikirimkan kredenal peran Amazon EC2 IAM. Anda harus menggunakan kunci kondisi ini dengan kunci pendampingnya `aws:Ec2InstanceSourceVpc` untuk memastikan bahwa Anda memiliki kombinasi unik global ID VPC dan IP pribadi sumber. Gunakan kunci ini `aws:Ec2InstanceSourceVpc` untuk memastikan bahwa permintaan dibuat dari alamat IP pribadi yang sama dengan yang dikirimkan kredensialnya.
+ **Ketersediaan** - Kunci ini disertakan dalam konteks permintaan setiap kali pemohon menandatangani permintaan dengan kredensi peran Amazon EC2. Ini dapat digunakan dalam kebijakan IAM, kebijakan kontrol layanan, kebijakan titik akhir VPC, dan kebijakan sumber daya.
+ **Tipe data** — [alamat IP](reference_policies_elements_condition_operators.md#Conditions_IPAddress)
+ **Jenis nilai** - Bernilai tunggal
**penting**
Kunci ini tidak boleh digunakan sendiri dalam sebuah `Allow` pernyataan. Alamat IP pribadi menurut definisi tidak unik secara global. Anda harus menggunakan `aws:Ec2InstanceSourceVpc` kunci setiap kali Anda menggunakan `aws:Ec2InstanceSourcePrivateIPv4` kunci untuk menentukan VPC dari kredenal instans Amazon EC2 Anda.
Contoh berikut adalah kebijakan kontrol layanan (SCP) yang menolak akses ke semua sumber daya kecuali permintaan tersebut tiba melalui Titik Akhir VPC di VPC yang sama dengan kredenal peran. Dalam contoh ini, `aws:Ec2InstanceSourcePrivateIPv4` membatasi sumber kredensi ke instance tertentu berdasarkan IP sumber.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:Ec2InstanceSourceVpc": "${aws:SourceVpc}"
},
"Null": {
"ec2:SourceInstanceARN": "false"
},
"BoolIfExists": {
"aws:ViaAWSService": "false"
}
}
},
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:Ec2InstanceSourcePrivateIPv4": "${aws:VpcSourceIp}"
},
"Null": {
"ec2:SourceInstanceARN": "false"
},
"BoolIfExists": {
"aws:ViaAWSService": "false"
}
}
}
]
}
```
------
### aws:SourceIdentity
Gunakan kunci ini untuk membandingkan identitas sumber yang ditetapkan oleh prinsipal dengan identitas sumber yang Anda tentukan dalam kebijakan.
+ **Ketersediaan** - Kunci ini disertakan dalam konteks permintaan setelah identitas sumber ditetapkan saat peran diasumsikan menggunakan perintah CLI AWS STS peran apa pun, atau operasi API. AWS STS `AssumeRole`
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
Anda dapat menggunakan kunci ini dalam kebijakan untuk mengizinkan tindakan AWS berdasarkan prinsipal yang telah menetapkan identitas sumber saat mengambil peran. Aktivitas untuk identitas sumber yang ditentukan peran muncul di[AWS CloudTrail](cloudtrail-integration.md#cloudtrail-integration_signin-tempcreds). Ini memudahkan administrator untuk menentukan siapa atau apa yang melakukan tindakan dengan peran AWS.
Tidak seperti [`sts:RoleSessionName`](reference_policies_iam-condition-keys.md#ck_rolesessionname), setelah identitas sumber diatur, nilai tidak dapat diubah. Ini terdapat dalam konteks permintaan untuk semua tindakan yang diambil oleh peran. Nilai tetap ada dalam sesi peran berikutnya saat Anda menggunakan kredenal sesi untuk mengasumsikan peran lain. Mengasumsikan satu peran dari peran lain disebut [rantai peran](id_roles.md#iam-term-role-chaining).
[`sts:SourceIdentity`](reference_policies_iam-condition-keys.md#ck_sourceidentity)Kuncinya ada dalam permintaan ketika prinsipal awalnya menetapkan identitas sumber sambil mengasumsikan peran menggunakan perintah CLI AWS STS peran apa pun, atau operasi API. AWS STS `AssumeRole` Kunci `aws:SourceIdentity` tersedia dalam permintaan untuk tindakan apa pun yang diambil dengan sesi peran yang menetapkan identitas sumber.
Kebijakan kepercayaan peran berikut untuk `CriticalRole` dalam akun `111122223333` berisi kondisi untuk `aws:SourceIdentity` yang mencegah prinsipal tanpa identitas sumber yang diatur ke Saanvi atau Diego dari mengasumsikan peran.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AssumeRoleIfSourceIdentity",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::123456789012:role/CriticalRole"},
"Action": [
"sts:AssumeRole",
"sts:SetSourceIdentity"
],
"Condition": {
"StringLike": {
"aws:SourceIdentity": ["Saanvi","Diego"]
}
}
}
]
}
```
------
Untuk informasi selengkapnya tentang menggunakan informasi identitas sumber, lihat [Memantau dan mengontrol tindakan yang diambil dengan peran yang diasumsikan](id_credentials_temp_control-access_monitor.md).
### ec2:RoleDelivery
Gunakan kunci ini untuk membandingkan versi layanan metadata instans dalam permintaan yang ditandatangani dengan kredensyal peran IAM untuk Amazon EC2. Layanan metadata instance membedakan antara IMDSv1 dan IMDSv2 permintaan berdasarkan apakah, untuk setiap permintaan yang diberikan, baik `GET` header `PUT` atau, yang unik untuk IMDSv2, ada dalam permintaan itu.
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan setiap kali sesi peran dibuat oleh instans Amazon EC2.
+ **Tipe data** - [Numerik](reference_policies_elements_condition_operators.md#Conditions_Numeric)
+ **Jenis nilai** - Bernilai tunggal
+ **Nilai contoh** - 1.0, 2.0
Anda dapat mengonfigurasi Layanan Metadata Instance (IMDS) pada setiap instance sehingga kode lokal atau pengguna harus menggunakannya. IMDSv2 Ketika Anda menentukan yang IMDSv2 harus digunakan, IMDSv1 tidak lagi berfungsi.
+ Layanan Metadata Instance Versi 1 (IMDSv1) — Metode permintaan/respons
+ Instance Metadata Service Version 2 (IMDSv2) — metode yang berorientasi pada sesi
Untuk informasi tentang cara mengonfigurasi instans yang akan digunakan IMDSv2, lihat [Mengonfigurasi opsi metadata instans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html).
Dalam contoh berikut, akses ditolak jika RoleDelivery nilai ec2: dalam konteks permintaan adalah 1.0 (IMDSv1). Pernyataan kebijakan ini dapat diterapkan secara umum karena, jika permintaan tidak ditandatangani oleh kredensyal peran Amazon EC2, maka tidak akan berpengaruh.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RequireAllEc2RolesToUseV2",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NumericLessThan": {
"ec2:RoleDelivery": "2.0"
}
}
}
]
}
```
------
Untuk informasi selengkapnya, lihat [Contoh kebijakan untuk bekerja dengan metadata instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-instance-metadata).
### ec2:SourceInstanceArn
Gunakan kunci ini untuk membandingkan ARN dari instance dari mana sesi peran dihasilkan.
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan setiap kali sesi peran dibuat oleh instans Amazon EC2.
+ **Tipe data** — [ARN](reference_policies_elements_condition_operators.md#Conditions_ARN)
+ **Jenis nilai** - Bernilai tunggal
+ **Nilai contoh** — arn:aws: :ec2:us-west- 2:111111111111: instance/instance-id
Untuk contoh kebijakan, lihat [Mengizinkan instance tertentu untuk melihat sumber daya di AWS layanan lain](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-source-instance).
### glue:RoleAssumedBy
AWS Glue Layanan menetapkan kunci kondisi ini untuk setiap permintaan AWS API yang AWS Glue membuat permintaan menggunakan peran layanan atas nama pelanggan (bukan oleh pekerjaan atau titik akhir pengembang, tetapi langsung oleh AWS Glue layanan). Gunakan kunci ini untuk memverifikasi apakah panggilan ke AWS sumber daya berasal dari AWS Glue layanan.
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan saat AWS Glue membuat permintaan menggunakan peran layanan atas nama pelanggan.
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
+ **Nilai contoh** - Kunci ini selalu diatur ke`glue.amazonaws.com`.
Contoh berikut menambahkan kondisi untuk memungkinkan AWS Glue layanan mendapatkan objek dari bucket Amazon S3.
```
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"glue:RoleAssumedBy": "glue.amazonaws.com"
}
}
}
```
### glue:CredentialIssuingService
AWS Glue Layanan menetapkan kunci ini untuk setiap permintaan AWS API menggunakan peran layanan yang berasal dari pekerjaan atau titik akhir pengembang. Gunakan kunci ini untuk memverifikasi apakah panggilan ke AWS sumber daya berasal dari AWS Glue pekerjaan atau titik akhir pengembang.
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan saat AWS Glue membuat permintaan yang berasal dari pekerjaan atau titik akhir pengembang.
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
+ **Nilai contoh** - Kunci ini selalu diatur ke`glue.amazonaws.com`.
Contoh berikut menambahkan kondisi yang melekat pada peran IAM yang digunakan oleh AWS Glue pekerjaan. Ini memastikan tindakan tertentu allowed/denied didasarkan pada apakah sesi peran digunakan untuk lingkungan runtime AWS Glue pekerjaan.
```
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"glue:CredentialIssuingService": "glue.amazonaws.com"
}
}
}
```
### codebuild:BuildArn
Kunci ini mengidentifikasi ARN CodeBuild build tempat kredensyal peran IAM dikirimkan. Gunakan kunci ini untuk memverifikasi apakah panggilan ke AWS sumber daya berasal dari CodeBuild build tertentu.
**catatan**
Nilai penuh tidak `codebuild:BuildArn` diketahui sebelumnya karena berisi ID build yang dihasilkan secara dinamis.
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan setiap kali permintaan dibuat oleh peran yang diasumsikan oleh CodeBuild.
+ **Tipe data** — [ARN](reference_policies_elements_condition_operators.md#Conditions_ARN)
+ **Jenis nilai** - Bernilai tunggal
+ **Nilai contoh - arn:aws:codebuild: us-east- 1**: 123456789012: build/:12345678-1234-1234-1234-123456789012 MyBuildProject
Contoh berikut memungkinkan CodeBuild build tertentu memiliki `s3:GetObject` akses ke bucket yang ditentukan.
```
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"ArnLike": {
"codebuild:BuildArn": "arn:aws:codebuild:us-east-1:123456789012:build/MyBuildProject:*"
}
}
}
```
### codebuild:ProjectArn
Kunci ini mengidentifikasi ARN CodeBuild proyek bahwa kredenal peran IAM dikirimkan ke build. CodeBuild Gunakan kunci ini untuk memverifikasi apakah panggilan ke AWS sumber daya berasal dari CodeBuild proyek tertentu.
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan setiap kali permintaan dibuat oleh peran yang diasumsikan oleh CodeBuild.
+ **Tipe data** — [ARN](reference_policies_elements_condition_operators.md#Conditions_ARN)
+ **Jenis nilai** - Bernilai tunggal
+ **Contoh nilai** - arn:aws:codebuild:us-east- 1:123456789012: project/ MyBuildProject
Contoh berikut memungkinkan setiap build dari CodeBuild proyek tertentu memiliki `s3:GetObject` akses ke bucket yang ditentukan.
```
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"ArnEquals": {
"codebuild:ProjectArn": "arn:aws:codebuild:us-east-1:123456789012:project/MyBuildProject"
}
}
}
```
### lambda:SourceFunctionArn
Gunakan kunci ini untuk mengidentifikasi ARN fungsi Lambda yang dikirimkan kepada kredensil peran IAM. Layanan Lambda menetapkan kunci ini untuk setiap permintaan AWS API yang berasal dari lingkungan eksekusi fungsi Anda. Gunakan kunci ini untuk memverifikasi apakah panggilan ke AWS sumber daya berasal dari kode fungsi Lambda tertentu. Lambda juga menetapkan kunci ini untuk beberapa permintaan yang datang dari luar lingkungan eksekusi, seperti menulis log ke CloudWatch dan mengirim jejak ke X-Ray.
+ **Ketersediaan** - Kunci ini disertakan dalam konteks permintaan setiap kali kode fungsi Lambda dipanggil.
