Chiavi del contesto di condizione IAM e AWS STS - AWS Identity and Access Management
Chiavi disponibili per IAMChiavi disponibili per la federazione OIDC AWSChiavi disponibili per la federazione AWS STS basata su SAMLChiavi di contesto di federazione AWS STS basate su SAML tra serviziChiavi disponibili per AWS STS

Chiavi del contesto di condizione IAM e AWS STS

Per verificare il valore delle chiavi incluse nel contesto della richiesta di tutte le richieste Condition è possibile utilizzare l'elemento AWS in una policy JSON. Queste chiavi forniscono informazioni sulla richiesta in sé o sulle risorse a cui la richiesta fa riferimento. È possibile controllare che le chiavi abbiano determinati valori prima di consentire l'operazione richiesta dall'utente. Ciò consente un controllo granulare sulla corrispondenza o meno delle istruzioni della policy JSON rispetto a una richiesta API in ingresso. Per informazioni su come utilizzare l'elemento Condition in una policy JSON, consulta Elementi delle policy JSON IAM: Condition.

Questo argomento descrive le chiavi definite e fornite dal servizio IAM iam: (con un prefisso ) e dal servizio AWS Security Token Service (AWS STS) (con un prefisso sts:). Anche diversi altri servizi AWS offrono chiavi specifiche del servizio, pertinenti alle operazioni e alle risorse definite da tale servizio. Per ulteriori informazioni, consulta Operazioni, risorse e chiavi di condizione per i servizi AWS. La documentazione relativa a un servizio che supporta le chiavi di condizione contiene spesso ulteriori informazioni. Ad esempio, per informazioni sulle chiavi che puoi utilizzare nelle policy per le risorse Amazon S3, consulta Chiavi di policy Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service.

Chiavi disponibili per IAM

È possibile utilizzare le seguenti chiavi di condizione nelle policy che controllano l'accesso alle risorse IAM:

iam:AssociatedResourceArn

Lavora con operatori ARN.

Specifica l'ARN della risorsa a cui verrà associato questo ruolo al servizio di destinazione. La risorsa in genere appartiene al servizio a cui l'entità sta passando il ruolo. A volte, la risorsa potrebbe appartenere a un terzo servizio. Ad esempio, potresti passare un ruolo a Amazon EC2 Auto Scaling che può essere utilizzato in un'istanza di Amazon EC2. In questo caso, la condizione corrisponderebbe all'ARN dell'istanza Amazon EC2.

Questa chiave di condizione si applica solo all'operazione PassRole in una policy. Non può essere usata per limitare altre operazioni.

Importante

Quando si utilizza la condizione iam:AssociatedResourceArn condizione in una policy per limitare l'azione PassRole, si applicano considerazioni speciali se la policy è destinata a definire l'accesso per l'azione AddRoleToInstanceProfile. In questo caso, non è possibile specificare una regione o un ID istanza nell'ARN dell'istanza EC2. Il valore dell'ARN deve essere arn:aws:ec2:*:CallerAccountId:instance/*. L'utilizzo di qualsiasi altro valore dell'ARN può portare a risultati di valutazione imprevisti.

Utilizza questa chiave di condizione in una policy basata su identità per consentire a un'entità di passare un ruolo, ma solo se tale ruolo è associato alla risorsa specificata. Ad esempio, è possibile consentire a un utente o a un ruolo IAM di passare qualsiasi ruolo al servizio Amazon EC2 da utilizzare con istanze nell'Account AWS. L'utente o il ruolo IAM non è autorizzato a passare ruoli ad altri servizi.

{
    "Effect": "Allow",
    "Action": "iam:PassRole",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "iam:PassedToService": "ec2.amazonaws.com"
        },
        "ArnLike": {
            "iam:AssociatedResourceARN": [
                "arn:aws:ec2:*:111122223333:instance/*"
            ]
        }
    }
}
Nota

Servizi AWS che supportano iam:PassedToService supportano anche questa chiave di condizione.

iam:AWSServiceName

Lavora con operatori stringa.

Specifica il servizio AWS a cui questo ruolo è collegato.

Questa chiave di condizione è supportata dall'operazione API CreateServiceLinkedRole.

Suggerimento

Per informazioni su quali servizi supportano i ruoli collegati ai servizi, consulta la pagina AWSServizi che funzionano con IAM e cerca i servizi per cui è indicato nella colonna Ruolo collegato ai servizi. Scegliere in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.

In questo esempio, consenti a un'entità di creare un ruolo collegato al servizio utilizzando l'operazione API CreateServiceLinkedRole se il nome del servizio è access-analyzer.amazonaws.com.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [{
       "Effect": "Allow",
       "Action": "iam:CreateServiceLinkedRole",
       "Resource": "*",
       "Condition": {
         "StringLike": {
           "iam:AWSServiceName": "access-analyzer.amazonaws.com"
         }
       }
     }]
 }
iam:FIDO-certification

Lavora con operatori stringa.

Verifica il livello di certificazione FIDO del dispositivo MFA al momento della registrazione di una chiave di sicurezza FIDO. La certificazione del dispositivo viene recuperata dal FIDO Alliance Metadata Service (MDS). Se lo stato o il livello di certificazione della chiave di sicurezza FIDO cambia, questa non verrà aggiornata a meno che la registrazione del dispositivo non sia stata annullata e poi effettuata nuovamente per recuperare le informazioni di certificazione aggiornate.

Valori possibili di L1, L1plus, L2, L2plus, L3, L3plus

In questo esempio, registri una chiave di sicurezza e recuperi la certificazione FIDO Level 1 plus per il tuo dispositivo.

JSON
{
      "Version":"2012-10-17",		 	 	 
      "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-certification": "L1plus"
                }
            }
        }
    ]
                  
 }
iam:FIDO-FIPS-140-2-certification

Lavora con operatori stringa.

Verifica il livello di certificazione di convalida FIPS-140-2 del dispositivo MFA al momento della registrazione di una chiave di sicurezza FIDO. La certificazione del dispositivo viene recuperata dal FIDO Alliance Metadata Service (MDS). Se lo stato o il livello di certificazione della chiave di sicurezza FIDO cambia, questa non verrà aggiornata a meno che la registrazione del dispositivo non sia stata annullata e poi effettuata nuovamente per recuperare le informazioni di certificazione aggiornate.

