AWS Security Token Service 的操作、资源和条件键 - 服务授权参考
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Security Token Service 的操作、资源和条件键

AWS Security Token Service(服务前缀:sts)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

AWS Security Token Service 定义的操作

您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。

有关下表中各列的详细信息,请参阅 操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AssumeRole 返回一组可用来访问您通常无法访问的 AWS 资源的临时安全凭证 写入

role*

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

sts:ExternalId

sts:RoleSessionName

iam:ResourceTag/${TagKey}

sts:SourceIdentity

aws:SourceIdentity

AssumeRoleWithSAML 为已通过 SAML 身份验证响应进行身份验证的用户返回一组临时安全凭证 写入

role*

saml:namequalifier

saml:sub

saml:sub_type

saml:aud

saml:iss

saml:doc

saml:cn

saml:commonName

saml:eduorghomepageuri

saml:eduorgidentityauthnpolicyuri

saml:eduorglegalname

saml:eduorgsuperioruri

saml:eduorgwhitepagesuri

saml:edupersonaffiliation

saml:edupersonassurance

saml:edupersonentitlement

saml:edupersonnickname

saml:edupersonorgdn

saml:edupersonorgunitdn

saml:edupersonprimaryaffiliation

saml:edupersonprimaryorgunitdn

saml:edupersonprincipalname

saml:edupersonscopedaffiliation

saml:edupersontargetedid

saml:givenName

saml:mail

saml:name

saml:organizationStatus

saml:primaryGroupSID

saml:surname

saml:uid

saml:x500UniqueIdentifier

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

sts:SourceIdentity

sts:RoleSessionName

AssumeRoleWithWebIdentity 为已在移动或 Web 应用程序中使用 Web 身份提供商进行身份验证的用户返回一组临时安全凭证 写入

role*

cognito-identity.amazonaws.com:amr

cognito-identity.amazonaws.com:aud

cognito-identity.amazonaws.com:sub

www.amazon.com:app_id

www.amazon.com:user_id

graph.facebook.com:app_id

graph.facebook.com:id

accounts.google.com:aud

accounts.google.com:oaud

accounts.google.com:sub

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

sts:SourceIdentity

sts:RoleSessionName

DecodeAuthorizationMessage 从为响应 AWS 请求而返回的编码消息中解码有关请求授权状态的其他信息 写入
GetAccessKeyInfo 返回有关作为参数传递给请求的访问密钥 ID 的详细信息。 Read
GetCallerIdentity 返回其凭证用于调用 API 的 IAM 身份的详细信息 Read
GetFederationToken 为联合身份用户返回一组临时安全凭证(由访问密钥 ID、秘密访问密钥和安全令牌组成) Read

user

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

GetServiceBearerToken [仅权限] 返回 AWS 根用户、IAM 角色或 IAM 用户的 STS 持有者令牌 Read
GetSessionToken 为 AWS 账户或 IAM 用户返回一组临时安全凭证(由访问密钥 ID、秘密访问密钥和安全令牌组成) Read
SetSourceIdentity [仅权限] 授予权限以在 STS 会话上设置源身份 写入

role

user

sts:SourceIdentity

aws:SourceIdentity

TagSession [仅权限] 授予权限以将标签添加至 STS 会话 标记

role

user

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

AWS Security Token Service 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作标识了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅 资源类型表