+ **Tipe data** — [ARN](reference_policies_elements_condition_operators.md#Conditions_ARN)
+ **Jenis nilai** - Bernilai tunggal
+ **Nilai contoh** - arn:aws:lambda: us-east- 1:123456789012: fungsi: TestFunction
Contoh berikut memungkinkan satu fungsi Lambda tertentu untuk `s3:PutObject` mengakses bucket yang ditentukan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ExampleSourceFunctionArn",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"ArnEquals": {
"lambda:SourceFunctionArn": "arn:aws:lambda:us-east-1:123456789012:function:source_lambda"
}
}
}
]
}
```
------
*Untuk informasi selengkapnya, lihat [Bekerja dengan kredenal lingkungan eksekusi Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html#permissions-executionrole-source-function-arn) di Panduan Pengembang.AWS Lambda *
### ssm:SourceInstanceArn
Gunakan kunci ini untuk mengidentifikasi ARN instance AWS Systems Manager terkelola yang dikirimkan ke kredensil peran IAM. Kunci kondisi ini tidak ada saat permintaan berasal dari instance terkelola dengan peran IAM yang terkait dengan profil instans Amazon EC2.
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan setiap kali kredensil peran dikirimkan ke instance AWS Systems Manager terkelola.
+ **Tipe data** — [ARN](reference_policies_elements_condition_operators.md#Conditions_ARN)
+ **Jenis nilai** - Bernilai tunggal
+ **Nilai contoh** — arn:aws: :ec2:us-west- 2:111111111111: instance/instance-id
### identitystore:UserId
Gunakan kunci ini untuk membandingkan identitas tenaga kerja Pusat Identitas IAM dalam permintaan yang ditandatangani dengan identitas yang ditentukan dalam kebijakan.
+ **Ketersediaan** — Kunci ini disertakan ketika pemanggil permintaan adalah pengguna di Pusat Identitas IAM.
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
+ **Nilai contoh** — 94482488-3041-7026-18f3-be45837cd0e4
Anda dapat menemukan pengguna di IAM Identity Center dengan membuat permintaan ke [GetUserId](https://docs.aws.amazon.com//singlesignon/latest/IdentityStoreAPIReference/API_GetUserId.html)API menggunakan API AWS CLI, AWS API, atau AWS SDK. UserId
## Properti jaringan
Gunakan tombol kondisi berikut untuk membandingkan detail tentang jaringan tempat permintaan berasal atau diteruskan dengan properti jaringan yang Anda tentukan dalam kebijakan.
### aws:SourceIp
Gunakan kunci ini untuk membandingkan alamat IP pemohon dengan alamat IP yang Anda tentukan dalam kebijakan. Kunci kondisi `aws:SourceIp` hanya dapat digunakan untuk rentang alamat IP publik.
+ **Ketersediaan** – Kunci ini disertakan dalam konteks permintaan, kecuali saat pemohon menggunakan titik akhir VPC untuk membuat permintaan.
+ **Tipe data** — [alamat IP](reference_policies_elements_condition_operators.md#Conditions_IPAddress)
+ **Jenis nilai** - Bernilai tunggal
Kunci kondisi `aws:SourceIp` dapat digunakan dalam kebijakan yang memungkinkan prinsipal hanya membuat permintaan dari rentang IP yang ditetapkan.
**catatan**
`aws:SourceIp`mendukung keduanya IPv4 dan IPv6 alamat atau rentang alamat IP. Untuk daftar dukungan Layanan AWS tersebut IPv6, lihat [dukungan Layanan AWS tersebut IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ipv6-support.html) di *Panduan Pengguna Amazon VPC*.
Misalnya, Anda dapat melampirkan kebijakan berbasis identitas berikut ke peran IAM. Kebijakan ini memungkinkan pengguna untuk memasukkan objek ke dalam bucket `amzn-s3-demo-bucket3` Amazon S3 jika mereka melakukan panggilan dari rentang IPv4 alamat yang ditentukan. Kebijakan ini juga memungkinkan AWS layanan yang digunakan [Teruskan sesi akses](access_forward_access_sessions.md) untuk melakukan operasi ini atas nama Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PrincipalPutObjectIfIpAddress",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket3/*",
"Condition": {
"IpAddress": {
"aws:SourceIp": "203.0.113.0/24"
}
}
}
]
}
```
------
Jika Anda perlu membatasi akses dari jaringan yang mendukung keduanya IPv4 dan IPv6 pengalamatan, Anda dapat menyertakan IPv4 dan IPv6 alamat atau rentang alamat IP dalam kondisi kebijakan IAM. Kebijakan berbasis identitas berikut akan memungkinkan pengguna untuk memasukkan objek ke dalam bucket `amzn-s3-demo-bucket3` Amazon S3 jika pengguna melakukan panggilan dari rentang yang ditentukan atau alamat. IPv4 IPv6 Sebelum Anda menyertakan rentang IPv6 alamat dalam kebijakan IAM Anda, verifikasi bahwa Layanan AWS Anda bekerja dengan dukungan IPv6. Untuk daftar dukungan Layanan AWS tersebut IPv6, lihat [dukungan Layanan AWS tersebut IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ipv6-support.html) di *Panduan Pengguna Amazon VPC*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PrincipalPutObjectIfIpAddress",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket3/*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"203.0.113.0/24",
"2001:DB8:1234:5678::/64"
]
}
}
}
]
}
```
------
Jika permintaan berasal dari host yang menggunakan titik akhir VPC Amazon, maka kunci `aws:SourceIp` tidak tersedia. [Sebagai gantinya, Anda harus menggunakan kunci khusus VPC seperti aws:. VpcSourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpcsourceip) *Untuk informasi selengkapnya tentang penggunaan titik akhir VPC, lihat [Identitas dan manajemen akses untuk titik akhir VPC dan layanan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-iam.html) di Panduan.AWS PrivateLink *
**catatan**
Saat Layanan AWS melakukan panggilan ke orang lain Layanan AWS atas nama Anda (service-to-service panggilan), konteks otorisasi khusus jaringan tertentu akan dihapus. Jika kebijakan Anda menggunakan kunci kondisi ini dengan `Deny` pernyataan, Layanan AWS prinsipal mungkin diblokir secara tidak sengaja. Layanan AWS Agar dapat bekerja dengan baik sambil mempertahankan persyaratan keamanan Anda, kecualikan prinsip layanan dari `Deny` pernyataan Anda dengan menambahkan kunci `aws:PrincipalIsAWSService` kondisi dengan nilai. `false`
### aws:SourceVpc
Gunakan kunci ini untuk memeriksa apakah permintaan berjalan melalui VPC tempat titik akhir VPC dilampirkan. Dalam kebijakan, Anda dapat menggunakan kunci ini untuk memungkinkan akses hanya ke VPC tertentu. Untuk informasi selengkapnya, lihat [Membatasi Akses ke VPC Tertentu](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies-vpc-endpoint.html#example-bucket-policies-restrict-access-vpc) di Panduan Pengguna *Layanan Penyimpanan Sederhana Amazon*.
+ **Ketersediaan** – Kunci ini disertakan dalam konteks permintaan, hanya jika pemohon menggunakan titik akhir VPC untuk membuat permintaan.
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
Dalam kebijakan, Anda dapat menggunakan kunci ini untuk mengizinkan atau membatasi akses ke VPC tertentu.
Misalnya, Anda dapat melampirkan kebijakan berbasis identitas berikut ke peran IAM untuk menolak bucket `PutObject` Amazon S3`amzn-s3-demo-bucket3`, kecuali permintaan dibuat dari ID VPC Layanan AWS yang ditentukan atau menggunakan [sesi akses teruskan (FAS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) untuk membuat permintaan atas nama peran. Berbeda dengan[aws:SourceIp](#condition-keys-sourceip), Anda harus menggunakan [aws:ViaAWSService](#condition-keys-viaawsservice) atau [aws:CalledVia](#condition-keys-calledvia) mengizinkan permintaan FAS, karena VPC sumber dari permintaan awal tidak dipertahankan.
**catatan**
Kebijakan ini tidak mengizinkan tindakan apa pun. Gunakan kebijakan ini bersama dengan kebijakan lain yang mengizinkan tindakan tertentu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PutObjectIfNotVPCID",
"Effect": "Deny",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket3/*",
"Condition": {
"StringNotEqualsIfExists": {
"aws:SourceVpc": "vpc-1234567890abcdef0"
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}
]
}
```
------
**catatan**
AWS merekomendasikan untuk menggunakan `aws:SourceVpcArn` alih-alih `aws:SourceVpc` if `aws:SourceVpcArn` didukung oleh layanan yang Anda targetkan. Silakan merujuk ke [aws: SourceVpcArn](#condition-keys-sourcevpcarn) untuk daftar layanan yang didukung.
### aws:SourceVpcArn
Gunakan kunci ini untuk memverifikasi ARN VPC yang melaluinya permintaan dibuat melalui titik akhir VPC. Kunci ini mengembalikan ARN dari VPC tempat titik akhir VPC dilampirkan.
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan untuk layanan yang didukung saat permintaan dibuat melalui titik akhir VPC. Kuncinya tidak termasuk untuk permintaan yang dibuat melalui titik akhir layanan publik. Layanan berikut mendukung kunci ini:
+ AWS App Runner (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html))
+ AWS Application Discovery Service (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationdiscoveryservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationdiscoveryservice.html))
+ Amazon Athena (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html)
+ AWS Cloud Map (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudmap.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudmap.html))
+ Wawasan CloudWatch Aplikasi Amazon (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchapplicationinsights.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchapplicationinsights.html)
+ AWS CloudFormation (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html))
+ Amazon Comprehend Medical (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehendmedical.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehendmedical.html)
+ AWS Compute Optimizer (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscomputeoptimizer.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscomputeoptimizer.html)
+ Amazon; Registri Kontainer Elastis (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistry.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistry.html))
+ Layanan Kontainer Elastis Amazon (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html))
+ Amazon Kinesis Analytics (awalan [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisanalytics.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisanalytics.html):)
+ Amazon Route 53 (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html))
+ AWS DataSync (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatasync.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatasync.html))
+ Amazon Elastic Block Store (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html))
+ Amazon EventBridge Scheduler (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgescheduler.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgescheduler.html)
+ Amazon Data Firehose (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisfirehose.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisfirehose.html)
+ AWS HealthImaging (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthimaging.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthimaging.html))
+ AWS HealthLake (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthlake.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthlake.html))
+ AWS HealthOmics (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthomics.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthomics.html))
+ AWS Identity and Access Management (kecuali untuk `iam:PassRole` tindakan) (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementiam.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementiam.html))
+ AWS IoT FleetWise (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotfleetwise.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotfleetwise.html))
+ AWS IoT Wireless (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotwireless.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotwireless.html))
+ AWS Key Management Service (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html))
+ AWS Lambda (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslambda.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslambda.html))
+ AWS Payment Cryptography (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspaymentcryptography.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspaymentcryptography.html))
+ Amazon Polly (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpolly.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpolly.html)
+ AWS Private Certificate Authority (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsprivatecertificateauthority.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsprivatecertificateauthority.html))
+ AWS Recycle Bin (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrecyclebin.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrecyclebin.html)
+ Amazon Rekognition (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrekognition.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrekognition.html)
+ Service Quotas (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html)
+ Layanan Penyimpanan Sederhana Amazon (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html))
+ AWS Storage Gateway (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsstoragegateway.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsstoragegateway.html))
+ Manajer Insiden AWS Systems Manager Kontak (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerincidentmanagercontacts.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerincidentmanagercontacts.html))
+ Amazon Ttract (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontextract.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontextract.html)
+ Amazon Transcribe (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranscribe.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranscribe.html)
+ AWS Transfer Family (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html))
+ **Tipe data** — ARN
AWS merekomendasikan agar Anda menggunakan operator [ARN alih-alih operator](reference_policies_elements_condition_operators.md#Conditions_ARN) [string saat membandingkan](reference_policies_elements_condition_operators.md#Conditions_String). ARNs
+ **Jenis nilai** - Bernilai tunggal
+ **Nilai contoh** - `arn:aws:ec2:us-east-1:123456789012:vpc/vpc-0e9801d129EXAMPLE`
Berikut ini adalah contoh kebijakan bucket yang menolak akses ke `amzn-s3-demo-bucket` dan objeknya dari mana saja di luar VPC`vpc-1a2b3c4d`.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-VPC-only",
"Principal": "*",
"Action": "s3:*",
"Effect": "Deny",
"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"],
"Condition": {
"ArnNotEquals": {
"aws:SourceVpcArn": "arn:aws:ec2:us-east-1:*:vpc/vpc-1a2b3c4d"
}
}
}
]
}
```
### aws:SourceVpce
Gunakan kunci ini untuk membandingkan pengidentifikasi VPC endpoint dari permintaan dengan ID titik akhir yang Anda sebutkan dalam kebijakan.
