Amazon STS IAM身份中心的条件上下文密钥 - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon STS IAM身份中心的条件上下文密钥

委托人向其提出请求时 Amazon,会将请求信息 Amazon 收集到请求上下文中,该上下文用于评估和批准请求。您可以使用JSON策略的Condition元素将请求上下文中的密钥与您在策略中指定的密钥值进行比较。请求信息由不同的来源提供,包括发出请求的主体、请求所针对的资源以及有关请求本身的元数据。服务特定的条件密钥是为与单个 Amazon 服务一起使用而定义的。

IAMIdentity Center 包括一个 Amazon STS 上下文提供程序,允许 Amazon 托管应用程序和第三方应用程序为 Ident IAM ity Center 定义的条件键添加值。这些密钥包含在IAM角色中。密钥值是在应用程序向传递令牌时设置的 Amazon STS。应用程序通过以下任一方式获取传递给 Amazon STS 它的令牌:

  • 在使用身份中心进行IAM身份验证期间。

  • 在与可信令牌发布者交换令牌进行可信身份传播之后。在这种情况下,应用程序从可信令牌发行者那里获取令牌,然后将该令牌兑换成IAM身份中心的令牌。

这些键通常由与可信身份传播集成的应用程序使用。在某些情况下,如果存在密钥值,则可以在创建的IAM策略中使用这些密钥来允许或拒绝权限。

例如,您可能想要根据 UserId 的值提供对资源的条件访问。此值表示哪个 Ident IAM ity Center 用户正在使用该角色。示例类似于使用 SourceId。但是,与 SourceId 不同的是,UserId 的值表示身份存储中经过验证的特定用户。此值存在于应用程序获取并传递给 Amazon STS的令牌中。并非可以包含任意值的通用字符串。

identitystore:UserId

此上下文密钥是IAM身份中心用户的密钥,他是 Identity Center 发布的IAM上下文断言的主体。UserId上下文断言传递给。 Amazon STS您可以使用此密钥将代表其发出请求的 Ident IAM ity Center 用户的标识符与您在策略中指定的用户标识符进行比较。UserId

  • 可用性-在设置由 Ident IAM ity Center 发出的上下文断言之后,当使用 Amazon CLI 或 Amazon STS AssumeRoleAPI操作中的任何 Amazon STS assume-role命令代入角色时,此密钥将包含在请求上下文中。

  • 数据类型-字符串

  • 值类型 — 单值

identitystore:IdentityStoreArn

此上下文密钥是附加到发出上下文断言的 Identity Center 实例的IAM身份存储的密钥。ARN也是可供您在其中查找 identitystore:UserID 的属性的身份存储。您可以在策略中使用此密钥来确定是否identitystore:UserID来自预期的身份存储ARN。

  • 可用性-在设置由 Ident IAM ity Center 发出的上下文断言之后,当使用 Amazon CLI 或 Amazon STS AssumeRoleAPI操作中的任何 Amazon STS assume-role命令代入角色时,此密钥将包含在请求上下文中。

  • 数据类型Arn字符串

  • 值类型 — 单值

身份中心:ApplicationArn

此上下文密钥是 Ident IAM ity Center 向其发布上下文断言的应用程序的上下文密钥。ARN您可以在策略中使用此键确定 identitycenter:ApplicationArn 是否来自预期的应用程序。使用此密钥可以帮助防止IAM角色被意外应用程序访问。

  • 可用性-此密钥包含在 Amazon STS AssumeRoleAPI操作的请求上下文中。请求上下文包括 Ident IAM ity Center 发布的上下文断言。

  • 数据类型Arn字符串

  • 值类型 — 单值

身份中心:CredentialId

此上下文键是身份增强型角色凭证的随机 ID,仅用于记录。由于此键值不可预测,建议不要将其用于策略中的上下文断言。

  • 可用性-此密钥包含在 Amazon STS AssumeRoleAPI操作的请求上下文中。请求上下文包括 Ident IAM ity Center 发布的上下文断言。

  • 数据类型-字符串

  • 值类型 — 单值

身份中心:InstanceArn

此上下文密钥是发布上下文断言的 Ident IAM ity Center 实例的上下文密钥。ARN identitystore:UserID您可以使用此密钥来确定identitystore:UserID和上下文断言是否来自预期的 Ident IAM ity Center 实例ARN。

  • 可用性-此密钥包含在 Amazon STS AssumeRoleAPI操作的请求上下文中。请求上下文包括 Ident IAM ity Center 发布的上下文断言。

  • 数据类型Arn字符串

  • 值类型 — 单值