Valori possibili di L1, L2, L3, L4

In questo esempio, registri una chiave di sicurezza e recuperi la certificazione FIPS-140-2 Level 2 per il tuo dispositivo.

JSON
{
      "Version":"2012-10-17",		 	 	 
      "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        }
    ]
                  
 }
iam:FIDO-FIPS-140-3-certification

Lavora con operatori stringa.

Verifica il livello di certificazione di convalida FIPS-140-3 del dispositivo MFA al momento della registrazione di una chiave di sicurezza FIDO. La certificazione del dispositivo viene recuperata dal FIDO Alliance Metadata Service (MDS). Se lo stato o il livello di certificazione della chiave di sicurezza FIDO cambia, questa non verrà aggiornata a meno che la registrazione del dispositivo non sia stata annullata e poi effettuata nuovamente per recuperare le informazioni di certificazione aggiornate.

Valori possibili di L1, L2, L3, L4

In questo esempio, registri una chiave di sicurezza e recuperi la certificazione FIPS-140-3 Level 3 per il tuo dispositivo.

JSON
{
      "Version":"2012-10-17",		 	 	 
      "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-3-certification": "L3"
                }
            }
        }
    ]
                  
 }
iam:OrganizationsPolicyId

Lavora con operatori stringa.

Controlla che la policy con l'ID AWS Organizations specificato soddisfi la policy usata nella richiesta. Per visualizzare una policy IAM di esempio che utilizza la chiave di condizione, consulta IAM: visualizzare le informazioni dell'ultimo accesso al servizio per una policy AWS Organizations.

iam:PassedToService

Lavora con operatori stringa.

Specifica il principale del servizio a cui un ruolo può essere passato. Questa chiave di condizione si applica solo all'operazione PassRole in una policy. Non può essere usata per limitare altre operazioni.

Quando si utilizza questa chiave di condizione in una policy, specificare il servizio utilizzando un principale del servizio. Il principale di un servizio è il nome di un servizio che può essere specificato nell'elemento Principal di una policy. Il formato tipico è .: SERVICE_NAME_URL.amazonaws.com.

Puoi utilizzare iam:PassedToService per limitare gli utenti in modo che possano passare ruoli solo a servizi specifici. Ad esempio, un utente può creare un ruolo di servizio che affida a CloudWatch la scrittura di dati di log in un bucket Amazon S3 per suo conto. L'utente deve quindi collegare una policy di autorizzazione e una policy di affidabilità al nuovo ruolo di servizio. In questo caso, la policy di affidabilità deve specificare cloudwatch.amazonaws.com nell'elemento Principal. Per visualizzare una policy che consente all'utente di passare il ruolo a CloudWatch, consulta IAM: passaggio di un ruolo IAM a un servizio AWS specifico.

Utilizzando questa chiave di condizione, puoi assicurarti che gli utenti creino ruoli di servizio solo per i servizi specificati. Ad esempio, se un utente con la policy precedente tenta di creare un ruolo di servizio per Amazon EC2, l'operazione avrà esito negativo. L'errore si verifica perché l'utente non dispone dell'autorizzazione per trasferire il ruolo ad Amazon EC2.

A volte si passa un ruolo a un servizio che poi a sua volta lo passa a un servizio diverso. iam:PassedToService include solo il servizio finale che assume il ruolo, non il servizio intermedio che lo passa.

Nota

Alcuni servizi non supportano questa chiave di condizione.

iam:PermissionsBoundary

Lavora con operatori ARN.

Verifica che la policy specificata è collegata come limite delle autorizzazioni sulla risorsa del principale IAM. Per ulteriori informazioni, consulta la sezione Limiti delle autorizzazioni per le entità IAM

iam:PolicyARN

Lavora con operatori ARN.

Controlla l'Amazon Resource Name (ARN) di una policy gestita nelle richieste che implicano una policy gestita. Per ulteriori informazioni, consulta Controllo dell'accesso alle policy.

iam:RegisterSecurityKey

Lavora con operatori stringa.

Verifica lo stato corrente dell'abilitazione dei dispositivi MFA.

Valori possibili di Create o Activate.

In questo esempio, registri una chiave di sicurezza e recuperi la certificazione FIPS-140-3 Level 1 per il tuo dispositivo.

JSON
{
      "Version":"2012-10-17",		 	 	 
      "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-3-certification": "L1"
                }
            }
        }
    ]
                  
 }
iam:ResourceTag/key-name

Lavora con operatori stringa.

Controlla che il tag collegato alla risorsa dell'identità (utente o ruolo) corrisponda al nome e al valore della chiave specificata.

Nota

IAM e iam:ResourceTag supportano sia la chiave di condizione IAM AWS STS che la chiave di condizione globale aws:ResourceTag.

Puoi aggiungere attributi personalizzati alle risorse IAM sotto forma di coppia chiave-valore. Per ulteriori informazioni sui tag per le risorse IAM, consulta Tag per risorse AWS Identity and Access Management. Puoi utilizzare ResourceTag per controllare l'accesso alle risorse AWS, incluse le risorse IAM. Tuttavia, poiché IAM non supporta i tag per i gruppi, non puoi utilizzare i tag per controllare l'accesso ai gruppi.

Questo esempio mostra come creare una policy basata sull'identità che consenta di eliminare gli utenti con il tag status=terminated. Per utilizzare questa policy, sostituisci il testo segnaposto in corsivo nella policy di esempio con le tue informazioni. Quindi, segui le indicazioni fornite in Creazione di una policy o Modifica di una policy.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": "iam:DeleteUser",
        "Resource": "*",
        "Condition": {"StringEquals": {"iam:ResourceTag/status": "terminated"}}
    }]
}
iam:ServiceSpecificCredentialAgeDays

Lavora con operatori numerici.

Questa chiave di condizione limita la creazione di credenziali specifiche del servizio in base alle relative impostazioni di scadenza. Consente di controllare l'età massima, in giorni, delle credenziali specifiche del servizio che possono essere create.