+ **Ketersediaan** – Kunci ini disertakan dalam konteks permintaan, hanya jika pemohon menggunakan titik akhir VPC untuk membuat permintaan.
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
Dalam kebijakan, Anda dapat menggunakan kunci ini untuk membatasi akses ke VPC endpoint tertentu. Untuk informasi selengkapnya, lihat [Membatasi akses ke VPC tertentu](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies-vpc-endpoint.html#example-bucket-policies-restrict-access-vpc) di Panduan Pengguna *Layanan Penyimpanan Sederhana Amazon*. Sama halnya dengan menggunakan[aws:SourceVpc](#condition-keys-sourcevpc), Anda harus menggunakan [aws:ViaAWSService](#condition-keys-viaawsservice) atau [aws:CalledVia](#condition-keys-calledvia) mengizinkan permintaan yang dibuat dengan Layanan AWS menggunakan [sesi akses terusan (FAS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). Ini karena titik akhir VPC sumber dari permintaan awal tidak dipertahankan.
### aws:VpceAccount
Gunakan kunci ini untuk membandingkan ID AWS akun yang memiliki titik akhir VPC tempat permintaan dibuat dengan ID akun yang Anda tentukan dalam kebijakan. Kunci kondisi ini membantu Anda membuat kontrol perimeter jaringan dengan memastikan permintaan datang melalui titik akhir VPC yang dimiliki oleh akun tertentu.
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan saat permintaan dibuat melalui titik akhir VPC. Kuncinya tidak termasuk untuk permintaan yang dibuat melalui titik akhir layanan publik.
Layanan berikut mendukung kunci ini:
+ AWS App Runner (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html))
+ AWS Application Discovery Service (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationdiscoveryservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationdiscoveryservice.html))
+ Amazon Athena (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html)
+ AWS Cloud Map (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudmap.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudmap.html))
+ Wawasan CloudWatch Aplikasi Amazon (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchapplicationinsights.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchapplicationinsights.html)
+ AWS CloudFormation (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html))
+ Amazon Comprehend Medical (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehendmedical.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehendmedical.html)
+ AWS Compute Optimizer (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscomputeoptimizer.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscomputeoptimizer.html)
+ Amazon; Registri Kontainer Elastis (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistry.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistry.html))
+ Layanan Kontainer Elastis Amazon (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html))
+ Amazon Kinesis Analytics (awalan [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisanalytics.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisanalytics.html):)
+ Amazon Route 53 (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html))
+ AWS DataSync (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatasync.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatasync.html))
+ Amazon Elastic Block Store (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html))
+ Amazon EventBridge Scheduler (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgescheduler.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgescheduler.html)
+ Amazon Data Firehose (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisfirehose.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisfirehose.html)
+ AWS HealthImaging (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthimaging.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthimaging.html))
+ AWS HealthLake (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthlake.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthlake.html))
+ AWS HealthOmics (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthomics.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthomics.html))
+ AWS Identity and Access Management (kecuali untuk `iam:PassRole` tindakan) (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementiam.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementiam.html))
+ AWS IoT FleetWise (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotfleetwise.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotfleetwise.html))
+ AWS IoT Wireless (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotwireless.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotwireless.html))
+ AWS Key Management Service (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html))
+ AWS Lambda (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslambda.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslambda.html))
+ AWS Payment Cryptography (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspaymentcryptography.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspaymentcryptography.html))
+ Amazon Polly (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpolly.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpolly.html)
+ AWS Private Certificate Authority (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsprivatecertificateauthority.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsprivatecertificateauthority.html))
+ AWS Recycle Bin (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrecyclebin.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrecyclebin.html)
+ Amazon Rekognition (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrekognition.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrekognition.html)
+ Service Quotas (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html)
+ Layanan Penyimpanan Sederhana Amazon (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html))
+ AWS Storage Gateway (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsstoragegateway.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsstoragegateway.html))
+ Manajer Insiden AWS Systems Manager Kontak (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerincidentmanagercontacts.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerincidentmanagercontacts.html))
+ Amazon Ttract (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontextract.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontextract.html)
+ Amazon Transcribe (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranscribe.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranscribe.html)
+ AWS Transfer Family (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html))
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
+ **Nilai contoh** - `123456789012`
Anda dapat menggunakan kunci kondisi ini untuk membatasi akses ke sumber daya sehingga permintaan harus datang melalui titik akhir VPC yang dimiliki oleh akun Anda. Contoh kebijakan bucket Amazon S3 berikut ini memungkinkan akses saat permintaan datang melalui titik akhir VPC yang dimiliki oleh akun yang ditentukan:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AccessToSpecificVpceAccountOnly",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/RoleName"
},
"Action": "s3:GetObject",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
"Condition": {
"StringEquals": {
"aws:VpceAccount": "111122223333"
}
}
}
]
}
```
------
**catatan**
Kunci kondisi ini saat ini didukung untuk serangkaian AWS layanan tertentu. Menggunakan kunci ini dengan layanan yang tidak didukung dapat menyebabkan hasil otorisasi yang tidak diinginkan. Selalu lingkup kunci kondisi untuk layanan yang didukung dalam kebijakan Anda.
Beberapa AWS layanan mengakses sumber daya Anda dari jaringan mereka ketika mereka bertindak atas nama Anda. Jika Anda menggunakan layanan tersebut, Anda perlu mengedit contoh kebijakan di atas untuk memungkinkan AWS layanan mengakses sumber daya Anda dari luar jaringan Anda. Untuk informasi selengkapnya tentang pola akses yang perlu dipertanggungjawabkan saat menerapkan kontrol akses berdasarkan asal permintaan, lihat. [Tetapkan pagar pembatas izin dengan menggunakan perimeter data](access_policies_data-perimeters.md)
### aws:VpceOrgID
Gunakan kunci ini untuk membandingkan pengenal organisasi AWS Organizations yang memiliki titik akhir VPC tempat permintaan dibuat dengan pengenal yang Anda tentukan dalam kebijakan. Kunci kondisi ini menyediakan pendekatan yang paling skalabel untuk kontrol perimeter jaringan, secara otomatis termasuk semua titik akhir VPC yang dimiliki oleh akun dalam organisasi Anda.
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan ketika permintaan dibuat melalui titik akhir VPC dan akun pemilik titik akhir VPC adalah anggota organisasi. AWS Kunci tidak disertakan untuk permintaan yang dibuat melalui jalur jaringan lain atau ketika akun pemilik titik akhir VPC bukan bagian dari organisasi.
Layanan berikut mendukung kunci ini:
+ AWS App Runner (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html))
+ AWS Application Discovery Service (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationdiscoveryservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationdiscoveryservice.html))
+ Amazon Athena (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html)
+ AWS B2B Pertukaran Data (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsb2bdatainterchange.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsb2bdatainterchange.html))
+ AWS Cloud Map (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudmap.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudmap.html))
+ Wawasan CloudWatch Aplikasi Amazon (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchapplicationinsights.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchapplicationinsights.html)
+ AWS CloudFormation (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html))
+ Amazon Cognito (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitoidentity.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitoidentity.html)
+ Amazon Comprehend Medical (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehendmedical.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehendmedical.html)
+ AWS Compute Optimizer (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscomputeoptimizer.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscomputeoptimizer.html)
+ AWS Database Migration Service (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatabasemigrationservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatabasemigrationservice.html))
+ AWS Directory Service Data (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdirectoryservicedata.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdirectoryservicedata.html))
+ Amazon; Registri Kontainer Elastis (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistry.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistry.html))
+ Layanan Kontainer Elastis Amazon (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html))
+ Amazon Kinesis Analytics (awalan [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisanalytics.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisanalytics.html):)
+ Amazon Route 53 (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html))
+ AWS DataSync (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatasync.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatasync.html))
+ Amazon Elastic Block Store (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html))
+ Amazon EventBridge Scheduler (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgescheduler.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgescheduler.html)
+ Amazon Data Firehose (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisfirehose.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisfirehose.html)
+ AWS HealthImaging (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthimaging.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthimaging.html))
+ AWS HealthLake (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthlake.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthlake.html))
+ AWS HealthOmics (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthomics.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthomics.html))
+ AWS Identity and Access Management (kecuali untuk `iam:PassRole` tindakan) (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementiam.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementiam.html))
+ AWS Toko Identitas (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentitystore.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentitystore.html))
+ AWS IoT FleetWise (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotfleetwise.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotfleetwise.html))
+ AWS IoT TwinMaker (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiottwinmaker.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiottwinmaker.html))
+ AWS IoT Wireless (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotwireless.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotwireless.html))
+ Amazon Keyspaces (untuk Apache Cassandra) (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html)
+ AWS Key Management Service (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html))
+ AWS Lambda (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslambda.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslambda.html))
+ AWS Network Firewall (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsnetworkfirewall.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsnetworkfirewall.html))
+ AWS Payment Cryptography (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspaymentcryptography.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspaymentcryptography.html))
+ Amazon Pinpoint SMS dan Layanan Suara (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpinpointsmsandvoiceservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpinpointsmsandvoiceservice.html)
+ Amazon Polly (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpolly.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpolly.html)
+ Daftar Harga AWS (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspricelist.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspricelist.html))
+ AWS Private Certificate Authority (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsprivatecertificateauthority.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsprivatecertificateauthority.html))
+ AWS Recycle Bin (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrecyclebin.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrecyclebin.html)
+ Amazon Rekognition (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrekognition.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrekognition.html)
+ Service Quotas (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html)
+ Layanan Email Sederhana Amazon (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonses.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonses.html))
+ Layanan Penyimpanan Sederhana Amazon (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html))
+ Layanan Antrian Sederhana Amazon (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsqs.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsqs.html)
+ AWS Storage Gateway (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsstoragegateway.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsstoragegateway.html))
+ Manajer Insiden AWS Systems Manager Kontak (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerincidentmanagercontacts.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerincidentmanagercontacts.html))
+ Amazon Ttract (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontextract.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontextract.html)
+ Amazon Transcribe (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranscribe.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranscribe.html)
+ AWS Transfer Family (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html))
+ Amazon WorkMail (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonworkmail.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonworkmail.html))
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
+ **Contoh nilai** - `o-a1b2c3d4e5`
Contoh kebijakan kontrol sumber daya berikut menolak akses ke Amazon S3 AWS Key Management Service dan sumber daya Anda kecuali permintaan datang melalui titik akhir VPC yang dimiliki oleh organisasi tertentu atau dari jaringan layanan yang bertindak AWS atas nama Anda. Beberapa organisasi mungkin perlu mengedit kebijakan ini lebih lanjut untuk memenuhi kebutuhan organisasi mereka, misalnya, mengizinkan akses mitra pihak ketiga. Untuk informasi selengkapnya tentang pola akses yang perlu dipertanggungjawabkan saat menerapkan kontrol akses berdasarkan asal permintaan, lihat. [Tetapkan pagar pembatas izin dengan menggunakan perimeter data](access_policies_data-perimeters.md)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnforceNetworkPerimeterVpceOrgID",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:*",
"kms:*"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:PrincipalIsAWSService": "false",
"aws:ViaAWSService": "false"
},
"StringNotEqualsIfExists": {
"aws:VpceOrgID": "o-abcdef0123",
"aws:PrincipalTag/network-perimeter-exception": "true"
}
}
}
]
}
```
------
**catatan**
Kunci kondisi ini saat ini didukung untuk serangkaian AWS layanan tertentu. Menggunakan kunci ini dengan layanan yang tidak didukung dapat menyebabkan hasil otorisasi yang tidak diinginkan. Selalu lingkup kunci kondisi untuk layanan yang didukung dalam kebijakan Anda.
### aws:VpceOrgPaths
Gunakan kunci ini untuk membandingkan AWS Organizations jalur titik akhir VPC tempat permintaan dibuat dengan jalur yang Anda tentukan dalam kebijakan. Kunci kondisi ini memungkinkan Anda untuk menerapkan kontrol perimeter jaringan pada tingkat unit organisasi (OU), secara otomatis menskalakan dengan penggunaan titik akhir VPC Anda saat Anda menambahkan titik akhir baru dalam yang ditentukan. OUs
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan ketika permintaan dibuat melalui titik akhir VPC dan akun pemilik titik akhir VPC adalah anggota organisasi. Kunci tidak disertakan untuk permintaan yang dibuat melalui jalur jaringan lain atau ketika akun pemilik titik akhir VPC bukan bagian dari organisasi.