资源类型 ARN 条件键
role arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}

aws:ResourceTag/${TagKey}

user arn:${Partition}:iam::${Account}:user/${UserNameWithPath}

AWS Security Token Service 的条件键

AWS Security Token Service 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅 条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
accounts.google.com:aud 基于 Google 应用程序 ID 筛选操作 字符串
accounts.google.com:oaud 基于 Google 受众筛选操作 字符串
accounts.google.com:sub 基于声明的主体(Google 用户 ID)筛选操作 字符串
aws:FederatedProvider 基于用于验证用户身份的 IdP 筛选操作 字符串
aws:PrincipalTag/${TagKey} 根据与发出请求的委托人关联的标签筛选操作 字符串
aws:RequestTag/${TagKey} 根据在请求中传递的标签筛选操作 字符串
aws:ResourceTag/${TagKey} 根据与资源关联的标签筛选操作 字符串
aws:SourceIdentity 根据为调用者设置的源身份筛选操作 字符串
aws:TagKeys 根据在请求中传递的标签键筛选操作 字符串
cognito-identity.amazonaws.com:amr 基于 Amazon Cognito 的登录信息筛选操作 字符串
cognito-identity.amazonaws.com:aud 基于 Amazon Cognito 身份池 ID 筛选操作 字符串
cognito-identity.amazonaws.com:sub 基于声明的主体(Amazon Cognito 用户 ID)筛选操作 字符串
graph.facebook.com:app_id 基于 Facebook 应用程序 ID 筛选操作 字符串
graph.facebook.com:id 基于 Facebook 用户 ID 筛选操作 字符串
iam:ResourceTag/${TagKey} 根据附加到所要代入角色的标签筛选操作 字符串
saml:aud 基于向其提供 SAML 断言的终端节点 URL 筛选操作 字符串
saml:cn 基于 eduOrg 属性筛选操作 字符串
saml:commonName 基于 commonName 属性筛选操作 字符串
saml:doc 基于用于担任角色的委托人筛选操作 字符串
saml:eduorghomepageuri 基于 eduOrg 属性筛选操作 字符串
saml:eduorgidentityauthnpolicyuri 基于 eduOrg 属性筛选操作 字符串
saml:eduorglegalname 基于 eduOrg 属性筛选操作 字符串
saml:eduorgsuperioruri 基于 eduOrg 属性筛选操作 字符串
saml:eduorgwhitepagesuri 基于 eduOrg 属性筛选操作 字符串
saml:edupersonaffiliation 基于 eduPerson 属性筛选操作 字符串
saml:edupersonassurance 基于 eduPerson 属性筛选操作 字符串
saml:edupersonentitlement 基于 eduPerson 属性筛选操作 字符串
saml:edupersonnickname 基于 eduPerson 属性筛选操作 字符串
saml:edupersonorgdn 基于 eduPerson 属性筛选操作 字符串
saml:edupersonorgunitdn 基于 eduPerson 属性筛选操作 字符串
saml:edupersonprimaryaffiliation 基于 eduPerson 属性筛选操作 字符串
saml:edupersonprimaryorgunitdn 基于 eduPerson 属性筛选操作 字符串
saml:edupersonprincipalname 基于 eduPerson 属性筛选操作 字符串
saml:edupersonscopedaffiliation 基于 eduPerson 属性筛选操作 字符串
saml:edupersontargetedid 基于 eduPerson 属性筛选操作 字符串
saml:givenName 基于 givenName 属性筛选操作 字符串
saml:iss 基于发布者(由 URN 表示)筛选操作 字符串
saml:mail 基于 mail 属性筛选操作 字符串
saml:name 基于 name 属性筛选操作 字符串
saml:namequalifier 基于发布者、账户 ID 和友好名称的哈希值筛选操作 字符串
saml:organizationStatus 基于 organizationStatus 属性筛选操作 字符串
saml:primaryGroupSID 基于 primaryGroupSID 属性筛选操作 字符串
saml:sub 基于声明的主体(SAML 用户 ID)筛选操作 字符串
saml:sub_type 基于值持久性、瞬态或完整格式 URI 筛选操作 字符串
saml:surname 基于 surname 属性筛选操作 字符串
saml:uid 基于 uid 属性筛选操作 字符串
saml:x500UniqueIdentifier 基于 uid 属性筛选操作 字符串
sts:ExternalId 基于您代入另一个账户中的角色时所需的唯一标识符筛选操作 字符串
sts:RoleSessionName 基于您代入角色时所需的角色会话名称筛选操作 字符串
sts:SourceIdentity 根据在请求中传递的源身份筛选操作 字符串
sts:TransitiveTagKeys 根据在请求中传递的可传递标签键筛选操作 字符串
www.amazon.com:app_id 基于“以 Amazon 登录”应用程序 ID 筛选操作 字符串
www.amazon.com:user_id 基于“以 Amazon 登录”用户 ID 筛选操作 字符串