单值和多值条件密钥 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

单值和多值条件密钥

在一次 API 调用的请求上下文中与条件相关联的潜在值数会使条件成为单值或多值,而不是策略条件中列出的值的数量。单值条件键在 API 调用的请求上下文中最多具有一个值。在 API 调用的请求上下文中,多值条件键可以有多个值。

您可以使用任何可用的单值条件密钥作为策略变量。您不能使用多值条件键作为策略变量。有关策略变量的更多信息,请参阅 IAM policy 元素:变量和标签

多值条件键需要条件集合运算符 ForAllValuesForAnyValue。包含键值对的条件键,例如 aws:RequestTag/tag-keyaws:ResourceTag/tag-key 可能会导致混乱,因为可能有多个 tag-key 值。但是因为每一个 tag-key 只能有一个值,aws:RequestTagaws:ResourceTag 都是单值条件键。使用带有单值条件密钥的条件集运算符可能会导致过于宽容的策略。