Layanan berikut mendukung kunci ini:
+ AWS App Runner (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html))
+ AWS Application Discovery Service (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationdiscoveryservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationdiscoveryservice.html))
+ Amazon Athena (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html)
+ AWS Cloud Map (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudmap.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudmap.html))
+ Wawasan CloudWatch Aplikasi Amazon (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchapplicationinsights.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchapplicationinsights.html)
+ AWS CloudFormation (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html))
+ Amazon Comprehend Medical (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehendmedical.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehendmedical.html)
+ AWS Compute Optimizer (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscomputeoptimizer.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscomputeoptimizer.html)
+ Amazon; Registri Kontainer Elastis (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistry.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistry.html))
+ Layanan Kontainer Elastis Amazon (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html))
+ Amazon Kinesis Analytics (awalan [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisanalytics.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisanalytics.html):)
+ Amazon Route 53 (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html))
+ AWS DataSync (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatasync.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatasync.html))
+ Amazon Elastic Block Store (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html))
+ Amazon EventBridge Scheduler (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgescheduler.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgescheduler.html)
+ Amazon Data Firehose (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisfirehose.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisfirehose.html)
+ AWS HealthImaging (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthimaging.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthimaging.html))
+ AWS HealthLake (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthlake.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthlake.html))
+ AWS HealthOmics (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthomics.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthomics.html))
+ AWS Identity and Access Management (kecuali untuk `iam:PassRole` tindakan) (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementiam.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementiam.html))
+ AWS IoT FleetWise (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotfleetwise.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotfleetwise.html))
+ AWS IoT Wireless (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotwireless.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotwireless.html))
+ AWS Key Management Service (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html))
+ AWS Lambda (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslambda.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslambda.html))
+ AWS Payment Cryptography (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspaymentcryptography.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspaymentcryptography.html))
+ Amazon Polly (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpolly.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpolly.html)
+ AWS Private Certificate Authority (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsprivatecertificateauthority.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsprivatecertificateauthority.html))
+ AWS Recycle Bin (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrecyclebin.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrecyclebin.html)
+ Amazon Rekognition (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrekognition.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrekognition.html)
+ Service Quotas (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html)
+ Layanan Penyimpanan Sederhana Amazon (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html))
+ AWS Storage Gateway (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsstoragegateway.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsstoragegateway.html))
+ Manajer Insiden AWS Systems Manager Kontak (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerincidentmanagercontacts.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerincidentmanagercontacts.html))
+ Amazon Ttract (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontextract.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontextract.html)
+ Amazon Transcribe (awalan:) [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranscribe.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranscribe.html)
+ AWS Transfer Family (awalan: [https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html))
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String) (daftar)
+ **Jenis nilai** — Multivalued
+ **Contoh nilai** - `o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/`
Karena `aws:VpceOrgPaths` merupakan kunci kondisi multivalued, Anda harus menggunakan `ForAnyValue` atau `ForAllValues` mengatur operator dengan [operator kondisi string](reference_policies_elements_condition_operators.md#Conditions_String) untuk kunci ini. Contoh kebijakan bucket Amazon S3 berikut mengizinkan akses hanya jika permintaan datang melalui titik akhir VPC yang dimiliki oleh akun di unit organisasi tertentu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessFromSpecificOrgPaths",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/RoleName"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
"Condition": {
"ForAnyValue:StringLike": {
"aws:VpceOrgPaths": [
"o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/*",
"o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-33333333/*"
]
}
}
}
]
}
```
------
**catatan**
Kunci kondisi ini saat ini didukung untuk serangkaian AWS layanan tertentu. Menggunakan kunci ini dengan layanan yang tidak didukung dapat menyebabkan hasil otorisasi yang tidak diinginkan. Selalu lingkup kunci kondisi untuk layanan yang didukung dalam kebijakan Anda.
Beberapa AWS layanan mengakses sumber daya Anda dari jaringan mereka ketika mereka bertindak atas nama Anda. Jika Anda menggunakan layanan tersebut, Anda perlu mengedit contoh kebijakan di atas untuk memungkinkan AWS layanan mengakses sumber daya Anda dari luar jaringan Anda. Untuk informasi selengkapnya tentang pola akses yang perlu dipertanggungjawabkan saat menerapkan kontrol akses berdasarkan asal permintaan, lihat. [Tetapkan pagar pembatas izin dengan menggunakan perimeter data](access_policies_data-perimeters.md)
### aws:VpcSourceIp
Gunakan kunci ini untuk membandingkan alamat IP tempat permintaan dibuat dengan alamat IP yang Anda tentukan dalam kebijakan. Dalam kebijakan, kunci hanya cocok jika permintaan berasal dari alamat IP yang ditentukan dan melalui titik akhir VPC.
+ **Ketersediaan** – Kunci ini disertakan dalam konteks permintaan, hanya jika permintaan dibuat menggunakan titik akhir VPC.
+ **Tipe data** — [alamat IP](reference_policies_elements_condition_operators.md#Conditions_IPAddress)
+ **Jenis nilai** - Bernilai tunggal
Untuk informasi selengkapnya, lihat [Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir di Panduan Pengguna](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) Amazon *VPC*. Sama halnya dengan menggunakan[aws:SourceVpc](#condition-keys-sourcevpc), Anda harus menggunakan [aws:ViaAWSService](#condition-keys-viaawsservice) atau [aws:CalledVia](#condition-keys-calledvia) mengizinkan permintaan yang dibuat dengan Layanan AWS menggunakan [sesi akses terusan (FAS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). Ini karena IP sumber dari permintaan awal yang dibuat menggunakan titik akhir VPC tidak disimpan dalam permintaan FAS.
**catatan**
`aws:VpcSourceIp`mendukung keduanya IPv4 dan IPv6 alamat atau rentang alamat IP. Untuk daftar dukungan Layanan AWS tersebut IPv6, lihat [dukungan Layanan AWS tersebut IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ipv6-support.html) di *Panduan Pengguna Amazon VPC*.
Kunci `aws:VpcSourceIp` kondisi harus selalu digunakan bersama dengan salah satu `aws:SourceVpc` atau tombol `aws:SourceVpce` kondisi. Jika tidak, panggilan API dari VPC tak terduga yang menggunakan CIDR IP yang sama atau tumpang tindih diizinkan oleh kebijakan. Hal ini dapat terjadi karena IP CIDRs dari dua yang tidak terkait VPCs bisa sama atau tumpang tindih. Sebagai gantinya, titik akhir IDs VPC atau VPC IDs harus digunakan dalam kebijakan karena mereka memiliki pengidentifikasi unik secara global. Pengidentifikasi unik ini memastikan bahwa hasil yang tidak terduga tidak akan terjadi.
**catatan**
Saat Layanan AWS melakukan panggilan ke orang lain Layanan AWS atas nama Anda (service-to-service panggilan), konteks otorisasi khusus jaringan tertentu akan dihapus. Jika kebijakan Anda menggunakan kunci kondisi ini dengan `Deny` pernyataan, Layanan AWS prinsipal mungkin diblokir secara tidak sengaja. Layanan AWS Agar dapat bekerja dengan baik sambil mempertahankan persyaratan keamanan Anda, kecualikan prinsip layanan dari `Deny` pernyataan Anda dengan menambahkan kunci `aws:PrincipalIsAWSService` kondisi dengan nilai. `false`
## Properti dari sumber daya
Gunakan tombol kondisi berikut untuk membandingkan detail tentang sumber daya yang menjadi target permintaan dengan properti sumber daya yang Anda tentukan dalam kebijakan.
### aws:ResourceAccount
Gunakan kunci ini untuk membandingkan [Akun AWS ID](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html) pemilik sumber daya yang diminta dengan akun sumber daya dalam kebijakan. Anda kemudian dapat mengizinkan atau menolak akses ke sumber daya tersebut berdasarkan akun yang memiliki sumber daya tersebut.
+ **Ketersediaan** — Kunci ini selalu disertakan dalam konteks permintaan untuk sebagian besar tindakan layanan. Tindakan berikut tidak mendukung kunci ini:
+ AWS Audit Manager
+ `auditmanager:UpdateAssessmentFrameworkShare`
+ Amazon Detective
+ `detective:AcceptInvitation`
+ AWS Directory Service
+ `ds:AcceptSharedDirectory`
+ Amazon Elastic Block Store - Semua tindakan
+ Amazon EC2
+ `ec2:AcceptTransitGatewayPeeringAttachment`
+ `ec2:AcceptVpcEndpointConnections`
+ `ec2:AcceptVpcPeeringConnection`
+ `ec2:CreateTransitGatewayPeeringAttachment`
+ `ec2:CreateVpcEndpoint`
+ `ec2:CreateVpcPeeringConnection`
+ Amazon EventBridge
+ `events:PutEvents`— EventBridge `PutEvents` memanggil bus acara di akun lain, jika bus acara itu dikonfigurasi sebagai EventBridge target lintas akun sebelum 2 Maret 2023. Untuk informasi selengkapnya, lihat [Memberikan izin untuk mengizinkan peristiwa dari AWS akun lain](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-cross-account.html#eb-receiving-events-from-another-account) di *Panduan EventBridge Pengguna Amazon*.
+ Amazon GuardDuty
+ `guardduty:AcceptAdministratorInvitation`
+ Amazon Macie
+ `macie2:AcceptInvitation`
+ OpenSearch Layanan Amazon
+ `es:AcceptInboundConnection`
+ Amazon Route 53
+ `route53:AssociateVpcWithHostedZone`
+ `route53:CreateVPCAssociationAuthorization`
+ AWS Security Hub CSPM
+ `securityhub:AcceptAdministratorInvitation`
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
**catatan**
Untuk pertimbangan tambahan untuk tindakan yang tidak didukung di atas, lihat repositori [Contoh Kebijakan Perimeter Data](https://github.com/aws-samples/data-perimeter-policy-examples).
Kunci ini sama dengan Akun AWS ID untuk akun dengan sumber daya yang dievaluasi dalam permintaan.
Untuk sebagian besar sumber daya di akun Anda, [ARN](reference_policies_elements_condition_operators.md#Conditions_ARN) berisi ID akun pemilik untuk sumber daya tersebut. Untuk sumber daya tertentu, seperti bucket Amazon S3, ARN sumber daya tidak menyertakan ID akun. Dua contoh berikut menunjukkan perbedaan antara sumber daya dengan ID akun di ARN, dan Amazon S3 ARN tanpa ID akun:
+ `arn:aws:iam::123456789012:role/AWSExampleRole`— Peran IAM dibuat dan dimiliki dalam akun 123456789012.
+ `arn:aws:s3:::amzn-s3-demo-bucket2`- Bucket Amazon S3 dibuat dan dimiliki di dalam akun`111122223333`, tidak ditampilkan di ARN.
Gunakan AWS konsol, atau API, atau CLI, untuk menemukan semua sumber daya Anda dan yang sesuai. ARNs
Anda menulis kebijakan yang menolak izin ke sumber daya berdasarkan ID akun pemilik sumber daya. *Misalnya, kebijakan berbasis identitas berikut menolak akses ke sumber daya yang *ditentukan jika sumber daya* bukan milik akun yang ditentukan.*
Untuk menggunakan kebijakan ini, ganti *teks placeholder yang dicetak miring* dengan informasi akun Anda.
**penting**
Kebijakan ini tidak mengizinkan tindakan apa pun. Sebaliknya, ia menggunakan `Deny` efek yang secara eksplisit menolak akses ke semua sumber daya yang tercantum dalam pernyataan yang bukan milik akun yang terdaftar. Gunakan kebijakan ini dalam kombinasi dengan kebijakan lain yang memungkinkan akses ke sumber daya tertentu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyInteractionWithResourcesNotInSpecificAccount",
"Action": "service:*",
"Effect": "Deny",
"Resource": [
"arn:aws:service:us-east-1:111122223333:*"
],
"Condition": {
"StringNotEquals": {
"aws:ResourceAccount": [
"111122223333"
]
}
}
}
]
}
```
------
Kebijakan ini menolak akses ke semua sumber daya untuk AWS layanan tertentu kecuali yang ditentukan Akun AWS memiliki sumber daya.
**catatan**
Beberapa Layanan AWS memerlukan akses ke sumber daya yang AWS dimiliki yang di-host di tempat lain Akun AWS. Penggunaan `aws:ResourceAccount` dalam kebijakan berbasis identitas Anda dapat memengaruhi kemampuan identitas Anda untuk mengakses sumber daya ini.
AWS Layanan tertentu, seperti AWS Data Exchange, mengandalkan akses ke sumber daya di luar Anda Akun AWS untuk operasi normal. Jika Anda menggunakan elemen `aws:ResourceAccount` dalam kebijakan Anda, sertakan pernyataan tambahan untuk membuat pengecualian untuk layanan tersebut. Kebijakan contoh [AWS: Tolak akses ke sumber daya Amazon S3 di luar akun Anda kecuali AWS Data Exchange](reference_policies_examples_resource_account_data_exch.md) menunjukkan cara menolak akses berdasarkan akun sumber daya sambil menentukan pengecualian untuk sumber daya milik layanan.