L'intervallo valido per i giorni è compreso tra 1 e 36600 (minimo 1 giorno, massimo 36600 giorni).

Questa chiave di condizione è supportata dall'operazione API CreateServiceSpecificCredential.

In questo esempio, consenti a un utente di creare credenziali specifiche per il servizio Amazon Bedrock solo se scadono entro 90 giorni.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceSpecificCredential",
            "Resource": "arn:aws:iam::111122223333:user/username",
            "Condition": {
                "StringEquals": {
                    "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
                },
                "NumericLessThanEquals": {
                    "iam:ServiceSpecificCredentialAgeDays": "90"
                }
            }
        }
    ]
}
iam:ServiceSpecificCredentialServiceName

Lavora con operatori stringa.

Specifica quali servizi AWS possono essere utilizzati per la gestione delle credenziali specifiche del servizio. Questa chiave di condizione consente di limitare i servizi AWS consentiti durante la gestione delle credenziali specifiche del servizio.

Questa chiave di condizione è supportata dalle seguenti operazioni API:

I seguenti servizi sono supportati per le credenziali specifiche del servizio con la formattazione esatta dei valori:

  • bedrock.amazonaws.com

  • cassandra.amazonaws.com

  • codecommit.amazonaws.com

In questo esempio, consenti a un utente di creare credenziali specifiche del servizio utilizzando l'operazione API CreateServiceSpecificCredential solo per il servizio Amazon Bedrock.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceSpecificCredential",
            "Resource": "arn:aws:iam::111122223333:user/username",
            "Condition": {
                "StringEquals": {
                    "iam:ServiceSpecificCredentialServiceName": "bedrock.amazonaws.com"
                }
            }
        }
    ]
}

Chiavi disponibili per la federazione OIDC AWS

Puoi utilizzare la federazione OIDC per fornire credenziali di sicurezza temporanee agli utenti che sono stati autenticati tramite un gestore dell'identità digitale compatibile con OpenID Connect a un provider di identità IAM OpenID Connect (OIDC) nel tuo account AWS. Esempi di tali provider sono GitHub, Amazon Cognito, Login with Amazon e Google. È possibile utilizzare token di identità e token di accesso del proprio IdP, nonché token di account di servizio concessi ai carichi di lavoro di Amazon Elastic Kubernetes Service.

È possibile utilizzare le chiavi di contesto di condizioni OIDC AWS per scrivere policy che limitano l'accesso dei principali federati alle risorse associate a un provider, un'app o un utente specifici. Queste chiavi vengono in genere utilizzate nelle policy di trust di un ruolo. Definisci le chiavi di condizione utilizzando il nome del provider OIDC (token.actions.githubusercontent.com) seguito da un'attestazione (:aud): token.actions.githubusercontent.com:aud.

Alcune chiavi di condizioni di federazione OIDC possono essere utilizzate nella sessione di ruolo per autorizzare l'accesso alle risorse. Se il valore è nella colonna Disponibile nella sessione, è possibile utilizzare queste chiavi di condizione nelle policy per definire a quali utenti è consentito accedere in altri servizi AWS. Quando un'attestazione non è disponibile nella sessione, la chiave di contesto della condizione OIDC può essere utilizzata solo in una policy di attendibilità del ruolo per l'autenticazione iniziale di AssumeRoleWithWebIdentity.

Seleziona il tuo IdP per vedere in che modo le attestazioni del tuo IdP vengono mappate alle chiavi di contesto delle condizioni IAM in AWS. Ulteriori informazioni sulle chiavi per GitHub e Google sono disponibili nella scheda Predefinito.

Default

L'impostazione predefinita riporta le attestazioni OIDC standard e il modo in cui vengono mappate alle chiavi di contesto delle condizioni AWS STS in AWS. Puoi utilizzare queste chiavi per controllare l'accesso a un ruolo. A tale scopo, confronta le chiavi di condizioni AWS STS con i valori nella colonna delle attestazioni di JWT dell'IdP. Usa questa mappatura se il tuo IdP non è elencato nelle opzioni della scheda.

I flussi di lavoro di GitHub Actions e Google sono alcuni esempi di IdP che utilizzano l'implementazione predefinita nel token ID JWT OIDC.

AWS STSChiave di condizione Attestazione JWT IdP Disponibile nella sessione

amr

amr

aud

azp

Se non è impostato alcun valore per azp, la chiave di condizione aud corrisponde all'attestazione aud.

e-mail

e-mail

No

oaud

aud

No

sub

sub

Per ulteriori informazioni sull'uso delle chiavi di condizione OIDC con GitHub, consulta Configurazione di un ruolo per il gestore dell'identità digitale (IdP) OIDC GitHub. Per ulteriori informazioni sui campi aud e azp di Google, consulta la Guida OpenID Connect di Google Identity Platform .

amr

Lavora con operatori stringa. La chiave è multivalore, il che significa che è possibile testarla in una policy con operatori di definizione di condizioni.

Esempio: token.actions.githubusercontent.com:amr

Il riferimento ai metodi di autenticazione include le informazioni di accesso relative all'utente. La chiave può contenere i seguenti valori:

  • Se l'utente non è autenticato, la chiave contiene solo unauthenticated.

  • Se l'utente è autenticato, la chiave contiene il valore authenticated e il nome del provider di accesso utilizzato nella chiamata (accounts.google.com).

aud

Lavora con operatori stringa.

Esempi di:

  • accounts.google.com:aud

  • token.actions.githubusercontent.com:aud

Utilizza la chiave di condizione aud per verificare che il pubblico corrisponda a quello specificato nella policy È possibile utilizzare la chiave aud con la chiave sub per lo stesso provider di identità.

Questa chiave di condizione è impostata dai seguenti campi di token:

  • aud per gli ID client Google OAuth 2.0 dell'applicazione, quando il campo azp non è impostato. Quando il campo azp è impostato, il campo aud corrisponde alla chiave della condizione accounts.google.com:oaud.

