IAM JSON 策略元素:条件运算符 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

IAM JSON 策略元素:条件运算符

Condition 元素中使用条件运算符来将策略中的条件键和值与请求上下文中的值进行匹配。有关 Condition 元素的更多信息,请参阅 IAM JSON 策略元素:Condition

您可以在策略中使用的条件运算符取决于您选择的条件键。您可以选择全局条件键或特定于服务的条件键。要了解可用于全局条件键的条件运算符,请参阅Amazon 全局条件上下文密钥。要了解可用于特定于服务的条件键的条件运算符,请参阅 Amazon 服务的操作、资源和条件键并选择要查看的服务。

重要

如果请求上下文中没有您在策略条件中指定的键,则这些值不匹配,并且条件为 false。如果策略条件要求该键为匹配,如 StringNotLikeArnNotLike,并且右键不存在,则条件为 true。此逻辑适用于所有条件运算符,但 ...IfExistsNull check 除外。这些运算符测试请求上下文中是否存在 (exists) 键。

条件运算符可分为以下类别:

字符串条件运算符

利用字符串条件运算符,您可以构建基于键与字符串值的对比来限制访问的 Condition 元素。

条件运算符 描述

StringEquals

精确匹配,区分大小写

StringNotEquals

否定匹配

StringEqualsIgnoreCase

精确匹配,忽略大小写

StringNotEqualsIgnoreCase

否定匹配,忽略大小写

StringLike

区分大小写的匹配。值可以在字符串中的任何位置包括多字符匹配的通配符(*)和单字符匹配的通配符(?)。您必须指定通配符才能实现部分字符串匹配。

注意

如果一个键包含多个值,则 StringLike 可以用集合运算符(ForAllValues:StringLikeForAnyValue:StringLike)来限定。有关更多信息,请参阅 多值上下文键

StringNotLike

不区分大小写的无效匹配。值可以在字符串中的任何位置包括多字符匹配的通配符(*)或单字符匹配的通配符(?)。

例如,以下语句包含一个 Condition 元素,该元素使用 aws:PrincipalTag 键来指定必须将发出请求的主体为 iamuser-admin 作业类别。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "iam:*AccessKey*", "Resource": "arn:aws:iam::account-id:user/*", "Condition": {"StringEquals": {"aws:PrincipalTag/job-category": "iamuser-admin"}} } }

如果请求上下文中没有您在策略条件中指定的键,则这些值不匹配。在此示例中,当主体使用附加了标签的 IAM 用户时,请求上下文中才会存在 aws:PrincipalTag/job-category 键。对于主体,如果使用附加了标签或会话标签的 IAM 角色,则也会包括它。如果没有标签的用户尝试查看或编辑访问键,则该条件返回 false,并且此语句将隐式拒绝请求。

您可以使用带有 String 条件运算符的策略变量

以下示例使用 StringLike 条件运算符执行与策略变量的字符串匹配来创建策略,该策略允许 IAM 用户使用 Amazon S3 控制台管理其 Amazon S3 存储桶中的“主目录”。该策略允许对 S3 存储桶执行指定操作,前提是 s3:prefix 与任一指定模式相匹配。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": {"StringLike": {"s3:prefix": [ "", "home/", "home/${aws:username}/" ]}} }, { "Effect": "Allow", "Action": "s3:*", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:username}", "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:username}/*" ] } ] }

有关说明如何使用 Condition 元素基于应用程序 ID 和用户 ID 限制资源的访问权限,以用于 OIDC 联合身份验证的策略示例,请参阅 Amazon S3:允许 Amazon Cognito 用户访问其存储桶中的对象

通配符匹配

字符串条件运算符执行不强制使用预定义格式的无模式匹配。ARN 和 Date 条件运算符是字符串运算符的子集,用于强制执行条件键值的结构。当使用 StringLike 或 StringNotLike 运算符进行 ARN 或 Date 的部分字符串匹配时,匹配会忽略结构的哪个部分使用通配符。

例如,以下条件搜索使用不同条件运算符的 ARN 的部分匹配项。

使用 ArnLike 时,ARN 的分区、服务、账户 ID、资源类型和部分资源 ID 等部分必须与请求上下文中的 ARN 完全匹配。只有区域和资源路径允许部分匹配。