Gunakan contoh kebijakan ini sebagai templat untuk membuat kebijakan kustom Anda sendiri. Lihat [dokumentasi](https://docs.aws.amazon.com/index.html) layanan Anda untuk informasi lebih lanjut.
### aws:ResourceOrgPaths
Gunakan kunci ini untuk membandingkan AWS Organizations jalur sumber daya yang diakses dengan jalur dalam kebijakan. Dalam kebijakan, kunci kondisi ini memastikan bahwa sumber daya milik anggota akun dalam akar organisasi tertentu atau unit organisasi (OUs) di AWS Organizations. AWS Organizations Path adalah representasi teks dari struktur entitas Organizations. Untuk informasi selengkapnya tentang menggunakan dan memahami jalur, lihat [Memahami jalur AWS Organizations entitas](access_policies_last-accessed-view-data-orgs.md#access_policies_last-accessed-viewing-orgs-entity-path)
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan hanya jika akun yang memiliki sumber daya adalah anggota organisasi. Kunci kondisi global ini tidak mendukung tindakan berikut:
+ AWS Audit Manager
+ `auditmanager:UpdateAssessmentFrameworkShare`
+ Amazon Detective
+ `detective:AcceptInvitation`
+ AWS Directory Service
+ `ds:AcceptSharedDirectory`
+ Amazon Elastic Block Store - Semua tindakan
+ Amazon EC2
+ `ec2:AcceptTransitGatewayPeeringAttachment`
+ `ec2:AcceptVpcEndpointConnections`
+ `ec2:AcceptVpcPeeringConnection`
+ `ec2:CreateTransitGatewayPeeringAttachment`
+ `ec2:CreateVpcEndpoint`
+ `ec2:CreateVpcPeeringConnection`
+ Amazon EventBridge
+ `events:PutEvents`— EventBridge `PutEvents` memanggil bus acara di akun lain, jika bus acara itu dikonfigurasi sebagai EventBridge target lintas akun sebelum 2 Maret 2023. Untuk informasi selengkapnya, lihat [Memberikan izin untuk mengizinkan peristiwa dari AWS akun lain](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-cross-account.html#eb-receiving-events-from-another-account) di *Panduan EventBridge Pengguna Amazon*.
+ Amazon GuardDuty
+ `guardduty:AcceptAdministratorInvitation`
+ Amazon Macie
+ `macie2:AcceptInvitation`
+ OpenSearch Layanan Amazon
+ `es:AcceptInboundConnection`
+ Amazon Route 53
+ `route53:AssociateVpcWithHostedZone`
+ `route53:CreateVPCAssociationAuthorization`
+ AWS Security Hub CSPM
+ `securityhub:AcceptAdministratorInvitation`
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String) (daftar)
+ **Jenis nilai** — Multivalued
**catatan**
Untuk pertimbangan tambahan untuk tindakan yang tidak didukung di atas, lihat repositori [Contoh Kebijakan Perimeter Data](https://github.com/aws-samples/data-perimeter-policy-examples).
`aws:ResourceOrgPaths` adalah kunci kondisi multinilai. Kunci multivalued dapat memiliki beberapa nilai dalam konteks permintaan. Anda harus menggunakan `ForAnyValue` atau `ForAllValues` mengatur operator dengan [operator kondisi string](reference_policies_elements_condition_operators.md#Conditions_String) untuk kunci ini. Untuk informasi selengkapnya tentang kunci kondisi multinilai ini, lihat [Tetapkan operator untuk kunci konteks multivaluasi](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).
Misalnya, kondisi berikut mengembalikan `True` sumber daya milik organisasi`o-a1b2c3d4e5`. Ketika Anda menyertakan wildcard, Anda harus menggunakan operator kondisi [StringLike](reference_policies_elements_condition_operators.md).
```
"Condition": {
"ForAnyValue:StringLike": {
"aws:ResourceOrgPaths":["o-a1b2c3d4e5/*"]
}
}
```
Kondisi berikut mengembalikan `True` sumber daya dengan ID OU`ou-ab12-11111111`. Ini akan cocok dengan sumber daya yang dimiliki oleh akun yang dilampirkan pada OU ou-ab12-11111111 atau salah satu anak. OUs
```
"Condition": { "ForAnyValue:StringLike" : {
"aws:ResourceOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/*"]
}}
```
Kondisi berikut mengembalikan sumber daya `True` yang dimiliki oleh akun yang dilampirkan langsung ke ID OU`ou-ab12-22222222`, tetapi bukan anak OUs. Contoh berikut menggunakan operator [StringEquals](reference_policies_elements_condition_operators.md)kondisi untuk menentukan persyaratan kecocokan yang tepat untuk ID OU dan bukan pencocokan wildcard.
```
"Condition": { "ForAnyValue:StringEquals" : {
"aws:ResourceOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/"]
}}
```
**catatan**
Beberapa Layanan AWS memerlukan akses ke sumber daya yang AWS dimiliki yang di-host di tempat lain Akun AWS. Penggunaan `aws:ResourceOrgPaths` dalam kebijakan berbasis identitas Anda dapat memengaruhi kemampuan identitas Anda untuk mengakses sumber daya ini.
AWS Layanan tertentu, seperti AWS Data Exchange, mengandalkan akses ke sumber daya di luar Anda Akun AWS untuk operasi normal. Jika Anda menggunakan `aws:ResourceOrgPaths` kunci dalam kebijakan Anda, sertakan pernyataan tambahan untuk membuat pengecualian untuk layanan tersebut. Kebijakan contoh [AWS: Tolak akses ke sumber daya Amazon S3 di luar akun Anda kecuali AWS Data Exchange](reference_policies_examples_resource_account_data_exch.md) menunjukkan cara menolak akses berdasarkan akun sumber daya sambil menentukan pengecualian untuk sumber daya milik layanan. Anda dapat membuat kebijakan serupa untuk membatasi akses ke sumber daya dalam unit organisasi (OU) menggunakan `aws:ResourceOrgPaths` kunci, sambil memperhitungkan sumber daya milik layanan.
Gunakan contoh kebijakan ini sebagai templat untuk membuat kebijakan kustom Anda sendiri. Lihat [dokumentasi](https://docs.aws.amazon.com/index.html) layanan Anda untuk informasi lebih lanjut.
### aws:ResourceOrgID
Gunakan kunci ini untuk membandingkan pengenal organisasi tempat sumber daya AWS Organizations yang diminta berada dengan pengenal yang ditentukan dalam kebijakan.
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan hanya jika akun yang memiliki sumber daya adalah anggota organisasi. Kunci kondisi global ini tidak mendukung tindakan berikut:
+ AWS Audit Manager
+ `auditmanager:UpdateAssessmentFrameworkShare`
+ Amazon Detective
+ `detective:AcceptInvitation`
+ AWS Directory Service
+ `ds:AcceptSharedDirectory`
+ Amazon Elastic Block Store - Semua tindakan
+ Amazon EC2
+ `ec2:AcceptTransitGatewayPeeringAttachment`
+ `ec2:AcceptVpcEndpointConnections`
+ `ec2:AcceptVpcPeeringConnection`
+ `ec2:CreateTransitGatewayPeeringAttachment`
+ `ec2:CreateVpcEndpoint`
+ `ec2:CreateVpcPeeringConnection`
+ Amazon EventBridge
+ `events:PutEvents`— EventBridge `PutEvents` memanggil bus acara di akun lain, jika bus acara itu dikonfigurasi sebagai EventBridge target lintas akun sebelum 2 Maret 2023. Untuk informasi selengkapnya, lihat [Memberikan izin untuk mengizinkan peristiwa dari AWS akun lain](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-cross-account.html#eb-receiving-events-from-another-account) di *Panduan EventBridge Pengguna Amazon*.
+ Amazon GuardDuty
+ `guardduty:AcceptAdministratorInvitation`
+ Amazon Macie
+ `macie2:AcceptInvitation`
+ OpenSearch Layanan Amazon
+ `es:AcceptInboundConnection`
+ Amazon Route 53
+ `route53:AssociateVpcWithHostedZone`
+ `route53:CreateVPCAssociationAuthorization`
+ AWS Security Hub CSPM
+ `securityhub:AcceptAdministratorInvitation`
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
**catatan**
Untuk pertimbangan tambahan untuk tindakan yang tidak didukung di atas, lihat repositori [Contoh Kebijakan Perimeter Data](https://github.com/aws-samples/data-perimeter-policy-examples).
Kunci global ini mengembalikan ID organisasi sumber daya untuk permintaan yang diberikan. Ini memungkinkan Anda untuk membuat aturan yang berlaku untuk semua sumber daya dalam organisasi yang ditentukan dalam `Resource` elemen kebijakan [berbasis identitas](access_policies_identity-vs-resource.md). Anda dapat menentukan [ID organisasi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_details.html) dalam elemen kondisi. Saat Anda menambahkan dan menghapus akun, kebijakan yang menyertakan `aws:ResourceOrgID` kunci secara otomatis menyertakan akun yang benar dan Anda tidak perlu memperbaruinya secara manual.
Misalnya, kebijakan berikut mencegah prinsipal menambahkan objek ke `policy-genius-dev` sumber daya kecuali sumber daya Amazon S3 milik organisasi yang sama dengan prinsipal yang membuat permintaan.
**penting**
Kebijakan ini tidak mengizinkan tindakan apa pun. Sebaliknya, ia menggunakan `Deny` efek yang secara eksplisit menolak akses ke semua sumber daya yang tercantum dalam pernyataan yang bukan milik akun yang terdaftar. Gunakan kebijakan ini dalam kombinasi dengan kebijakan lain yang memungkinkan akses ke sumber daya tertentu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "DenyPutObjectToS3ResourcesOutsideMyOrganization",
"Effect": "Deny",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::policy-genius-dev/*",
"Condition": {
"StringNotEquals": {
"aws:ResourceOrgID": "${aws:PrincipalOrgID}"
}
}
}
}
```
------
**catatan**
Beberapa Layanan AWS memerlukan akses ke sumber daya yang AWS dimiliki yang di-host di tempat lain Akun AWS. Penggunaan `aws:ResourceOrgID` dalam kebijakan berbasis identitas Anda dapat memengaruhi kemampuan identitas Anda untuk mengakses sumber daya ini.
AWS Layanan tertentu, seperti AWS Data Exchange, mengandalkan akses ke sumber daya di luar Anda Akun AWS untuk operasi normal. Jika Anda menggunakan `aws:ResourceOrgID` kunci dalam kebijakan Anda, sertakan pernyataan tambahan untuk membuat pengecualian untuk layanan tersebut. Kebijakan contoh [AWS: Tolak akses ke sumber daya Amazon S3 di luar akun Anda kecuali AWS Data Exchange](reference_policies_examples_resource_account_data_exch.md) menunjukkan cara menolak akses berdasarkan akun sumber daya sambil menentukan pengecualian untuk sumber daya milik layanan. Anda dapat membuat kebijakan serupa untuk membatasi akses ke sumber daya dalam organisasi Anda menggunakan `aws:ResourceOrgID` kunci, sambil memperhitungkan sumber daya milik layanan.
Gunakan contoh kebijakan ini sebagai templat untuk membuat kebijakan kustom Anda sendiri. Lihat [dokumentasi](https://docs.aws.amazon.com/index.html) layanan Anda untuk informasi lebih lanjut.
Dalam video berikut, pelajari selengkapnya tentang cara menggunakan kunci kondisi `aws:ResourceOrgID` dalam kebijakan.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/cWVW0xAiWwc)
### aws:ResourceTag/*tag-key*
Gunakan kunci ini untuk membandingkan pasangan nilai kunci tag yang Anda tentukan dalam kebijakan dengan pasangan nilai kunci yang dilampirkan ke sumber daya. Misalnya, Anda dapat meminta agar akses ke sumber daya hanya diperbolehkan jika sumber daya memiliki kunci tanda yang dilampirkan `"Dept"` dengan nilai `"Marketing"`. Untuk informasi selengkapnya, lihat [Mengontrol akses ke AWS sumber daya](access_tags.md#access_tags_control-resources).
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan ketika sumber daya yang diminta sudah memiliki tag terlampir atau dalam permintaan yang membuat sumber daya dengan tag terlampir. Kunci ini hanya dikembalikan untuk sumber daya yang [mendukung otorisasi berdasarkan tanda](reference_aws-services-that-work-with-iam.md). Ada satu kunci konteks untuk setiap pasangan nilai kunci tanda.