  • azp quando il campo azp è impostato. Questo può accadere per app ibride in cui un'applicazione Web e un'app Android hanno un ID client Google OAuth 2.0 diverso ma condividono lo stesso progetto delle API di Google.

Quando si scrive una policy utilizzando la chiave di condizione accounts.google.com:aud, occorre sapere se l'app è un'app ibrida che imposta il campo azp.

azpCampo non impostato

La policy di esempio seguente funziona per le app non ibride che non impostano il campo azp. In questo caso, il valore del campo aud del token ID di Google corrisponde a entrambi i valori della chiave di condizione accounts.google.com:aud e accounts.google.com:oaud.

JSON
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"Federated": "accounts.google.com"},
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "accounts.google.com:aud": "aud-value",
                    "accounts.google.com:oaud": "aud-value",
                    "accounts.google.com:sub": "sub-value"
                }
            }
        }
    ]
}

azpCampo impostato

La policy di esempio seguente funziona per app ibride che impostano il campo azp. In questo caso, il valore del campo aud del token ID di Google corrisponde solo al valore della chiave di condizione accounts.google.com:oaud. Il valore del campo azp corrisponde al valore della chiave di condizione accounts.google.com:aud.

JSON
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"Federated": "accounts.google.com"},
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "accounts.google.com:aud": "azp-value",
                    "accounts.google.com:oaud": "aud-value",
                    "accounts.google.com:sub": "sub-value"
                }
            }
        }
    ]
}
email

Lavora con operatori stringa.

Esempio: accounts.google.com:email

Questa chiave di condizione convalida l'indirizzo e-mail dell'utente. Il valore di questa attestazione potrebbe non essere univoco per l'account e potrebbe cambiare nel tempo, pertanto non dovresti utilizzare questo valore come identificatore principale per verificare il tuo record utente.

oaud

Lavora con operatori stringa.

Esempio: accounts.google.com:oaud

Questa chiave specifica l'altro pubblico (aud) a cui è rivolto questo token ID. Deve essere uno degli ID client OAuth 2.0 dell'applicazione.

sub

Lavora con operatori stringa.

Esempi di:

  • accounts.google.com:sub

  • token.actions.githubusercontent.com:sub

Utilizzare queste chiavi per verificare che il soggetto corrisponda a quello specificato nella policy. È possibile utilizzare la chiave sub con la chiave aud per lo stesso provider di identità.

Nella seguente policy di attendibilità dei ruoli, la chiave di condizione sub limita il ruolo al ramo GitHib denominato demo.

JSON
JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::111122223333:oidc-provider/token.actions.githubusercontent.com"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "token.actions.githubusercontent.com:aud": "sts.amazonaws.com",
          "token.actions.githubusercontent.com:sub": "repo:org-name/repo-name:ref:refs/heads/demo"
        }
      }
    }
  ]
}
Amazon Cognito

Questa scheda spiega in che modo Amazon Cognito mappa le attestazioni OIDC alle chiavi di contesto della condizione AWS STS in AWS. Puoi utilizzare queste chiavi per controllare l'accesso a un ruolo. A tale scopo, confronta le chiavi di condizioni AWS STS con i valori nella colonna delle attestazioni di JWT dell'IdP.

Per i ruoli utilizzati da Amazon Cognito, le chiavi vengono definite utilizzando cognito-identity.amazonaws.com seguita dall'attestazione.

Per ulteriori informazioni sulla mappatura delle attestazioni del pool di identità, consulta Mappature dei provider predefinite nella Guida per gli sviluppatori di Amazon Cognito. Per ulteriori informazioni sulla mappatura delle attestazioni del pool di utenti, consulta Utilizzo del token ID nella Guida per gli sviluppatori di Amazon Cognito.

AWS STSChiave di condizione Attestazione JWT IdP Disponibile nella sessione

amr

amr

aud

aud

oaud

aud

No

sub

sub

amr

Lavora con operatori stringa. La chiave è multivalore, il che significa che è possibile testarla in una policy con operatori di definizione di condizioni.

Esempiocognito-identity.amazonaws.com:amr

Il riferimento ai metodi di autenticazione include le informazioni di accesso relative all'utente. La chiave può contenere i seguenti valori:

  • Se l'utente non è autenticato, la chiave contiene solo unauthenticated.

  • Se l'utente è autenticato, la chiave contiene il valore authenticated e il nome del provider di accesso utilizzato nella chiamata (cognito-identity.amazonaws.com).

Ad esempio, la seguente condizione nella policy di attendibilità di un ruolo Amazon Cognito verifica se l'utente non è autenticato.

"Condition": {
  "StringEquals": 
    { "cognito-identity.amazonaws.com:aud": "us-east-2:identity-pool-id" },
  "ForAnyValue:StringLike": 
    { "cognito-identity.amazonaws.com:amr": "unauthenticated" }
}
aud

Lavora con operatori stringa.

Esempiocognito-identity.amazonaws.com:aud

Il client dell'app del pool di utenti che ha autenticato l'utente. Amazon Cognito restituisce lo stesso valore nell'attestazione client_id del token di accesso.

oaud

Lavora con operatori stringa.

Esempiocognito-identity.amazonaws.com:oaud

Il client dell'app del pool di utenti che ha autenticato l'utente. Amazon Cognito restituisce lo stesso valore nell'attestazione client_id del token di accesso.

sub

Lavora con operatori stringa.

Esempiocognito-identity.amazonaws.com:sub

L'identificatore univoco (UUID), o soggetto, dell'utente autenticato. Il nome utente potrebbe non essere univoco nel pool di utenti. L'attestazione sub è il modo migliore per identificare un determinato utente. È possibile utilizzare la chiave sub con la chiave aud per lo stesso provider di identità.

"Condition": {
         "StringEquals": {
            "cognito-identity.amazonaws.com:aud": "us-east-1:12345678-abcd-abcd-abcd-123456790ab",
            "cognito-identity.amazonaws.com:sub": [
               "us-east-1:12345678-1234-1234-1234-123456790ab",
               "us-east-1:98765432-1234-1234-1243-123456790ab"
            ]
         }
      }
Login with Amazon

Questa scheda spiega in che modo Login with Amazon mappa le attestazioni di OIDC di AWS STS alle chiavi di contesto delle condizioni in AWS. Puoi utilizzare queste chiavi per controllare l'accesso a un ruolo. A tale scopo, confronta le chiavi di condizioni AWS STS con i valori nella colonna delle attestazioni di JWT dell'IdP.

