本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS STS IAM Identity Center 的條件內容索引鍵
<a name="condition-context-keys-sts-idc"></a>

當[委託](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal)人向 提出[請求](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-request)時 AWS， 會將請求資訊 AWS 收集到*請求內容*中，用於評估和授權請求。您可以使用 JSON 政策的 `Condition` 元素，來比較請求內容中的鍵和您在政策中指定的鍵值。請求資訊由不同的來源提供，包括提出請求的委託人、資源、提出請求的請求，以及請求本身的中繼資料。*服務特定條件索引鍵*已定義用於個別 AWS 服務。

IAM Identity Center 包含 AWS STS 內容提供者，可讓 AWS 受管應用程式和第三方應用程式為 IAM Identity Center 定義的條件金鑰新增值。這些金鑰包含在 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)中。當應用程式傳遞字符至 時，會設定金鑰值 AWS STS。應用程式 AWS STS 會以下列其中一種方式取得傳遞給 的字符：
+ 使用 IAM Identity Center 進行身分驗證期間。
+ 與[信任的權杖發行者交換權杖](using-apps-with-trusted-token-issuer.md#trusted-token-issuer-overview)之後，以進行信任的身分傳播。在此情況下，應用程式會從信任的權杖發行者取得權杖，並將該權杖交換為來自 IAM Identity Center 的權杖。

 這些金鑰通常由與受信任身分傳播整合的應用程式使用。在某些情況下，當索引鍵值存在時，您可以在您建立的 IAM 政策中使用這些索引鍵來允許或拒絕許可。

例如，您可能想要根據 的值提供資源的條件式存取`UserId`。此值指出哪個 IAM Identity Center 使用者正在使用 角色。此範例類似於使用 `SourceId`。不過`SourceId`，與 不同， 的值`UserId `代表身分存放區中經過驗證的特定使用者。此值存在於應用程式取得並傳遞至的字符中 AWS STS。它不是可包含任意值的一般用途字串。

**Topics**
+ [identitystore:UserId](#condition-keys-identity-store-user-id)
+ [identitystore：IdentityStoreArn](#condition-keys-identity-store-arn)
+ [identitycenter：ApplicationArn](#condition-keys-identity-center-application-arn)
+ [identitycenter：CredentialId](#condition-keys-identity-center-credential-id)
+ [identitycenter：InstanceArn](#condition-keys-identity-center-instance-arn)

## identitystore:UserId
<a name="condition-keys-identity-store-user-id"></a>

此內容索引鍵是 IAM Identity Center 使用者的 `UserId` ，其為 IAM Identity Center 所發出內容聲明的主體。內容聲明會傳遞至 AWS STS。您可以使用此金鑰，代表提出請求`UserId`的 IAM Identity Center 使用者的 與您在政策中指定之使用者的識別符進行比較。
+ **可用性** – 設定 IAM Identity Center 發出的內容聲明後，當角色使用 AWS CLI 或 AWS STS `AssumeRole` API 操作中的任何 AWS STS `assume-role`命令擔任時，此金鑰會包含在請求內容中。
+ **資料類型** – [字串](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)
+ **值類型** - 單一值

## identitystore：IdentityStoreArn
<a name="condition-keys-identity-store-arn"></a>

此內容索引鍵是連接到發出內容聲明之 IAM Identity Center 執行個體的身分存放區的 ARN。它也是身分存放區，您可以在其中查詢 的屬性`identitystore:UserID`。您可以在政策中使用此金鑰來判斷 是否`identitystore:UserID`來自預期的身分存放區 ARN。
+ **可用性** – 設定 IAM Identity Center 發出的內容聲明後，當角色使用 AWS CLI 或 AWS STS `AssumeRole` API 操作中的任何 AWS STS `assume-role`命令擔任時，此金鑰會包含在請求內容中。
+ **資料類型** – [Arn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_ARN)、[字串](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)
+ **值類型** - 單一值

## identitycenter：ApplicationArn
<a name="condition-keys-identity-center-application-arn"></a>

此內容索引鍵是 IAM Identity Center 向其發出內容聲明之應用程式的 ARN。您可以在政策中使用此金鑰來判斷 是否`identitycenter:ApplicationArn`來自預期的應用程式。使用此金鑰有助於防止意外應用程式存取 IAM 角色。
+ **可用性** – 此金鑰包含在 API AWS STS `AssumeRole`操作的請求內容中。請求內容包含 IAM Identity Center 發出的內容聲明。
+ **資料類型** – [Arn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_ARN)、[字串](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)
+ **值類型** - 單一值

## identitycenter：CredentialId
<a name="condition-keys-identity-center-credential-id"></a>

此內容金鑰是身分增強型角色登入資料的隨機 ID，僅用於記錄。由於此索引鍵值無法預測，因此建議您不要將其用於政策中的內容聲明。
+ **可用性** – 此金鑰包含在 API AWS STS `AssumeRole`操作的請求內容中。請求內容包含 IAM Identity Center 發出的內容聲明。
+ **資料類型** – [字串](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)
+ **值類型** - 單一值

## identitycenter：InstanceArn
<a name="condition-keys-identity-center-instance-arn"></a>

此內容索引鍵是發出 內容聲明的 IAM Identity Center 執行個體的 ARN`identitystore:UserID`。您可以使用此金鑰來判斷 `identitystore:UserID`和 內容聲明是否來自預期的 IAM Identity Center 執行個體 ARN。
+ **可用性** – 此金鑰包含在 API AWS STS `AssumeRole`操作的請求內容中。請求內容包含 IAM Identity Center 發出的內容聲明。
+ **資料類型** – [Arn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_ARN)、[字串](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)
+ **值類型** - 單一值