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
Kunci konteks ini diformat `"aws:ResourceTag/tag-key":"tag-value"` di mana *tag-key* dan *tag-value* merupakan kunci tag dan pasangan nilai. Tombol tag tidak peka huruf besar/kecil. Ini berarti jika Anda menentukan `"aws:ResourceTag/TagKey1": "Value1"` dalam elemen ketentuan kebijakan Anda, kemudian ketentuan tersebut cocok dengan kunci tanda sumber daya bernama `TagKey1` atau `tagkey1`, tetapi tidak keduanya. Nilai dalam key/value pasangan tag ini peka huruf besar/kecil. Ini berarti bahwa jika Anda menentukan `"aws:ResourceTag/TagKey1": "Production"` dalam elemen kondisi kebijakan Anda, maka kondisi tersebut cocok dengan nilai tag sumber daya bernama `Production` tetapi tidak akan cocok `production` atau`PRODUCTION`.
Untuk contoh menggunakan `aws:ResourceTag` kunci untuk mengontrol akses ke sumber daya IAM, lihat[Mengontrol akses ke AWS sumber daya](access_tags.md#access_tags_control-resources).
Untuk contoh menggunakan `aws:ResourceTag` kunci untuk mengontrol akses ke AWS sumber daya lain, lihat[Mengontrol akses ke AWS sumber daya menggunakan tag](access_tags.md).
Untuk tutorial tentang menggunakan kunci kondisi `aws:ResourceTag` untuk kontrol akses berbasis atribut (ABAC), lihat [Tutorial IAM: Tentukan izin untuk mengakses AWS sumber daya berdasarkan tag](tutorial_attribute-based-access-control.md).
## Properti permintaan
Gunakan tombol kondisi berikut untuk membandingkan detail tentang permintaan itu sendiri dan konten permintaan dengan properti permintaan yang Anda tentukan dalam kebijakan.
### aws:CalledVia
Gunakan kunci ini untuk membandingkan layanan dalam kebijakan, layanan yang membuat permintaan atas nama prinsipal IAM (pengguna atau peran). Ketika kepala sekolah membuat permintaan ke AWS layanan, layanan itu mungkin menggunakan kredensi kepala sekolah untuk membuat permintaan berikutnya ke layanan lain. Ketika permintaan dibuat menggunakan sesi akses maju (FAS), kunci ini diatur dengan nilai prinsipal layanan. Kunci `aws:CalledVia` berisi daftar yang dipesan dari setiap layanan dalam rantai yang membuat permintaan atas nama utama.
Untuk informasi selengkapnya, lihat [Teruskan sesi akses](access_forward_access_sessions.md).
+ **Ketersedian** – Kunci ini tersedia dalam permintaan saat layanan yang mendukung `aws:CalledVia` menggunakan kredensial prinsipal IAM untuk mengajukan permintaan ke layanan lain. Kunci ini tidak ada jika layanan menggunakan peran [layanan atau peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) untuk melakukan panggilan atas nama kepala sekolah. Kunci ini juga tidak tersedia jika prinsipal menelepon langsung.
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String) (daftar)
+ **Jenis nilai** — Multivalued
Untuk menggunakan kunci `aws:CalledVia` kondisi dalam kebijakan, Anda harus memberikan prinsip layanan untuk mengizinkan atau menolak AWS permintaan layanan. Misalnya, Anda dapat menggunakan AWS CloudFormation untuk membaca dan menulis dari tabel Amazon DynamoDB. DynamoDB kemudian menggunakan enkripsi yang disediakan AWS Key Management Service oleh ().AWS KMS
Untuk memungkinkan atau menolak akses ketika *setiap* layanan membuat permintaan dengan menggunakan kredensial prinsipal, gunakan kunci kondisi `aws:ViaAWSService`. Kunci kondisi itu mendukung AWS layanan.
Kunci `aws:CalledVia` adalah [tombol multinilai](reference_policies_condition-single-vs-multi-valued-context-keys.md). Namun, Anda tidak dapat menerapkan perintah menggunakan kunci ini dalam suatu kondisi. Menggunakan contoh di atas, **Pengguna 1** membuat permintaan ke CloudFormation, yang memanggil DynamoDB, yang memanggil. AWS KMS Ini adalah tiga permintaan terpisah. Panggilan terakhir ke AWS KMS dilakukan oleh Pengguna 1 *melalui* CloudFormation dan kemudian DynamoDB.
![\[Contoh menggunakan aws: CalledVia\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/condition-key-calledvia-example-diagram.png)
Dalam kasus ini, kunci `aws:CalledVia` dalam konteks permintaan mencakup `cloudformation.amazonaws.com` dan `dynamodb.amazonaws.com`, dalam urutan tersebut. Jika Anda hanya peduli bahwa panggilan dilakukan melalui DynamoDB di suatu tempat dalam rantai permintaan, Anda dapat menggunakan kunci kondisi ini dalam kebijakan Anda.
Misalnya, kebijakan berikut memungkinkan pengelolaan AWS KMS kunci bernama`my-example-key`, tetapi hanya jika DynamoDB adalah salah satu layanan yang meminta. Operator `ForAnyValue:StringEquals` kondisi memastikan bahwa DynamoDB adalah salah satu layanan panggilan. Jika prinsipal langsung memanggil AWS KMS , kondisi akan memberikan `false` dan permintaan tersebut tidak diizinkan oleh kebijakan ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "KmsActionsIfCalledViaDynamodb",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/my-example-key",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"dynamodb.amazonaws.com"
]
}
}
}
]
}
```
------
Jika Anda ingin memberlakukan layanan mana yang membuat panggilan pertama atau terakhir dalam rantai, Anda dapat menggunakan kunci `aws:CalledViaFirst` dan `aws:CalledViaLast`. Misalnya, kebijakan berikut memungkinkan pengelolaan kunci yang diberi nama `my-example-key` AWS KMS. AWS KMS Operasi ini hanya diperbolehkan jika beberapa permintaan disertakan dalam rantai. Permintaan pertama harus dilakukan melalui CloudFormation dan yang terakhir melalui DynamoDB. Jika layanan lain membuat permintaan di tengah rantai, operasi masih diizinkan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "KmsActionsIfCalledViaChain",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/my-example-key",
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "cloudformation.amazonaws.com",
"aws:CalledViaLast": "dynamodb.amazonaws.com"
}
}
}
]
}
```
------
Kunci `aws:CalledViaFirst` dan `aws:CalledViaLast` tersedia dalam permintaan saat layanan menggunakan kredensial prisipal IAM untuk menghubungi layanan lain. Mereka menunjukkan layanan pertama dan terakhir yang melakukan panggilan dalam rantai permintaan. Misalnya, asumsikan bahwa CloudFormation memanggil layanan lain bernama`X Service`, yang memanggil DynamoDB, yang kemudian memanggil. AWS KMS Panggilan terakhir ke AWS KMS dilakukan oleh `User 1` *via* CloudFormation, kemudian`X Service`, dan kemudian DynamoDB. Ini pertama kali dipanggil via CloudFormation dan terakhir dipanggil melalui DynamoDB.
![\[Contoh menggunakan aws: CalledViaFirst dan aws: CalledViaLast\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/condition-key-calledviafirstlast-example-diagram.png)
### aws:CalledViaFirst
Gunakan kunci ini untuk membandingkan layanan dalam kebijakan dengan ***layanan pertama*** yang mengajukan permintaan atas nama prinsipal IAM (pengguna atau peran). Untuk informasi selengkapnya, lihat `aws:CalledVia`.
+ **Ketersediaan** – Kunci ini tersedia dalam permintaan ketika layanan menggunakan kredensial dari prinsipal IAM untuk membuat setidaknya satu permintaan lain ke layanan yang berbeda. Kunci ini tidak ada jika layanan menggunakan peran [layanan atau peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) untuk melakukan panggilan atas nama kepala sekolah. Kunci ini juga tidak tersedia jika prinsipal menelepon langsung.
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
### aws:CalledViaLast
Gunakan kunci ini untuk membandingkan layanan dalam kebijakan dengan *layanan terakhir* yang mengajukan permintaan atas nama prinsipal IAM (pengguna atau peran). Untuk informasi selengkapnya, lihat `aws:CalledVia`.
+ **Ketersediaan** – Kunci ini tersedia dalam permintaan ketika layanan menggunakan kredensial dari prinsipal IAM untuk membuat setidaknya satu permintaan lain ke layanan yang berbeda. Kunci ini tidak ada jika layanan menggunakan peran [layanan atau peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) untuk melakukan panggilan atas nama kepala sekolah. Kunci ini juga tidak tersedia jika prinsipal menelepon langsung.
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
### aws:ViaAWSService
Gunakan kunci ini untuk memeriksa apakah Layanan AWS membuat permintaan ke layanan lain atas nama Anda menggunakan [sesi akses teruskan (FAS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
Kunci konteks permintaan kembali `true` ketika layanan menggunakan sesi akses penerusan untuk membuat permintaan atas nama prinsipal IAM asli. Kunci konteks permintaan juga memberikan `false` saat prisipal langsung memanggil.
+ **Ketersediaan** – Kunci ini selalu disertakan dalam konteks permintaan.
+ **Tipe data** — [Boolean](reference_policies_elements_condition_operators.md#Conditions_Boolean)
+ **Jenis nilai** - Bernilai tunggal
### aws:CalledViaAWSMCP
Gunakan kunci ini untuk membandingkan layanan dalam kebijakan dengan layanan AWS MCP yang membuat permintaan atas nama prinsipal IAM (pengguna atau peran). Ketika kepala sekolah membuat permintaan ke layanan AWS MCP, layanan tersebut menggunakan kredensi kepala sekolah untuk membuat permintaan berikutnya ke layanan lain. Ketika permintaan dibuat menggunakan layanan AWS MCP, kunci ini diatur dengan nilai prinsipal layanan. `aws:CalledViaAWSMCP`Kunci tersebut berisi nama utama layanan dari layanan MCP yang membuat permintaan atas nama kepala sekolah.
+ **Ketersediaan** — Kunci ini hadir dalam permintaan ketika layanan AWS MCP menggunakan kredensi kepala IAM untuk mengajukan permintaan ke layanan. AWS Kunci ini juga tidak tersedia jika prinsipal menelepon langsung.
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
Anda dapat menggunakan kunci kondisi ini untuk mengizinkan atau menolak akses berdasarkan server MCP tertentu yang memulai permintaan. Misalnya, kebijakan berikut menolak operasi penghapusan sensitif ketika dimulai melalui server MCP tertentu:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenySensitiveActionsViaSpecificMCP",
"Effect": "Deny",
"Action": [
"s3:DeleteBucket",
"s3:DeleteObject",
"dynamodb:DeleteTable"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaAWSMCP": "aws-mcp.amazonaws.com"
}
}
}
]
}
```
### aws:ViaAWSMCPService
Gunakan kunci ini untuk memeriksa apakah layanan AWS MCP membuat permintaan ke AWS layanan lain atas nama Anda menggunakan sesi akses teruskan (FAS). Kunci konteks permintaan kembali `true` ketika layanan AWS MCP meneruskan permintaan ke AWS layanan atas nama prinsipal IAM asli. Kunci konteks permintaan juga memberikan `false` saat prisipal langsung memanggil.
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan ketika server AWS MCP membuat permintaan ke AWS layanan hilir atas nama prinsipal IAM.
+ **Tipe data** — [Boolean](reference_policies_elements_condition_operators.md#Conditions_Boolean)
+ **Jenis nilai** - Bernilai tunggal
Anda dapat menggunakan kunci ini untuk membatasi tindakan tertentu ketika mereka datang melalui server MCP. Misalnya, kebijakan berikut menolak operasi penghapusan sensitif saat dimulai melalui server AWS MCP apa pun:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenySensitiveActionsViaMCP",
"Effect": "Deny",
"Action": [
"s3:DeleteBucket",
"s3:DeleteObject",
"dynamodb:DeleteTable"
],
"Resource": "*",
"Condition": {
"Bool": {
"aws:ViaAWSMCPService": "true"
}
}
}
]
}
```
### aws:CurrentTime
Gunakan kunci ini untuk membandingkan tanggal dan waktu permintaan dengan tanggal dan waktu yang Anda sebutkan dalam kebijakan. Untuk melihat contoh kebijakan yang menggunakan kunci kondisi ini, lihat [AWS: Mengizinkan akses berdasarkan tanggal dan waktu](reference_policies_examples_aws-dates.md).