AWS STSChiave di condizione Attestazione JWT IdP Disponibile nella sessione

app_id

ID applicazione

sub

ID utente

user_id

ID utente

app_id

Lavora con operatori stringa.

Esempiowww.amazon.com:app_id

Questa chiave specifica il contesto del pubblico che corrisponde al campo aud utilizzato da altri provider di identità.

sub

Lavora con operatori stringa.

Esempiowww.amazon.com:sub

Questa chiave verifica che l'ID utente corrisponda a quello specificato nella policy. È possibile utilizzare la chiave sub con la chiave aud per lo stesso provider di identità.

user_id

Lavora con operatori stringa.

Esempiowww.amazon.com:user_id

Questa chiave specifica il contesto del pubblico che corrisponde al campo aud utilizzato da altri provider di identità. È possibile utilizzare la chiave user_id con la chiave id per lo stesso provider di identità.

Facebook

Questa scheda spiega in che modo Login with Amazon mappa le attestazioni OIDC alle chiavi di contesto delle condizioni AWS STS in AWS. Puoi utilizzare queste chiavi per controllare l'accesso a un ruolo. A tale scopo, confronta le chiavi di condizioni AWS STS con i valori nella colonna delle attestazioni di JWT dell'IdP.

AWS STSChiave di condizione Attestazione JWT IdP Disponibile nella sessione

app_id

ID applicazione

id

id

app_id

Lavora con operatori stringa.

Esempiograph.facebook.com:app_id

Questa chiave verifica che il contesto del pubblico corrisponda al campo aud utilizzato da altri provider di identità.

id

Lavora con operatori stringa.

Esempiograph.facebook.com:id

Questa chiave verifica che l'ID applicazione (o del sito) corrisponda a quello specificato nella policy.

Ulteriori informazioni sulla federazione OIDC

Chiavi disponibili per la federazione AWS STS basata su SAML

Se utilizzi la federazione basata su SAML usando AWS Security Token Service (AWS STS), puoi includere ulteriori chiavi di condizione nella policy.

Policy di affidabilità di un ruolo SAML

Nella policy di affidabilità di un ruolo è possibile includere le chiavi seguenti, che consentono di stabilire se il chiamante è autorizzato ad assumere il ruolo. Salvo per saml:doc, tutti i valori sono derivati dall'asserzione SAML. Tutti gli elementi nell'elenco sono disponibili nell'editor visivo della console IAM quando crei o modifichi una policy con condizioni. Gli elementi contrassegnati con [] possono avere un valore che è un elenco del tipo specificato.

saml:aud

Lavora con operatori stringa.

L'URL di un endpoint a cui vengono presentate le asserzioni SAML. Il valore di questa chiave proviene dal campo SAML Recipient dell'asserzione, non dal campo Audience.

saml:commonName[]

Lavora con operatori stringa.

Questo è un attributo commonName.

saml:cn[]

Lavora con operatori stringa.

Questo è un attributo eduOrg.

saml:doc

Lavora con operatori stringa.

Rappresenta il principale utilizzato per assumere il ruolo. Il formato è ID account/nome-descrittivo-provider, ad esempio 123456789012/SAMLProviderName. Il valore ID account si riferisce all'account proprietario del provider SAML.

saml:edupersonaffiliation[]

Lavora con operatori stringa.

Questo è un attributo eduPerson.

saml:edupersonassurance[]

Lavora con operatori stringa.

Questo è un attributo eduPerson.

saml:edupersonentitlement[]

Lavora con operatori stringa.

Questo è un attributo eduPerson.

saml:edupersonnickname[]

Lavora con operatori stringa.

Questo è un attributo eduPerson.

saml:edupersonorgdn

Lavora con operatori stringa.

Questo è un attributo eduPerson.

saml:edupersonorgunitdn[]

Lavora con operatori stringa.

Questo è un attributo eduPerson.

saml:edupersonprimaryaffiliation

Lavora con operatori stringa.

Questo è un attributo eduPerson.

saml:edupersonprimaryorgunitdn

Lavora con operatori stringa.

Questo è un attributo eduPerson.

saml:edupersonprincipalname

Lavora con operatori stringa.

Questo è un attributo eduPerson.

saml:edupersonscopedaffiliation[]

Lavora con operatori stringa.

Questo è un attributo eduPerson.

saml:edupersontargetedid[]

Lavora con operatori stringa.

Questo è un attributo eduPerson.

saml:eduorghomepageuri[]

Lavora con operatori stringa.

Questo è un attributo eduOrg.

saml:eduorgidentityauthnpolicyuri[]

Lavora con operatori stringa.

Questo è un attributo eduOrg.

saml:eduorglegalname[]

Lavora con operatori stringa.

Questo è un attributo eduOrg.

saml:eduorgsuperioruri[]

Lavora con operatori stringa.

Questo è un attributo eduOrg.

saml:eduorgwhitepagesuri[]

Lavora con operatori stringa.

Questo è un attributo eduOrg.

saml:givenName[]

Lavora con operatori stringa.

Questo è un attributo givenName.

saml:iss

Lavora con operatori stringa.

L'approvatore, che è rappresentato da un URN.

saml:mail[]

Lavora con operatori stringa.

Questo è un attributo mail.

saml:name[]

Lavora con operatori stringa.

Questo è un attributo name.

saml:namequalifier

Lavora con operatori stringa.

Un valore hash basato sul nome descrittivo del provider SAML. Il valore è la concatenazione dei seguenti valori, in ordine e separati da un carattere '/':

  1. Il valore di risposta Issuer (saml:iss)

  2. L'ID dell'account AWS

  3. Il nome descrittivo (l'ultima parte dell'ARN) del provider SAML in IAM

La concatenazione dell'ID account e del nome descrittivo del provider SAML è disponibile per le policy IAM sotto forma di chiave saml:doc. Per ulteriori informazioni, consulta Identificazione univoca degli utenti nella federazione basata su SAML.

saml:organizationStatus[]

Lavora con operatori stringa.

