翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS STS IAM Identity Center の条件コンテキストキー
<a name="condition-context-keys-sts-idc"></a>

[プリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal)が に[リクエスト](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-request)を行うと AWS、 はリクエスト情報を*リクエストコンテキスト*に AWS 収集し、リクエストの評価と承認に使用されます。JSON ポリシーの `Condition` 要素を使用して、リクエストコンテキストのキーを、ポリシーで指定したキー値と比較できます。リクエスト情報は、リクエストを行うプリンシパル、リソース、リクエストの対象、リクエスト自体に関するメタデータなど、さまざまなソースから提供されます。*サービス固有の条件キー*は、個々の AWS サービスで使用するように定義されます。

IAM Identity Center には、 AWS マネージドアプリケーションとサードパーティーアプリケーションが IAM Identity Center で定義された条件キーの値を追加できるようにする AWS STS コンテキストプロバイダーが含まれています。これらのキーは、[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)に含まれています。キー値は、アプリケーションがトークンを渡すときに設定されます AWS STS。アプリケーションは、次のいずれか AWS STS の方法で に渡されるトークンを取得します。
+ IAM アイデンティティセンターでの認証中。
+ 信頼できる ID の伝播のために[信頼できるトークン発行者](using-apps-with-trusted-token-issuer.md#trusted-token-issuer-overview)とトークンを交換した後。この場合、アプリケーションは信頼できるトークン発行者からトークンを取得し、そのトークンを IAM アイデンティティセンターからのトークンと交換します。

 これらのキーは、通常、信頼できる ID の伝播機能を統合したアプリケーションで使用されます。場合によっては、キー値が存在するため、作成する IAM ポリシーでこれらのキーを使用して、アクセス権限の許可や拒否ができます。

例えば、`UserId` の値に基づいてリソースへの条件付きアクセスを提供したい場合があるでしょう。この値は、どの IAM アイデンティティセンターユーザーがロールを使用しているかを示します。この例は、`SourceId` を使用する場合に似ています。ただし `SourceId` とは異なり、`UserId ` の値は、ID ストア由来の特定の検証済みユーザーを表します。この値は、アプリケーションが取得して渡すトークンに存在します AWS STS。任意の値を格納できる汎用文字列ではありません。

**Topics**
+ [

## identitystore:UserId
](#condition-keys-identity-store-user-id)
+ [

## identitystore:IdentityStoreArn
](#condition-keys-identity-store-arn)
+ [

## identitycenter:ApplicationArn
](#condition-keys-identity-center-application-arn)
+ [

## identitycenter:CredentialId
](#condition-keys-identity-center-credential-id)
+ [

## identitycenter:InstanceArn
](#condition-keys-identity-center-instance-arn)

## identitystore:UserId
<a name="condition-keys-identity-store-user-id"></a>

このコンテキストキーは、IAM アイデンティティセンターによって発行されるコンテキストアサーションの対象である IAM アイデンティティセンターユーザーの `UserId` です。コンテキストアサーションが渡されます AWS STS。このキーを使用して、リクエストの送信元である IAM アイデンティティセンターユーザーの `UserId` を、ポリシーで指定したユーザーの識別子と比較できます。
+ **可用性** – このキーは、IAM Identity Center によって発行されたコンテキストアサーションが設定された後、 AWS CLI または AWS STS `AssumeRole` API オペレーションのコマンドを使用して AWS STS `assume-role`ロールが引き受けられたときに、リクエストコンテキストに含まれます。
+ **データ型** – [文字列](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)
+ **値タイプ** — 単一値

## identitystore:IdentityStoreArn
<a name="condition-keys-identity-store-arn"></a>

このコンテキストキーは、コンテキストアサーションを発行した IAM アイデンティティセンターのインスタンスにアタッチされた ID ストアの ARN です。また、`identitystore:UserID` の属性を検索できる ID ストアでもあります。このキーをポリシーで使用して、`identitystore:UserID` が想定される ID ストアの ARN から取得されたものかを判断できます。
+ **可用性** – このキーは、IAM Identity Center によって発行されたコンテキストアサーションが設定された後、 AWS CLI または AWS STS `AssumeRole` API オペレーションのコマンドを使用して AWS STS `assume-role`ロールが引き受けられたときに、リクエストコンテキストに含まれます。
+ **データ型** – [Arn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_ARN)、[文字列](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)
+ **値タイプ** — 単一値

## identitycenter:ApplicationArn
<a name="condition-keys-identity-center-application-arn"></a>

このコンテキストキーは、IAM アイデンティティセンターがコンテキストアサーションを発行したアプリケーションの ARN です。このキーをポリシーで使用して、`identitycenter:ApplicationArn` が想定されるアプリケーションから取得されたものであるかを判断できます。このキーを使用するころで、予期しないアプリケーションによる IAM ロールへのアクセスを防止できます。
+ **可用性** – このキーは API オペレーションのリクエストコンテキストに含まれます AWS STS `AssumeRole`。リクエストコンテキストには、IAM アイデンティティセンターによって発行されたコンテキストアサーションが含まれます。
+ **データ型** – [Arn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_ARN)、[文字列](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)
+ **値タイプ** — 単一値

## identitycenter:CredentialId
<a name="condition-keys-identity-center-credential-id"></a>

このコンテキストキーは、アイデンティティ強化ロール認証情報のランダム ID であり、ログ記録のみに使用されます。このキー値は予測できないため、ポリシーのコンテキストアサーションには使用しないことをお勧めします。
+ **可用性** – このキーは API オペレーションのリクエストコンテキストに含まれます AWS STS `AssumeRole`。リクエストコンテキストには、IAM アイデンティティセンターによって発行されたコンテキストアサーションが含まれます。
+ **データ型** – [文字列](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)
+ **値タイプ** — 単一値

## identitycenter:InstanceArn
<a name="condition-keys-identity-center-instance-arn"></a>

このコンテキストキーは、`identitystore:UserID` のコンテキストアサーションを発行した IAM アイデンティティセンターのインスタンスの ARN です。このキーを使用して、`identitystore:UserID` と コンテキストアサーションが、想定される IAM アイデンティティセンターインスタンスの ARN から取得されたものであるかを判断できます。
+ **可用性** – このキーは API オペレーションのリクエストコンテキストに含まれます AWS STS `AssumeRole`。リクエストコンテキストには、IAM アイデンティティセンターによって発行されたコンテキストアサーションが含まれます。
+ **データ型** – [Arn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_ARN)、[文字列](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)
+ **値タイプ** — 単一値