AWS Identity and Access Management

用户指南

AWS 文档 » AWS Identity and Access Management » 用户指南 » AWS Identity and Access Management 的参考信息 » IAM JSON 策略参考 » IAM JSON 策略元素参考 » IAM JSON 策略元素： Condition » 创建测试多个键值的条件 (集合运算)

创建测试多个键值的条件 (集合运算)

本主题将讨论如何创建允许您测试请求中单个键的多个值的策略 Condition 元素。实际上，您可以创建使用集合运算的条件。这类条件对创建允许精细控制 DynamoDB 表的策略非常有用 (例如，允许或拒绝访问特定属性)。

要创建这类条件，您可以将 ForAllValues 或 ForAnyValue 限定词与条件运算符搭配使用。这些限定词为条件运算符添加了集合运算功能，以便您针对多个条件值测试多个请求值。

介绍

在某些情况下，您需要创建一个策略，允许您根据策略中指定的一个或多个值测试请求中的多个值。请求 Amazon DynamoDB 表的属性就是一个很好的例子。假设有一个名为 Thread 的 Amazon DynamoDB 表用来存储某技术支持论坛中有关话题的信息。该表可能有以下属性，如 ID、UserName、PostDateTime、Message 和 Tags 等等。

{	
  ID=101
  UserName=Bob
  PostDateTime=20130930T231548Z
  Message="A good resource for this question is http://aws.amazon.com/documentation/"
  Tags=["AWS", "Database", "Security"]
}

您可能希望通过创建策略仅允许用户查看部分属性，例如仅允许用户查看 PostDateTime、Message 和 Tags。如果 用户请求包含这些属性中的任何一种，都是允许的；但是，如果请求包含任何其他属性 (例如，ID)，则请求会被拒绝。从逻辑上讲，您希望创建一个允许属性 (PostDateTime、Message、Tags) 列表，并在策略中说明用户请求的所有属性都必须在这个允许的属性列表中。

或者您可能希望确保明确禁止用户在请求中包含某些属性，如 ID 和 UserName 属性。例如，您可能会在用户更新 DynamoDB 表时排除一些属性，因为更新 (PUT 操作) 不应更改特定属性。在这种情况下，您可以创建一个禁止属性 (ID、UserName) 列表，如果用户请求的属性与任一禁止属性匹配，则拒绝该请求。

为了支持这些情况，您可以在条件运算符中使用以下修饰符：

有关如何在 DynamoDB 中使用集合运算符对单个数据项和属性实施精细访问的信息，请参阅 Amazon DynamoDB 开发人员指南 指南中的 DynamoDB 访问权限的精细控制。

条件集合运算符示例

以下示例策略显示如何将 ForAllValues 限定词与 StringLike 条件运算符搭配使用。该条件仅 允许用户请求名为 Thread 的 DynamoDB 表中的 PostDateTime、Message 或 Tags 属性。

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": "GetItem",
    "Resource": "arn:aws-cn:dynamodb:REGION:ACCOUNT-ID-WITHOUT-HYPHENS:table/Thread",
    "Condition": {"ForAllValues:StringLike": {"dynamodb:requestedAttributes": [
      "PostDateTime",
      "Message",
      "Tags"
    ]}}
  }]
}

如果用户向 DynamoDB 请求获取 Threads 表的 PostDateTime 和 Message 属性，该请求将得到允许，因为用户请求的所有属性均与策略中指定的值匹配。但是，如果用户的请求包括 ID 属性，请求将失败，因为 ID 不在允许的属性列表中，而且 ForAllValues 限定词要求在策略中列出所有请求的值。

以下示例说明在用户尝试执行 PutItem 操作时 (即用户尝试更新任一属性时)，如何在策略中使用 ForAnyValue 限定词，以拒绝访问 ID 和 PostDateTime 属性。请注意，Effect 元素设置为 Deny。

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Deny",
    "Action": "PutItem",
    "Resource": "arn:aws-cn:dynamodb:REGION:ACCOUNT-ID-WITHOUT-HYPHENS:table/Thread",
    "Condition": {"ForAnyValue:StringLike": {"dynamodb:requestedAttributes": [
      "ID",
      "PostDateTime"
    ]}}
  }]
}

假设用户请求更新 PostDateTime 和 Message 属性。ForAnyValue 限定词可确定是否有请求的属性在策略列表中出现。在这种情况下，只有一项匹配 (PostDateTime)，因此，条件为 true。假设请求中的其他值也可以满足 (例如，资源)，则总策略评估返回 true。因为策略的效果为 Deny，请求被拒绝。

假设用户改为只请求对 UserName 属性执行 PutItem。请求中没有任何属性 (仅 UserName) 与策略中列出的任何属性 (ID、PostDateTime) 相匹配。条件将返回 false，因此策略 (Deny) 的效果也为 false，此策略不会拒绝该请求。(为使请求取得成功，必须由不同的策略显式允许它。此策略没有显式拒绝它，但所有请求都被隐式拒绝。)

条件集合运算符的评估逻辑

本部分讨论有关与 ForAllValues 和 ForAnyValue 限定词结合使用的评估逻辑的详细信息。下表显示请求中可能包含的键 (PostDateTime 和 UserName)，以及一个包含 PostDateTime、Message 和 Tags 值的策略条件。

组合的评估如下：

条件运算符结果取决于策略条件使用了哪个修饰符：

以下策略包含一个 ForAllValues 限定词：

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": "GetItem",
    "Resource": "arn:aws-cn:dynamodb:REGION:ACCOUNT-ID-WITHOUT-HYPHENS:table/Thread",
    "Condition": {"ForAllValues:StringLike": {"dynamodb:requestedAttributes": [
      "PostDateTime",
      "Message",
      "Tags"
    ]}}
  }]
}

假设用户向 DynamoDB 请求获取 PostDateTime 和 UserName 属性。请求中的键与策略中的条件值如下：

组合的评估如下：

策略包含 ForAllValues 条件运算符修饰符，这意味着 PostDateTime 和 UserName 必须至少各有一个匹配项。UserName 没有匹配项，因此条件运算符将返回 false，且策略将拒绝请求。

以下策略包含一个 ForAnyValue 限定词：

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Deny",
    "Action": "PutItem",
    "Resource": "arn:aws-cn:dynamodb:REGION:ACCOUNT-ID-WITHOUT-HYPHENS:table/Thread",
    "Condition": {"ForAnyValue:StringLike": {"dynamodb:requestedAttributes": [
      "ID",
      "PostDateTime"
    ]}}
  }]
}

请注意，策略包含 "Effect":"Deny"，操作是 PutItem。假设用户的 PutItem 请求包含属性 UserName、Message 和 PostDateTime。评估如下：

使用修饰符 ForAnyValue 后，如果任何一个测试返回 true，则条件将返回 true。最后一个测试返回 true，因此条件也将返回 true；因为 Effect 元素设置为 Deny，因此请求将被拒绝。

本页内容：

• 介绍
• 条件集合运算符示例
• 条件集合运算符的评估逻辑