Questo è un attributo organizationStatus.

saml:primaryGroupSID[]

Lavora con operatori stringa.

Questo è un attributo primaryGroupSID.

saml:sub

Lavora con operatori stringa.

Questo è l'oggetto della richiesta, che include un valore che identifica in modo univoco un singolo utente in un'organizzazione (ad esempio, _cbb88bf52c2510eabe00c1642d4643f41430fe25e3).

saml:sub_type

Lavora con operatori stringa.

Questa chiave può avere il valore persistent o transient oppure consistere dell'URI Format completo, tratto dagli elementi Subject e NameID utilizzati nell'asserzione SAML. Il valore persistent indica che il valore in saml:sub è lo stesso per un utente da una sessione all'altra. Se il valore è transient, l'utente dispone di un valore saml:sub diverso per ogni sessione. Per ulteriori informazioni sull'attributo NameID dell'elemento Format, consulta Configurare le asserzioni SAML per la risposta di autenticazione.

saml:surname[]

Lavora con operatori stringa.

Questo è un attributo surnameuid.

saml:uid[]

Lavora con operatori stringa.

Questo è un attributo uid.

saml:x500UniqueIdentifier[]

Lavora con operatori stringa.

Questo è un attributo x500UniqueIdentifier.

Per informazioni generali sugli attributi eduPerson ed eduOrg, consulta il sito Web REFEDS. Per un elenco di eduPerson attributi, consulta la specifica della classe di oggetti eduPerson (201602).

Le chiavi di condizione il cui tipo è un elenco possono includere più valori. Per creare condizioni nelle policy per valori con elenchi, è possibile utilizzare gli operatori di definizione (ForAllValues, ForAnyValue). Ad esempio, per consentire l'accesso a qualsiasi utente la cui affiliazione è "facoltà" o "staff" (ma non "studente") è possibile utilizzare una condizione come la seguente: 

"Condition": {
   "ForAllValues:StringLike": {
     "saml:edupersonaffiliation":[ "faculty", "staff"] 
   }
}

Chiavi di contesto di federazione AWS STS basate su SAML tra servizi

Alcune chiavi di condizione di federazione basate su SAML possono essere utilizzate nelle richieste successive per autorizzare le operazioni AWS in altri servizi e chiamate AssumeRole. Queste sono le seguenti chiavi di condizione che possono essere utilizzate nelle policy di attendibilità dei ruoli quando i principali federati assumono un altro ruolo e nelle policy delle risorse di altri servizi AWS per autorizzare l'accesso alle risorse da parte dei principali federati. Per ulteriori informazioni sull'utilizzo di queste chiavi, consulta Informazioni sulla federazione basata su SAML 2.0.

Seleziona una chiave di condizione per visualizzarne la descrizione.

Nota

Non sono disponibili altre chiavi di condizione di federazione basate su SAML da utilizzare dopo la risposta iniziale di autenticazione del gestore dell'identità digitale esterno.

Chiavi disponibili per AWS STS

Puoi utilizzare le seguenti chiavi di condizione nelle policy di attendibilità del ruolo IAM per i ruoli che vengono assunti usando le operazioni AWS Security Token Service (AWS STS).

saml:sub

Lavora con operatori stringa.

Questo è l'oggetto della richiesta, che include un valore che identifica in modo univoco un singolo utente in un'organizzazione (ad esempio, _cbb88bf52c2510eabe00c1642d4643f41430fe25e3).

sts:AWSServiceName

Lavora con operatori stringa.

Utilizzare questa chiave per specificare il servizio in cui è possibile utilizzare un token al portatore. Quando si utilizza questa chiave di condizione in una policy, specificare il servizio utilizzando un principale del servizio. Il principale di un servizio è il nome di un servizio che può essere specificato nell'elemento Principal di una policy. Ad esempio, codeartifact.amazonaws.com è il principale del servizio AWS CodeArtifact.

Disponibilità: questa chiave è presente nelle richieste che ottengono un token di connessione. Non è possibile effettuare una chiamata diretta per AWS STS per ottenere un token al portatore. Quando si eseguono alcune operazioni in altri servizi, il servizio richiede il token del portatore per conto dell'utente.

Alcuni servizi AWS richiedono che l'utente disponga dell'autorizzazione a ottenere un token di connessione del servizio AWS STS prima di poter accedere alle loro risorse a livello di programmazione. Ad esempio, AWS CodeArtifact richiede che le entità utilizzino token portatori per eseguire alcune operazioni. Il comando aws codeartifact get-authorization-token restituisce un token di connessione. È quindi possibile utilizzare il token del portatore per eseguire operazioni AWS CodeArtifact. Per ulteriori informazioni sui token del portatore, vedere Token di connessione al servizio.

È possibile utilizzare questa chiave di condizione per consentire ai principal di ottenere un token di portatore da utilizzare con un servizio specifico.

sts:DurationSeconds

Lavora con operatori numerici.

Utilizzare questo tasto per specificare la durata (in secondi) che un principal può usare quando si ottiene un token AWS STS portatore.

Disponibilità: questa chiave è presente nelle richieste che ottengono un token di connessione. Non è possibile effettuare una chiamata diretta per AWS STS per ottenere un token al portatore. Quando si eseguono alcune operazioni in altri servizi, il servizio richiede il token del portatore per conto dell'utente. La chiave non è presente per le operazioni AWS STS di assume-role.

Alcuni servizi AWS richiedono che l'utente disponga dell'autorizzazione a ottenere un token di connessione del servizio AWS STS prima di poter accedere alle loro risorse a livello di programmazione. Ad esempio, AWS CodeArtifact richiede che le entità utilizzino token portatori per eseguire alcune operazioni. Il comando aws codeartifact get-authorization-token restituisce un token di connessione. È quindi possibile utilizzare il token del portatore per eseguire operazioni AWS CodeArtifact. Per ulteriori informazioni sui token del portatore, vedere Token di connessione al servizio.

sts:ExternalId

Lavora con operatori stringa.