"Condition": {"ArnLike": {"aws:SourceArn": "arn:aws:cloudtrail:*:111122223333:trail/*"}}

当使用 StringLike 而不是 ArnLike 时,无论哪部分使用通配符,匹配都会忽略 ARN 结构并允许部分匹配。

"Condition": {"StringLike": {"aws:SourceArn": "arn:aws:cloudtrail:*:111122223333:trail/*"}}
ARN ArnLike StringLike

arn:aws:cloudtrail:us-west-2:111122223333:trail/finance

Match

Match

arn:aws:cloudtrail:us-east-2:111122223333:trail/finance/archive

Match

Match

arn:aws:cloudtrail:us-east-2:444455556666:user/111122223333:trail/finance

不匹配

Match

数字条件运算符

利用数字条件运算符,您可以构建基于键与整数或小数值的对比来限制访问的 Condition 元素。

条件运算符 描述

NumericEquals

匹配

NumericNotEquals

否定匹配

NumericLessThan

“小于”匹配

NumericLessThanEquals

“小于或等于”匹配

NumericGreaterThan

“大于”匹配

NumericGreaterThanEquals

“大于或等于”匹配

例如,以下语句包含一个 Condition 元素,该元素使用 NumericLessThanEquals 条件运算符与 s3:max-keys 密钥来指定请求者一次最多可在 amzn-s3-demo-bucket 内列出 10 个对象。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": {"NumericLessThanEquals": {"s3:max-keys": "10"}} } }

如果请求上下文中没有您在策略条件中指定的键,则这些值不匹配。在此示例中,当您执行 ListBucket 操作时,s3:max-keys 键始终存在于请求中。如果此策略允许所有 Amazon S3 操作,则只允许包含值小于或等于 10 的 max-keys 上下文密钥的操作。

您不能对策略变量使用 Numeric 条件运算符。

日期条件运算符

利用日期条件运算符,您可以构建基于键与日期/时间值的对比来限制访问的 Condition 元素。您可以将这些条件运算符与 aws:CurrentTime 键或 aws:EpochTime 键配合使用。您必须指定日期/时间值,且其中一个 W3C 实现要采用 ISO 8601 日期格式或新纪元 (UNIX) 时间格式

注意

日期条件运算符不允许使用通配符。

条件运算符 描述

DateEquals

匹配特定日期

DateNotEquals

否定匹配

DateLessThan

在特定日期和时间之前匹配。

DateLessThanEquals

在特定日期和时间或之前匹配

DateGreaterThan

在特定日期和时间之后匹配

DateGreaterThanEquals

在特定日期和时间或之后匹配

例如,以下语句包含一个 Condition 元素,该元素使用 DateGreaterThan 条件运算符与 aws:TokenIssueTime 键。此条件指定用于发出请求的临时安全凭证在 2020 年签发。此策略可以通过编程方式每天更新,以确保账户成员使用最新的凭证。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "iam:*AccessKey*", "Resource": "arn:aws:iam::account-id:user/*", "Condition": {"DateGreaterThan": {"aws:TokenIssueTime": "2020-01-01T00:00:01Z"}} } }

如果请求上下文中没有您在策略条件中指定的键,则这些值不匹配。只有在主体使用临时凭证发出请求时,才会在请求上下文中包含 aws:TokenIssueTime 键。使用访问密钥发出的 Amazon CLI、Amazon API 或 Amazon 开发工具包请求中未提供此键。在此示例中,如果 IAM 用户尝试查看或编辑访问键,请求将被拒绝。

您不能对策略变量使用 Date 条件运算符。

布尔值条件运算符

利用布尔值条件,您可以构建基于键与“正确”或“错误”的对比来限制访问的 Condition 元素。

条件运算符 描述

Bool

布尔值匹配

例如,此基于身份的策略使用 Bool 条件运算符搭配 aws:SecureTransport 键拒绝将对象和对象标签复制到目标存储桶及其内容(如果请求不是通过 SSL 进行的)。

重要

该策略不允许进行任何操作。可将此策略与允许特定操作的其他策略结合使用。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "BooleanExample", "Action": "s3:ReplicateObject", "Effect": "Deny", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ] }

