本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon STS IAM 身份中心的条件上下文密钥
当委托人向其提出请求时 Amazon,会将请求信息 Amazon 收集到请求上下文中,该上下文用于评估和批准请求。您可以使用 JSON 策略的 Condition
元素将请求上下文中的键与您在策略中指定的键值进行比较。请求信息由不同的来源提供,包括提出请求的委托人、资源、针对的请求以及请求本身的元数据。服务特定的条件密钥是为与单个 Amazon 服务一起使用而定义的。
IAM Identity Center 包含一个 Amazon STS 上下文提供商,允许 Amazon 托管应用程序和第三方应用程序为 IAM Identity Center 定义的条件键添加值。这些密钥包含在 IAM 角色中。密钥值是在应用程序向传递令牌时设置的 Amazon STS。应用程序通过以下任一方式获取传递给 Amazon STS 它的令牌:
在 IAM 身份中心进行身份验证期间。
在与可信令牌发行者交换令牌以进行可信身份传播之后。在这种情况下,应用程序从可信令牌发行者那里获取令牌,然后将该令牌兑换成来自 IAM Identity Center 的令牌。
这些密钥通常由与可信身份传播集成的应用程序使用。在某些情况下,如果存在密钥值,则可以在您创建的 IAM 策略中使用这些密钥来允许或拒绝权限。
例如,您可能希望根据的值为资源提供有条件的访问权限UserId
。此值表示哪个 IAM 身份中心用户正在使用该角色。该示例与使用类似SourceId
。但是SourceId
,与之不同的是,的值UserId
表示身份存储中经过验证的特定用户。该值存在于应用程序获取然后传递给 Amazon STS的令牌中。它不是可以包含任意值的通用字符串。
主题
identitystore:UserId
此上下文密钥是 IAM 身份中心用户的密钥,他是 IAM Identity Center 发布的上下文断言的主题。UserId
上下文断言传递给。 Amazon STS您可以使用此密钥将代表其发出请求的 IAM Identity Center 用户的标识符与您在策略中指定的用户标识符进行比较。UserId
-
可用性 — 在设置由 IAM Identity Center 发出的上下文断言之后,当使用 Amazon CLI 或 Amazon STS
AssumeRole
API 操作中的任何 Amazon STSassume-role
命令代入角色时,此密钥将包含在请求上下文中。 -
数据类型 – 字符串
-
值类型 — 单值
identitystore:IdentityStoreArn
此上下文密钥是附加到发布上下文断言的 IAM Identity Center 实例的身份存储的 ARN。它也是身份存储,您可以在其中查找属性identitystore:UserID
。您可以在策略中使用此密钥来确定是否identitystore:UserID
来自预期的身份存储 ARN。
身份中心:ApplicationArn
此上下文密钥是 IAM Identity Center 向其发布上下文断言的应用程序的 ARN。您可以在策略中使用此密钥来确定是否identitycenter:ApplicationArn
来自预期的应用程序。使用此密钥可以帮助防止意外应用程序访问 IAM 角色。
身份中心:CredentialId
此上下文密钥是身份增强型角色凭证的随机 ID,仅用于记录。由于此密钥值不可预测,因此我们建议您不要将其用于策略中的上下文断言。
-
可用性-此密钥包含在 Amazon STS
AssumeRole
API 操作的请求上下文中。请求上下文包括 IAM Identity Center 发布的上下文断言。 -
数据类型 – 字符串
-
值类型 — 单值
身份中心:InstanceArn
此上下文密钥是发布上下文断言的 IAM Identity Center 实例的 ARN。identitystore:UserID
您可以使用此密钥来确定identitystore:UserID
和上下文断言是否来自预期的 IAM Identity Center 实例 ARN。