Utilizza questa chiave per richiedere che un'entità principale fornisca un identificatore specifico quando assume un ruolo IAM.

Disponibilità: questa chiave è presente nella richiesta quando l'entità fornisce un ID esterno mentre assume un ruolo utilizzando la AWS CLI o l'API AWS.

Un identificatore univoco che può essere richiesto quando assumi un ruolo in un altro account. Se l'amministratore dell'account a cui appartiene il ruolo ha fornito un ID esterno, specifica questo valore nel parametro ExternalId. Questo valore può essere qualsiasi stringa, ad esempio una passphrase o un numero di account. La funzione principale dell'ID esterno è quella di risolvere e prevenire il problema del "confused deputy" (delegato confuso). Per ulteriori informazioni sull'ID esterno e il problema del "confused deputy", consulta Accesso agli Account AWS di proprietà di terze parti.

Il valore ExternalId deve avere un minimo di 2 caratteri e un massimo di 1.224 caratteri. Il valore deve essere alfanumerico senza spazi. Può anche includere i seguenti simboli: più (+), uguale (=), virgola (,), punto (.), chiocciola (@), due punti (:), barra (/) e trattino (-).

sts:RequestContext/context-key

Lavora con operatori stringa.

Utilizza questa chiave per confrontare le coppie chiave-valore del contesto di sessione incorporate nell'asserzione di contesto firmata dall'emittente del token affidabile passata nella richiesta con i valori chiave-valore del contesto specificati nella policy di attendibilità del ruolo.

Disponibilità: questa chiave è presente nella richiesta quando viene fornita un'asserzione di contesto nel parametro di richiesta ProvidedContexts mentre si assume un ruolo utilizzando l'operazione API AWS STS AssumeRole.

Questa chiave di contesto è formattata come "sts:RequestContext/context-key":"context-value" dove context-key e context-value rappresentano una coppia chiave-valore di contesto. Quando più chiavi di contesto sono incorporate nell'asserzione di contesto firmata passata nella richiesta, è presente una chiave di contesto per ogni coppia chiave-valore. È necessario concedere l'autorizzazione per l'azione sts:SetContext nella policy di attendibilità del ruolo per consentire a un principale di impostare le chiavi di contesto all'interno del token di sessione risultante. Per ulteriori informazioni sulle chiavi di contesto del Centro identità IAM supportate che possono essere utilizzate con questa chiave, consulta Chiavi di condizione AWS STS per il Centro identità IAM nella Guida per l'utente di AWS IAM Identity Center.

È possibile utilizzare questa chiave in una policy di attendibilità del ruolo per applicare un controllo di accesso granulare in base all'utente o ai suoi attributi quando assume un ruolo. Dopo aver assunto il ruolo, l'attività viene visualizzata nei log AWS CloudTrail all'interno dell'attributo AdditionalEventData, contenenti le coppie chiave-valore del contesto della sessione impostate dal provider del contesto nella richiesta di assunzione del ruolo. Ciò consente agli amministratori di distinguere tra le sessioni di ruolo quando un ruolo viene utilizzato da principali diversi. Le coppie chiave-valore vengono impostate dal provider di contesto specificato, non da AWS CloudTrail o AWS STS. Ciò consente al provider di contesto di controllare quale contesto è incluso nei log di CloudTrail e nelle informazioni sulla sessione.

sts:RequestContextProviders

Lavora con operatori ARN.

Utilizza questa chiave per confrontare l'ARN del provider di contesto nella richiesta con l'ARN del provider di contesto specificato nella policy di attendibilità del ruolo.

Disponibilità: questa chiave è presente nella richiesta quando viene fornita un'asserzione di contesto nel parametro di richiesta ProvidedContexts mentre si assume un ruolo utilizzando l'operazione API AWS STS AssumeRole.

La condizione di esempio seguente verifica che l'ARN del provider di contesto passato nella richiesta corrisponda all'ARN specificato nella condizione della policy di attendibilità del ruolo. Ti consigliamo di aggiungere un controllo di valore null con ForAllValues per evitare che le chiavi di contesto mancanti o con valori vuoti vengano valutate come True. Per informazioni dettagliate, vedi Operatore di condizione per verificare la presenza di chiavi di condizione .

JSON

{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Action": "sts:SetContext",
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
      "ForAllValues:ArnEquals": {
        "sts:RequestContextProviders": [
          "arn:aws:iam::aws:contextProvider/IdentityCenter"
        ]
      },
      "Null": {
        "sts:RequestContextProviders": "false"
      }
    }
  }
}
sts:RoleSessionName

Lavora con operatori stringa.

Utilizzare questa chiave per confrontare il nome di sessione specificato da un'entità principale quando si assume un ruolo con il valore specificato nella policy.

Disponibilità: questa chiave è presente nella richiesta quando l'entità assume il ruolo utilizzando la Console di gestione AWS, qualsiasi comando CLI assume-role o l'operazione API AWS STS AssumeRole.

È possibile utilizzare questa chiave in una policy di attendibilità del ruolo per richiedere che gli utenti forniscano un nome di sessione specifico quando assumono un ruolo. Ad esempio, è possibile richiedere che gli utenti IAM specifichino il proprio nome utente come nome di sessione. Dopo che l'utente IAM assume il ruolo, l'attività viene visualizzata nei log AWS CloudTrail con il nome della sessione corrispondente al nome utente. Ciò consente agli amministratori di distinguere tra le sessioni di ruolo quando un ruolo viene utilizzato da principali diversi.

La seguente policy di attendibilità del ruolo richiede che gli utenti IAM nell'account 111122223333 forniscano il nome utente IAM come nome di sessione quando assumono il ruolo. Questo requisito viene applicato utilizzando la variabile di condizione aws:username nella chiave di condizione. Questa policy consente agli utenti IAM di assumere il ruolo a cui è collegata la policy. Questa policy non consente a chiunque utilizzi credenziali temporanee di assumere il ruolo perché la variabile username è presente solo per gli utenti IAM.