如果请求上下文中没有您在策略条件中指定的键,则这些值不匹配。aws:SecureTransport 请求上下文将返回 true 或 false。

您可以使用带有 Boolean 条件运算符的策略变量

二进制条件运算符

利用 BinaryEquals 条件运算符,您可以构建测试二进制格式键值的 Condition 元素。它会比较指定密钥字节的值和策略中 base-64 编码表示的二进制值。

"Condition" : { "BinaryEquals": { "key" : "QmluYXJ5VmFsdWVJbkJhc2U2NA==" } }

如果请求上下文中没有您在策略条件中指定的键,则这些值不匹配。

您不能对策略变量使用 Binary 条件运算符。

IP 地址条件运算符

利用 IP 地址条件运算符,您可以构建 Condition 元素,它们会基于键与 IPv4 或 IPv6 地址或 IP 地址范围的对比来限制访问。可以用aws:SourceIp键使用它们。该值必须采用标准的 CIDR 格式 (例如 203.0.113.0/24 或 2001:DB8:1234:5678::/64)。如果您指定的 IP 地址没有关联的路由前缀,IAM 将使用 /32 作为默认前缀值。

某些 Amazon 服务支持 IPv6,使用 :: 表示一系列 0。要了解某项服务是否支持 IPv6,请参阅该服务的文档。

条件运算符 描述

IpAddress

指定的 IP 地址或范围

NotIpAddress

除指定 IP 地址或范围外的所有 IP 地址

例如,下列语句使用 IpAddress 条件运算符与 aws:SourceIp 键来指定必须从 IP 范围 203.0.113.0 至 203.0.113.255 发出请求。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "iam:*AccessKey*", "Resource": "arn:aws:iam::account-id:user/*", "Condition": {"IpAddress": {"aws:SourceIp": "203.0.113.0/24"}} } }

aws:SourceIp 条件键解析为发出请求的 IP 地址。如果请求源自 Amazon EC2 实例,则 aws:SourceIp 计算为实例的公有 IP 地址。

如果请求上下文中没有您在策略条件中指定的键,则这些值不匹配。aws:SourceIp 键始终存在于请求上下文中,但请求者使用 VPC 终端节点发出请求时除外。在这种情况下,条件返回 false,并且此语句隐式拒绝请求。

您不能对策略变量使用 IpAddress 条件运算符。

下面的示例说明如何结合使用 IPv4 和 IPv6 地址来覆盖组织的所有有效 IP 地址。建议您使用您的 IPv6 地址范围以及已拥有的 IPv4 范围来更新组织的策略,以确保策略在您过渡到 IPv6 时继续有效。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "someservice:*", "Resource": "*", "Condition": { "IpAddress": { "aws:SourceIp": [ "203.0.113.0/24", "2001:DB8:1234:5678::/64" ] } } } }

如果以用户身份直接调用测试的 API,aws:SourceIp 条件键仅在 JSON 策略中有效。如果改为使用服务代表您调用目标服务,则目标服务看到的是进行调用的服务的 IP 地址而不是源用户的 IP 地址。举例来说,如果使用 Amazon CloudFormation 调用 Amazon EC2 来构建实例,则会发生这种情况。目前,无法通过进行调用的服务将源 IP 地址传递给目标服务以在 JSON 策略中进行评估。对于这些服务 API 调用类型,请勿使用 aws:SourceIp 条件键。

Amazon Resource Name (ARN) 条件运算符

利用 Amazon Resource Name (ARN) 条件运算符,您可以构建基于键与 ARN 的对比来限制访问的 Condition 元素。ARN 被视为一个字符串。

条件运算符 描述

ArnEquals, ArnLike

区分大小写的 ARN 匹配。ARN 的六个由冒号分隔开的部分都要单独检查,每一个部分都可包括一个多字符匹配通配符(*)或一个单字符匹配通配符(?)。ArnEqualsArnLike 条件运算符的行为相同。

