AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS Security Token Service 的操作、资源和条件键

AWS Security Token Service(服务前缀:sts)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

AWS Security Token Service 定义的操作

您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

资源列指示每个操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。

有关下表中各列的详细信息,请参阅 操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AssumeRole 返回一组可用来访问您通常无法访问的 AWS 资源的临时安全凭证 写入

role*

AssumeRoleWithSAML 为已通过 SAML 身份验证响应进行身份验证的用户返回一组临时安全凭证 写入

role*

saml:namequalifier

saml:sub

saml:sub_type

saml:aud

saml:iss

saml:doc

saml:cn

saml:commonName

saml:eduorghomepageuri

saml:eduorgidentityauthnpolicyuri

saml:eduorglegalname

saml:eduorgsuperioruri

saml:eduorgwhitepagesuri

saml:edupersonaffiliation

saml:edupersonassurance

saml:edupersonentitlement

saml:edupersonnickname

saml:edupersonorgdn

saml:edupersonorgunitdn

saml:edupersonprimaryaffiliation

saml:edupersonprimaryorgunitdn

saml:edupersonprincipalname

saml:edupersonscopedaffiliation

saml:edupersontargetedid

saml:givenName

saml:mail

saml:name

saml:organizationStatus

saml:primaryGroupSID

saml:surname

saml:uid

saml:x500UniqueIdentifier

AssumeRoleWithWebIdentity 为已在移动或 Web 应用程序中使用 Web 身份提供商进行身份验证的用户返回一组临时安全凭证 写入

role*

cognito-identity.amazonaws.com:amr

cognito-identity.amazonaws.com:aud

cognito-identity.amazonaws.com:sub

www.amazon.com:app_id

www.amazon.com:user_id

graph.facebook.com:app_id

graph.facebook.com:id

accounts.google.com:aud

accounts.google.com:oaud

accounts.google.com:sub

DecodeAuthorizationMessage 从为响应 AWS 请求而返回的编码消息中解码有关请求授权状态的其他信息 写入
GetAccessKeyInfo 返回有关作为参数传递给请求的访问密钥 ID 的详细信息。 Read
GetCallerIdentity 返回其凭证用于调用 API 的 IAM 身份的详细信息 Read
GetFederationToken 为联合身份用户返回一组临时安全凭证(由访问密钥 ID、秘密访问密钥和安全令牌组成) Read

user

AWS Security Token Service 定义的资源

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅 资源类型表

资源类型 ARN 条件键
iam arn:${Partition}:iam::${Account}:${RelativeId}
role arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}
sts arn:${Partition}:sts::${Account}:${RelativeId}
user arn:${Partition}:iam::${Account}:user/${UserNameWithPath}

AWS Security Token Service 的条件键

AWS Security Token Service 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅 条件键表

要查看适用于所有服务的全局条件键,请参阅 IAM 策略参考 中的可用的全局条件键

条件键 描述 类型
accounts.google.com:aud 字符串
accounts.google.com:oaud 字符串
accounts.google.com:sub 字符串
aws:FederatedProvider 字符串
cognito-identity.amazonaws.com:amr 字符串
cognito-identity.amazonaws.com:aud 字符串
cognito-identity.amazonaws.com:sub 字符串
graph.facebook.com:app_id 字符串
graph.facebook.com:id 字符串
saml:aud 字符串
saml:cn 字符串
saml:commonName 字符串
saml:doc 字符串
saml:eduorghomepageuri 字符串
saml:eduorgidentityauthnpolicyuri 字符串
saml:eduorglegalname 字符串
saml:eduorgsuperioruri 字符串
saml:eduorgwhitepagesuri 字符串
saml:edupersonaffiliation 字符串
saml:edupersonassurance 字符串
saml:edupersonentitlement 字符串
saml:edupersonnickname 字符串
saml:edupersonorgdn 字符串
saml:edupersonorgunitdn 字符串
saml:edupersonprimaryaffiliation 字符串
saml:edupersonprimaryorgunitdn 字符串
saml:edupersonprincipalname 字符串
saml:edupersonscopedaffiliation 字符串
saml:edupersontargetedid 字符串
saml:givenName 字符串
saml:iss 字符串
saml:mail 字符串
saml:name 字符串
saml:namequalifier 字符串
saml:organizationStatus 字符串
saml:primaryGroupSID 字符串
saml:sub 字符串
saml:sub_type 字符串
saml:surname 字符串
saml:uid 字符串
saml:x500UniqueIdentifier 字符串
sts:ExternalId 字符串
www.amazon.com:app_id 字符串
www.amazon.com:user_id 字符串