Importante

È possibile utilizzare qualsiasi chiave di condizione a valore singolo come variabile. Non è possibile utilizzare una chiave della condizione multi-valore come variabile.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RoleTrustPolicyRequireUsernameForSessionName",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Principal": {"AWS": "arn:aws:iam::111122223333:root"},
            "Condition": {
                "StringLike": {"sts:RoleSessionName": "prefix-${aws:username}"}
            }
        }
    ]
}

Quando un amministratore visualizza il log AWS CloudTrail relativo a un'operazione, può confrontare il nome della sessione con i nomi utente nei relativi account. Nell'esempio seguente, l'utente denominato matjac ha eseguito l'operazione utilizzando il ruolo denominato MateoRole. L'amministratore può quindi contattare Mateo Jackson, che ha il nome dell'utente matjac.

    "assumedRoleUser": {
        "assumedRoleId": "AROACQRSTUVWRAOEXAMPLE:matjac",
        "arn": "arn:aws:sts::111122223333:assumed-role/MateoRole/matjac"
    }

Se si consente l'accesso tra account mediante i ruoli, gli utenti di un account possono assumere un ruolo in un altro account. L'ARN dell'utente del ruolo assunto elencato in CloudTrail include l'account in cui esiste il ruolo. Non include l'account dell'utente che ha assunto il ruolo. Gli utenti sono univoci solo all'interno di un account. Pertanto, si consiglia di utilizzare questo metodo per controllare i log CloudTrail solo per i ruoli assunti dagli utenti negli account amministrati. Gli utenti potrebbero utilizzare lo stesso nome utente in più account.

sts:SourceIdentity

Lavora con operatori stringa.

Utilizza questa chiave per confrontare l'identità di origine che un principale specifica quando si assume un ruolo con il valore specificato nella policy.

Disponibilità: questa chiave è presente nella richiesta quando il principale fornisce un'identità di origine mentre assume un ruolo utilizzando qualsiasi comando AWS STS assume-role della CLI o l'operazione API AWS STS AssumeRole.

È possibile utilizzare questa chiave in una policy di attendibilità del ruolo per richiedere che gli utenti forniscano un nome di sessione specifico quando assumono un ruolo. Ad esempio, è possibile richiedere alla forza lavoro o alle identità federate di specificare un valore per l'identità di origine. Puoi configurare il provider di identità (IdP) per utilizzare uno degli attributi associati agli utenti, ad esempio un nome utente o un messaggio di posta elettronica come identità di origine. L'IdP passa quindi l'identità di origine come attributo nelle asserzioni o nelle attestazioni che invia a AWS. Il valore dell'attributo di identità di origine identifica l'utente o l'applicazione che assume il ruolo.

Dopo che l'utente assume il ruolo, l'attività viene visualizzata in Log di AWS CloudTrail con il valore dell'identità di origine impostato. In questo modo è più facile per gli amministratori determinare chi o cosa ha eseguito le operazioni con un ruolo in AWS. Per consentire a un'identità di impostare un'identità di origine, è necessario concedere le autorizzazioni per l'operazione sts:SetSourceIdentity.

A differenza di sts:RoleSessionName, dopo aver impostato l'identità di origine, il valore non può essere modificato. È presente nel contesto della richiesta di tutte le operazioni intraprese con il ruolo dall'identità di origine. Il valore persiste nelle sessioni di ruolo successive quando si utilizzano le credenziali di sessione per assumere un altro ruolo. L'assunzione di un ruolo partendo da un altro si chiama concatenamento del ruolo.

Puoi utilizzare la chiave di condizione globale aws:SourceIdentity per controllare ulteriormente l'accesso alle risorse AWS in base al valore dell'identità di origine nelle richieste successive.

La seguente policy di attendibilità del ruolo consente all'utente IAM AdminUser di assumere un ruolo nell'account 111122223333. Inoltre, concede l'autorizzazione all'AdminUser per impostare un'identità di origine, purché il set di identità di origine sia DiegoRamirez.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAdminUserAssumeRole",
            "Effect": "Allow",
            "Principal": {"AWS": " arn:aws:iam::111122223333:user/AdminUser"},
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity"
            ],
            "Condition": {
                "StringEquals": {"sts:SourceIdentity": "DiegoRamirez"}
            }
        }
    ]
}

Per ulteriori informazioni sull'utilizzo dell'identità di origine, consulta Monitoraggio e controllo delle operazioni intraprese con i ruoli assunti.

sts:TaskPolicyArn

Lavora con operatori ARN.

Utilizza questa chiave per confrontare l'ARN della policy in una richiesta sts:AssumeRoot con l'ARN della policy specificato nella policy.

Disponibilità: questa chiave è presente nella richiesta quando si effettua una richiesta utilizzando sts:AssumeRoot.

Gli amministratori possono utilizzare questa chiave di condizione nelle policy IAM per impedire a ruoli o utenti specifici all'interno dell'account di gestione o dell'account amministratore delegato di eseguire determinate operazioni quando assumono le credenziali root. Per ulteriori informazioni, consulta Esegui un'attività con privilegi su un account membro AWS Organizations.

sts:TransitiveTagKeys

Lavora con operatori stringa.

Utilizzare questa chiave per confrontare le chiavi dei tag di sessione transitivi nella richiesta con quelle specificate nella policy.

Disponibilità: questa chiave è presente nella richiesta quando si effettua una richiesta utilizzando credenziali di sicurezza temporanee. Queste includono le credenziali create utilizzando qualsiasi operazione di assume-role o l'operazione GetFederationToken.

Quando si effettua una richiesta utilizzando credenziali di sicurezza temporanee, il contesto della richiesta include la chiave di contesto aws:PrincipalTag. Questa chiave include un elenco di tag di sessione, tag di sessione transitivi e tag di ruolo. I tag di sessione transitivi sono tag che persistono in tutte le sessioni successive quando si utilizzano le credenziali di sessione per assumere un altro ruolo. L'assunzione di un ruolo partendo da un altro si chiama concatenamento del ruolo.

È possibile utilizzare questa chiave di condizione in una policy per richiedere l'impostazione di specifici tag di sessione come transitivi quando si assume un ruolo o si federa un utente.