ArnNotEquals, ArnNotLike

ARN 无效匹配。ArnNotEqualsArnNotLike 条件运算符的行为相同。

您可以使用带有 ARN 条件运算符的策略变量

以下基于资源的策略示例显示附加到 Amazon SQS 队列(您希望向其发送 SNS 消息的队列)的策略。它授予 Amazon SNS 将消息发送到所选队列的权限,但仅在该服务代表特定 Amazon SNS 主题发送这些消息时才授予此权限。您在 Resource 字段中指定队列,Amazon SNS 主题则作为 SourceArn 密钥的值。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"AWS": "123456789012"}, "Action": "SQS:SendMessage", "Resource": "arn:aws:sqs:REGION:123456789012:QUEUE-ID", "Condition": {"ArnEquals": {"aws:SourceArn": "arn:aws:sns:REGION:123456789012:TOPIC-ID"}} } }

如果请求上下文中没有您在策略条件中指定的键,则这些值不匹配。仅在资源触发一项服务以代表资源拥有者调用另一项服务时,aws:SourceArn 键存在于请求上下文中。如果 IAM 用户尝试直接执行此操作,则条件返回 false,并且此语句隐式拒绝请求。

...IfExists 条件运算符

Null 条件外,您可在任何条件运算符名称的末尾添加 IfExists,例如,StringLikeIfExists。如果您是指“如果请求的内容中存在条件键,则依照策略所述来处理键。如果该键不存在,则条件元素的计算结果将为 true。” 语句中其他条件因素仍然可以导致不匹配,但使用 ...IfExists 检查时没有缺失键。如果您使用带有否定条件运算符(如 StringNotEqualsIfExists)的 "Effect": "Deny" 元素,则即使条件键不存在,请求仍会被拒绝。

使用 IfExists 的示例

许多条件键描述有关特定类型的资源的信息,仅当访问该类型的资源时才存在。这些条件键在其他类型的资源上不存在。当策略语句仅适用于一种类型的资源时,这不会导致问题。但是,有时单个语句可以适用于多种类型的资源,例如当策略语句从多个服务引用操作时,或是当服务中的给定操作访问同一服务中的多种不同资源类型时。在这种情况下,在策略语句中包含仅适用于一种资源的条件键可能会导致策略语句中的 Condition 元素失败,从而使语句的 "Effect" 不适用。

例如,请考虑以下策略示例:

{ "Version": "2012-10-17", "Statement": { "Sid": "THISPOLICYDOESNOTWORK", "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "*", "Condition": {"StringLike": {"ec2:InstanceType": [ "t1.*", "t2.*", "m3.*" ]}} } }

上述策略的意图是使用户能够启动类型为 t1t2m3 的任何实例。但是,启动实例要求访问除了实例本身之外的许多资源;例如映像、密钥对、安全组等。会针对启动实例所需的每个资源来评估整个语句。这些其他资源没有 ec2:InstanceType 条件键,因此 StringLike 检查会失败,并且不会向用户授予启动任何 实例类型的能力。

要解决此问题,请改用 StringLikeIfExists 条件运算符。这样,仅当条件键存在时才会进行测试。您会读到以下策略内容:If the resource being checked has an "ec2:InstanceType" condition key, then allow the action only if the key value begins with t1., t2., or m3.. 如果所检查的资源没有改条件键,则无需担心。” 条件键值中的星号 (*) 与 StringLikeIfExists 条件运算符一起使用时,会被解释为通配符以实现部分字符串匹配。DescribeActions 语句包含在控制台中查看实例所需的操作。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "RunInstance", "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "*", "Condition": { "StringLikeIfExists": { "ec2:InstanceType": [ "t1.*", "t2.*", "m3.*" ]}} }, { "Sid": "DescribeActions", "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeVpcs", "ec2:DescribeKeyPairs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }] }

用于检查条件键是否存在的条件运算符

使用 Null 条件运算符检查授权时是否缺少条件键。在策略语句中使用 true(密钥不存在 - 为 null)或 false(密钥存在且值不为 null)。

您不能对策略变量使用 Null 条件运算符。

例如,您可以使用此条件运算符确定用户使用的是自己的针对该操作的凭证还是临时凭证。如果用户使用的是临时凭证,则键 aws:TokenIssueTime 存在并具有一个值。以下示例说明了一个条件,该条件说明用户在使用 Amazon EC2 API 时不能使用临时凭证(键不能存在)。

{ "Version": "2012-10-17", "Statement":{ "Action":"ec2:*", "Effect":"Allow", "Resource":"*", "Condition":{"Null":{"aws:TokenIssueTime":"true"}} } }