+ **Ketersediaan** – Kunci ini selalu disertakan dalam konteks permintaan.
+ **Tipe data** - [Tanggal](reference_policies_elements_condition_operators.md#Conditions_Date)
+ **Jenis nilai** - Bernilai tunggal
### aws:EpochTime
Gunakan kunci ini untuk membandingkan tanggal dan waktu permintaan dalam epoch atau waktu Unix dengan nilai yang Anda tentukan dalam kebijakan. Kunci ini juga menerima jumlah detik sejak 1 Januari 1970.
+ **Ketersediaan** – Kunci ini selalu disertakan dalam konteks permintaan.
+ **Tipe data** - [Tanggal](reference_policies_elements_condition_operators.md#Conditions_Date), [Numerik](reference_policies_elements_condition_operators.md#Conditions_Numeric)
+ **Jenis nilai** - Bernilai tunggal
### aws:referer
Gunakan kunci ini untuk membandingkan siapa yang mereferensikan permintaan di browser klien denga perujuk yang Anda tentukan dalam kebijakan. Nilai konteks permintaan `aws:referer` diberikan oleh penelepon dalam header HTTP. Header `Referer` disertakan dalam permintaan browser web saat Anda memilih tautan di halaman web. Header `Referer` berisi URL halaman web tempat tautan dipilih.
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan hanya jika permintaan ke AWS sumber daya dipanggil dengan menautkan dari URL halaman web di browser. Kunci ini tidak disertakan untuk permintaan terprogram karena tidak menggunakan tautan browser untuk mengakses sumber daya AWS .
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
Misalnya, Anda dapat mengakses objek Amazon S3 secara langsung menggunakan URL atau menggunakan invokasi API langsung. Untuk informasi lebih lanjut, lihat [Operasi API Amazon S3 secara langsung menggunakan browser web](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies.html#example-bucket-policies-use-case-4). Saat Anda mengakses objek Amazon S3 dari URL yang ada di halaman web, URL halaman web sumber digunakan. `aws:referer` Saat Anda mengakses objek Amazon S3 dengan mengetikkan URL ke browser Anda, tidak `aws:referer` ada. Saat Anda meminta API secara langsung, `aws:referer` juga tidak ada. Anda dapat menggunakan kunci kondisi `aws:referer` dalam kebijakan untuk memungkinkan permintaan yang dibuat dari perujuk spesifik, seperti tautan di halaman web dalam domain perusahaan Anda.
**Awas**
Kunci ini harus digunakan dengan hati-hati. Menyertakan nilai header perujuk yang diketahui publik bukanlah sesuatu yang aman. Pihak yang tidak berwenang dapat menggunakan browser yang diubah atau disesuaikan untuk menyediakan nilai `aws:referer` yang mereka pilih. Akibatnya, tidak `aws:referer` boleh digunakan untuk mencegah pihak yang tidak berwenang membuat AWS permintaan langsung. Ini ditawarkan untuk memungkinkan pelanggan melindungi konten digital mereka, seperti konten yang disimpan di Amazon S3, agar tidak dirujuk pada pihak ketiga yang tidak berwenang.
### aws:RequestedRegion
Gunakan kunci ini untuk membandingkan AWS Wilayah yang dipanggil dalam permintaan dengan Wilayah yang Anda tentukan dalam kebijakan. Anda dapat menggunakan kunci kondisi global ini untuk mengontrol Wilayah mana yang dapat diminta. Untuk melihat AWS Wilayah untuk setiap layanan, lihat [Titik akhir dan kuota Layanan](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html) di. *Referensi Umum Amazon Web Services*
+ **Ketersediaan** – Kunci ini selalu disertakan dalam konteks permintaan.
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
Beberapa layanan global, seperti IAM, memiliki satu titik akhir. Karena titik akhir ini berada secara fisik di Wilayah Timur AS (N. Virginia), panggilan IAM selalu dilakukan ke Wilayah us-east-1. Misalnya, jika Anda membuat kebijakan yang menolak akses ke semua layanan jika Wilayah yang diminta bukan wilayah us-west-2, maka panggilan IAM selalu gagal. Untuk melihat contoh cara bekerja di sekitar ini, lihat [NotAction dengan Penolakan](reference_policies_elements_notaction.md).
**catatan**
Kunci kondisi `aws:RequestedRegion` ini memungkinkan Anda mengontrol titik akhir layanan yang dipilih tetapi tidak mengendalikan dampak operasi. Beberapa layanan memiliki dampak lintas Wilayah..
Misalnya, Amazon S3 memiliki operasi API yang meluas di seluruh wilayah.
Anda dapat meminta `s3:PutBucketReplication` di satu Wilayah (yang dipengaruhi oleh kunci kondisi `aws:RequestedRegion`, tetapi Wilayah lainnya dipengaruhi berdasarkan pengaturan konfigurasi replikasi.
Anda dapat memanggil `s3:CreateBucket` untuk membuat bucket di wilayah lain, dan menggunakan tombol `s3:LocationConstraint` kondisi untuk mengontrol wilayah yang berlaku.
Anda dapat menggunakan kunci konteks ini untuk membatasi akses ke AWS layanan dalam kumpulan Wilayah tertentu. Misalnya, kebijakan berikut memungkinkan pengguna untuk melihat semua instans Amazon EC2 di. Konsol Manajemen AWS Namun, hal ini hanya memungkinkan mereka untuk membuat perubahan pada instans di Irlandia (eu-west-1), London (eu-west-2), atau Paris (eu-west-3).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InstanceConsoleReadOnly",
"Effect": "Allow",
"Action": [
"ec2:Describe*",
"ec2:Export*",
"ec2:Get*",
"ec2:Search*"
],
"Resource": "*"
},
{
"Sid": "InstanceWriteRegionRestricted",
"Effect": "Allow",
"Action": [
"ec2:Associate*",
"ec2:Import*",
"ec2:Modify*",
"ec2:Monitor*",
"ec2:Reset*",
"ec2:Run*",
"ec2:Start*",
"ec2:Stop*",
"ec2:Terminate*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"eu-west-1",
"eu-west-2",
"eu-west-3"
]
}
}
}
]
}
```
------
### aws:RequestTag/*tag-key*
Gunakan kunci ini untuk membandingkan pasangan nilai kunci tanda yang diteruskan dalam permintaan dengan pasangan tanda yang Anda sebutkan dalam kebijakan. Misalnya, Anda dapat memeriksa apakah permintaan tersebut menyertakan kunci tanda `"Dept"` dan memiliki nilai `"Accounting"`. Untuk informasi selengkapnya, lihat [Mengontrol akses selama AWS permintaan](access_tags.md#access_tags_control-requests).
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan saat pasangan nilai kunci tag diteruskan dalam permintaan. Ketika beberapa tanda diteruskan dalam permintaan, ada satu kunci konteks untuk setiap pasangan nilai kunci tanda.
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
Kunci konteks ini diformat `"aws:RequestTag/tag-key":"tag-value"` di mana *tag-key* dan *tag-value* merupakan kunci tag dan pasangan nilai. Tombol tag tidak peka huruf besar/kecil. Ini berarti bahwa jika Anda menentukan `"aws:RequestTag/TagKey1": "Value1"` dalam elemen kondisi kebijakan Anda, maka kondisi akan cocok dengan kunci tag permintaan bernama salah satu `TagKey1` atau`tagkey1`, tetapi tidak keduanya. Nilai dalam key/value pasangan tag ini peka huruf besar/kecil. Ini berarti bahwa jika Anda menentukan `"aws:RequestTag/TagKey1": "Production"` dalam elemen kondisi kebijakan Anda, maka kondisi tersebut cocok dengan nilai tag permintaan bernama `Production` tetapi tidak akan cocok `production` atau`PRODUCTION`.
Contoh ini menunjukkan bahwa meskipun kuncinya bernilai tunggal, Anda masih dapat menggunakan beberapa pasangan nilai kunci dalam permintaan jika kuncinya berbeda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2::111122223333:instance/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/environment": [
"preprod",
"production"
],
"aws:RequestTag/team": [
"engineering"
]
}
}
}
}
```
------
### aws:TagKeys
Gunakan kunci ini untuk membandingkan kunci tanda dalam permintaan dengan kunci yang Anda sebutkan dalam kebijakan. Sebaiknya saat Anda menggunakan kebijakan untuk mengontrol akses menggunakan tag, gunakan tombol `aws:TagKeys` kondisi untuk menentukan kunci tag apa yang diizinkan. Untuk contoh kebijakan dan informasi selengkapnya, lihat [Mengontrol akses berdasarkan kunci tanda](access_tags.md#access_tags_control-tag-keys).
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan jika operasi mendukung tag yang lewat dalam permintaan.
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String) (daftar)
+ **Jenis nilai** — Multivalued
Kunci konteks ini diformat `"aws:TagKeys":"tag-key"` di mana *tag-key* adalah daftar kunci tag tanpa nilai (misalnya,`["Dept","Cost-Center"]`).
Karena Anda dapat memasukkan beberapa pasangan nilai kunci tanda dalam permintaan, konten permintaan dapat berupa permintaan [multinilai](reference_policies_condition-single-vs-multi-valued-context-keys.md). Dalam hal ini, Anda harus menggunakan operator kumpulan `ForAllValues` atau `ForAnyValue`. Untuk informasi selengkapnya, lihat [Tetapkan operator untuk kunci konteks multivaluasi](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).
Beberapa layanan mendukung penandaan dengan operasi sumber daya, seperti membuat, mengubah, atau menghapus sumber daya. Untuk memungkinkan penandaan dan operasi sebagai satu panggilan, Anda harus membuat kebijakan yang mencakup tindakan penandaan dan tindakan pemodifikasian sumber daya. Kemudian, Anda dapat menggunakan kunci kondisi `aws:TagKeys` untuk menerapkan penggunaan kunci tanda tertentu dalam permintaan. Misalnya, untuk membatasi tag saat seseorang membuat snapshot Amazon EC2 Anda harus menyertakan `ec2:CreateSnapshot` tindakan pembuatan ***dan*** `ec2:CreateTags` menandai tindakan di dalam kebijakan. Untuk melihat kebijakan skenario yang digunakan ini`aws:TagKeys`, lihat [Membuat Snapshot dengan Tag](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-creating-snapshot-with-tags) di Panduan Pengguna *Amazon EC2*.
### aws:SecureTransport
Gunakan kunci ini untuk memeriksa apakah permintaan dikirim menggunakan TLS. Konteks permintaan mengembalikan `true` atau `false`. Dalam kebijakan, Anda dapat mengizinkan tindakan tertentu hanya jika permintaan dikirim menggunakan TLS.
+ **Ketersediaan** – Kunci ini selalu disertakan dalam konteks permintaan.
+ **Tipe data** — [Boolean](reference_policies_elements_condition_operators.md#Conditions_Boolean)
+ **Jenis nilai** - Bernilai tunggal
**catatan**
Saat Layanan AWS melakukan panggilan ke orang lain Layanan AWS atas nama Anda (service-to-service panggilan), konteks otorisasi khusus jaringan tertentu akan dihapus. Jika kebijakan Anda menggunakan kunci kondisi ini dengan `Deny` pernyataan, Layanan AWS prinsipal mungkin diblokir secara tidak sengaja. Layanan AWS Agar dapat bekerja dengan baik sambil mempertahankan persyaratan keamanan Anda, kecualikan prinsip layanan dari `Deny` pernyataan Anda dengan menambahkan kunci `aws:PrincipalIsAWSService` kondisi dengan nilai. `false` Contoh:
```
{
"Effect": "Deny",
"Action": "s3:*",
"Resource": "*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false",
"aws:PrincipalIsAWSService": "false"
}
}
}
```
Kebijakan ini menolak akses ke operasi Amazon S3 ketika HTTPS tidak digunakan `aws:SecureTransport` (salah), tetapi hanya untuk prinsipal AWS non-layanan. Ini memastikan pembatasan bersyarat Anda berlaku untuk semua kepala sekolah kecuali kepala sekolah. Layanan AWS
### aws:SourceAccount
Gunakan kunci ini untuk membandingkan ID akun sumber daya yang membuat service-to-service permintaan dengan ID akun yang Anda tentukan dalam kebijakan, tetapi hanya jika permintaan dibuat oleh kepala AWS layanan.
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan hanya ketika panggilan ke sumber daya Anda dilakukan langsung oleh [kepala AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services) atas nama sumber daya yang konfigurasi memicu service-to-service permintaan. Layanan panggilan meneruskan ID akun dari sumber daya asli ke layanan yang disebut.
**catatan**
Kunci ini menyediakan mekanisme yang seragam untuk menegakkan kontrol wakil lintas layanan yang membingungkan. Layanan AWS Namun, tidak semua integrasi layanan memerlukan penggunaan kunci kondisi global ini. Lihat dokumentasi yang Layanan AWS Anda gunakan untuk informasi lebih lanjut tentang mekanisme khusus layanan untuk mengurangi risiko wakil lintas layanan yang membingungkan.
![\[aws: SourceAccount\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/sourceAccount.png)
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
Anda dapat menggunakan kunci kondisi ini untuk membantu memastikan bahwa layanan panggilan dapat mengakses sumber daya Anda hanya jika permintaan berasal dari akun tertentu. Misalnya, Anda dapat melampirkan kebijakan kontrol sumber daya (RCP) berikut untuk menolak permintaan oleh prinsipal layanan terhadap bucket Amazon S3, kecuali jika dipicu oleh sumber daya di akun yang ditentukan. Kebijakan ini menerapkan kontrol hanya pada permintaan oleh service principals (`"Bool": {"aws:PrincipalIsAWSService": "true"}`) yang memiliki `aws:SourceAccount` key present (`"Null": {"aws:SourceAccount": "false"}`), sehingga integrasi layanan yang tidak memerlukan penggunaan kunci ini dan panggilan oleh prinsipal Anda tidak terpengaruh. Jika `aws:SourceAccount` kunci hadir dalam konteks permintaan, `Null` kondisi akan dievaluasi`true`, menyebabkan `aws:SourceAccount` kunci ditegakkan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RCPEnforceConfusedDeputyProtection",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:*"
],
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"aws:SourceAccount": "111122223333"
},
"Null": {
"aws:SourceAccount": "false"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
}
]
}
```
------
Dalam kebijakan berbasis sumber daya di mana prinsipal adalah Layanan AWS prinsipal, gunakan kunci untuk membatasi izin yang diberikan kepada layanan. Misalnya, saat bucket Amazon S3 dikonfigurasi untuk mengirim notifikasi ke topik Amazon SNS, layanan Amazon S3 akan memanggil `sns:Publish` operasi API untuk semua peristiwa yang dikonfigurasi. Dalam kebijakan topik yang memungkinkan `sns:Publish` pengoperasian, tetapkan nilai kunci kondisi ke ID akun bucket Amazon S3.
### aws:SourceArn
Gunakan kunci ini untuk membandingkan [Nama Sumber Daya Amazon (ARN)](reference_identifiers.md#identifiers-arns) sumber daya yang membuat service-to-service permintaan dengan ARN yang Anda tentukan dalam kebijakan, tetapi hanya jika permintaan dibuat oleh kepala layanan. AWS Ketika ARN sumber menyertakan ID akun, tidak perlu digunakan `aws:SourceAccount` dengan. `aws:SourceArn`
Kunci ini tidak bekerja dengan ARN dari prinsipal yang membuat permintaan. Sebaliknya, gunakan `aws:PrincipalArn`.
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan hanya ketika panggilan ke sumber daya Anda dilakukan langsung oleh [kepala AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services) atas nama sumber daya yang konfigurasi memicu service-to-service permintaan. Layanan panggilan melewati ARN dari sumber daya asli ke layanan yang disebut.
**catatan**
Kunci ini menyediakan mekanisme yang seragam untuk menegakkan kontrol wakil lintas layanan yang membingungkan. Layanan AWS Namun, tidak semua integrasi layanan memerlukan penggunaan kunci kondisi global ini. Lihat dokumentasi yang Layanan AWS Anda gunakan untuk informasi lebih lanjut tentang mekanisme khusus layanan untuk mengurangi risiko wakil lintas layanan yang membingungkan.
![\[aws: SourceArn\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/sourceArn.png)
+ **Tipe data** — ARN
AWS merekomendasikan agar Anda menggunakan operator [ARN alih-alih operator](reference_policies_elements_condition_operators.md#Conditions_ARN) [string saat membandingkan](reference_policies_elements_condition_operators.md#Conditions_String). ARNs
+ **Jenis nilai** - Bernilai tunggal
Anda dapat menggunakan kunci kondisi ini untuk membantu memastikan bahwa layanan panggilan dapat mengakses sumber daya Anda hanya jika permintaan berasal dari sumber daya tertentu. Saat menggunakan kebijakan berbasis sumber daya dengan Layanan AWS prinsipal sebagai`Principal`, setel nilai kunci kondisi ini ke ARN sumber daya yang ingin Anda batasi aksesnya. Misalnya, saat bucket Amazon S3 dikonfigurasi untuk mengirim notifikasi ke topik Amazon SNS, layanan Amazon S3 akan memanggil `sns:Publish` operasi API untuk semua peristiwa yang dikonfigurasi. Dalam kebijakan topik yang memungkinkan `sns:Publish` pengoperasian, tetapkan nilai kunci kondisi ke ARN bucket Amazon S3. Untuk rekomendasi tentang kapan menggunakan kunci kondisi ini dalam kebijakan berbasis sumber daya, lihat dokumentasi untuk yang Anda gunakan. Layanan AWS
### aws:SourceOrgID
Gunakan kunci ini untuk membandingkan [ID organisasi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_details.html) sumber daya yang membuat service-to-service permintaan dengan ID organisasi yang Anda tentukan dalam kebijakan, tetapi hanya jika permintaan dibuat oleh prinsipal AWS layanan. Saat menambahkan dan menghapus akun ke organisasi AWS Organizations, kebijakan yang menyertakan `aws:SourceOrgID` kunci secara otomatis menyertakan akun yang benar dan Anda tidak perlu memperbarui kebijakan secara manual.
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan hanya ketika panggilan ke sumber daya Anda dilakukan langsung oleh [kepala AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services) atas nama sumber daya yang dimiliki oleh akun yang merupakan anggota organisasi. Layanan panggilan meneruskan ID organisasi dari sumber daya asli ke layanan yang disebut.
**catatan**
Kunci ini menyediakan mekanisme yang seragam untuk menegakkan kontrol wakil lintas layanan yang membingungkan. Layanan AWS Namun, tidak semua integrasi layanan memerlukan penggunaan kunci kondisi global ini. Lihat dokumentasi yang Layanan AWS Anda gunakan untuk informasi lebih lanjut tentang mekanisme khusus layanan untuk mengurangi risiko wakil lintas layanan yang membingungkan.
![\[aws: SourceOrg ID\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/sourceOrgID.png)
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
Anda dapat menggunakan kunci kondisi ini untuk membantu memastikan bahwa layanan panggilan dapat mengakses sumber daya Anda hanya jika permintaan berasal dari organisasi tertentu. Misalnya, Anda dapat melampirkan kebijakan kontrol sumber daya (RCP) berikut untuk menolak permintaan oleh prinsipal layanan terhadap bucket Amazon S3, kecuali jika dipicu oleh sumber daya di organisasi yang ditentukan. AWS Kebijakan ini menerapkan kontrol hanya pada permintaan oleh service principals (`"Bool": {"aws:PrincipalIsAWSService": "true"}`) yang memiliki `aws:SourceAccount` key present (`"Null": {"aws:SourceAccount": "false"}`), sehingga integrasi layanan yang tidak memerlukan penggunaan kunci dan panggilan oleh prinsipal Anda tidak terpengaruh. Jika `aws:SourceAccount` kunci hadir dalam konteks permintaan, `Null` kondisi akan dievaluasi`true`, menyebabkan `aws:SourceOrgID` kunci ditegakkan. Kami menggunakan operator `aws:SourceAccount` bukan `aws:SourceOrgID` dalam `Null` kondisi sehingga kontrol masih berlaku jika permintaan berasal dari akun yang bukan milik organisasi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RCPEnforceConfusedDeputyProtection",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:*"
],
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"aws:SourceOrgID": "o-xxxxxxxxxx"
},
"Null": {
"aws:SourceAccount": "false"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
}
]
}
```
------
### aws:SourceOrgPaths
Gunakan kunci ini untuk membandingkan AWS Organizations jalur sumber daya yang membuat service-to-service permintaan dengan jalur organisasi yang Anda tentukan dalam kebijakan, tetapi hanya jika permintaan dibuat oleh kepala AWS layanan. AWS Organizations Path adalah representasi teks dari struktur suatu AWS Organizations entitas. Untuk informasi selengkapnya tentang menggunakan dan memahami jalur, lihat [Memahami jalur AWS Organizations entitas](access_policies_last-accessed-view-data-orgs.md#access_policies_last-accessed-viewing-orgs-entity-path).
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan hanya ketika panggilan ke sumber daya Anda dilakukan langsung oleh [kepala AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services) atas nama sumber daya yang dimiliki oleh akun yang merupakan anggota organisasi. Layanan panggilan melewati jalur organisasi sumber daya asli ke layanan yang disebut.
**catatan**
Kunci ini menyediakan mekanisme yang seragam untuk menegakkan kontrol wakil lintas layanan yang membingungkan. Layanan AWS Namun, tidak semua integrasi layanan memerlukan penggunaan kunci kondisi global ini. Lihat dokumentasi yang Layanan AWS Anda gunakan untuk informasi lebih lanjut tentang mekanisme khusus layanan untuk mengurangi risiko wakil lintas layanan yang membingungkan.
![\[aws: SourceOrgPaths\]](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/sourceOrgPaths.png)
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String) (daftar)
+ **Jenis nilai** — Multivalued
Gunakan kunci kondisi ini untuk membantu memastikan bahwa layanan panggilan dapat mengakses sumber daya Anda hanya jika permintaan berasal dari unit organisasi (OU) tertentu. AWS Organizations
Demikian pula`aws:SourceOrgID`, untuk membantu mencegah dampak pada integrasi layanan yang tidak memerlukan penggunaan kunci ini, gunakan operator `Null` `aws:SourceAccount` kondisi dengan kunci kondisi sehingga kontrol tetap berlaku jika permintaan berasal dari akun yang bukan milik organisasi.
```
{
"Condition": {
"ForAllValues:StringNotLikeIfExists": {
"aws:SourceOrgPaths": "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/"
},
"Null": {
"aws:SourceAccount": "false"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
}
```
`aws:SourceOrgPaths` adalah kunci kondisi multinilai. Kunci multivalued dapat memiliki beberapa nilai dalam konteks permintaan. Anda harus menggunakan `ForAnyValue` atau `ForAllValues` mengatur operator dengan [operator kondisi string](reference_policies_elements_condition_operators.md#Conditions_String) untuk kunci ini. Untuk informasi selengkapnya tentang kunci kondisi multinilai ini, lihat [Tetapkan operator untuk kunci konteks multivaluasi](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).
### aws:UserAgent
Gunakan kunci ini untuk membandingkan aplikasi klien pemohon dan aplikasi yang Anda tentukan dalam kebijakan.
+ **Ketersediaan** – Kunci ini selalu disertakan dalam konteks permintaan.
+ **Tipe data** - [String](reference_policies_elements_condition_operators.md#Conditions_String)
+ **Jenis nilai** - Bernilai tunggal
**Awas**
Kunci ini harus digunakan dengan hati-hati. Sejak `aws:UserAgent` nilai disediakan oleh pemanggil dalam header HTTP, pihak yang tidak berwenang dapat menggunakan browser yang diubah atau disesuaikan untuk menyediakan nilai `aws:UserAgent` yang mereka pilih. Akibatnya, tidak `aws:UserAgent` boleh digunakan untuk mencegah pihak yang tidak berwenang membuat AWS permintaan langsung. Anda dapat menggunakannya hanya untuk mengizinkan aplikasi klien tertentu, dan hanya setelah menguji kebijakan Anda.
### aws:IsMcpServiceAction
Gunakan kunci ini untuk memverifikasi bahwa tindakan yang diotorisasi adalah tindakan Layanan MCP. Kunci ini tidak mengacu pada tindakan yang diambil oleh layanan MCP ke AWS layanan lain.
+ **Ketersediaan** — Kunci ini disertakan dalam konteks permintaan dan disetel ke True hanya jika layanan MCP mengotorisasi tindakan layanan MCP.
+ **Tipe data** — [Boolean](reference_policies_elements_condition_operators.md#Conditions_Boolean)
+ **Jenis nilai** - Bernilai tunggal
## Kunci kondisi lintas layanan lainnya
AWS STS [mendukung [kunci kondisi federasi berbasis SAMP dan kunci kondisi](reference_policies_iam-condition-keys.md#condition-keys-saml) lintas layanan untuk federasi OIDC.](reference_policies_iam-condition-keys.md#condition-keys-wif) Kunci ini tersedia ketika pengguna yang difederasi menggunakan OIDC atau SAMP melakukan AWS operasi di layanan lain.