Exemples de clés de contexte à valeurs multiples - AWS Identity and Access Management
Exemple : politique de refus avec opérateur de jeu de conditions ForAllValuesExemple : politique de refus avec opérateur de jeu de conditions ForAnyValue

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples de clés de contexte à valeurs multiples

L'ensemble suivant d'exemples de politiques montre comment créer des conditions de politique à l'aide de clés de contexte à valeurs multiples.

Exemple : politique de refus avec opérateur de jeu de conditions ForAllValues

Les exemples suivants montrent comment utiliser une politique basée sur l’identité pour interdire l’utilisation d’actions de balisage IAM lorsque des préfixes de clé de balise spécifiques sont inclus dans la demande. Les valeurs pour aws:TagKeys incluent un caractère générique (*) pour la correspondance partielle des chaînes. La politique inclut l'opérateur d'ensemble ForAllValues avec la clé de contexte aws:TagKeys, car la clé de contexte de la demande peut inclure plusieurs valeurs. Afin que la clé de contexte aws:TagKeys corresponde, chaque valeur du contexte de la demande doit correspondre à au moins une valeur de la politique.

L’opérateur d’ensemble ForAllValues renvoie également vrai s’il n’y a aucune clé de contexte dans la demande.

Vous pouvez éviter que des clés de contexte manquantes ou des clés de contexte contenant des valeurs vides ne soient considérées comme vraies en incluant l’opérateur de condition Null dans votre politique avec une valeur false pour vérifier si la clé de contexte de la demande existe et si sa valeur n’est pas nulle. Pour de plus amples informations, veuillez consulter Opérateur de condition pour vérifier l'existence de clés de condition .

Important

Cette politique ne permet aucune action. Utilisez cette stratégie conjointement à d'autres stratégies qui autorisent des actions spécifiques.

Exemple Refuser une seule valeur de condition de politique pour une clé de contexte à valeurs multiples

Dans l’exemple suivant, la politique refuse les demandes dont les valeurs pour aws:TagKeys dans la demande n’incluent pas le préfixe key1. Le contexte de demande peut comporter plusieurs valeurs, mais en raison de l’opérateur d’ensemble de conditions ForAllValues, toutes les valeurs de clé de balise du contexte de demande doivent commencer par le préfixe key1.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyRestrictedTags",
      "Effect": "Deny",
      "Action": [
        "iam:Tag*",
        "iam:UnTag*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "ForAllValues:StringNotLike": {
          "aws:TagKeys": "key1*"
        }
      }
    }
  ]
}

Le tableau suivant montre comment cette politique est AWS évaluée en fonction des valeurs des clés de condition figurant dans votre demande. Pour une instruction Refuser, Correspondance est refusée et Aucune correspondance n’est pas refusée, elle peut donc être autorisée par une autre instruction.

Condition de politique Contexte de la demande Résultat 
"ForAllValues:StringNotLike": {
  "aws:TagKeys": "key1*"
}
 
aws:TagKeys:
  – key1:legal

Aucune correspondance

Peut être autorisé par une autre instruction.

 
"ForAllValues:StringNotLike": {
  "aws:TagKeys": "key1*"
}
 
aws:TagKeys:
  – key1:hr
  – key1:personnel

Aucune correspondance

Peut être autorisé par une autre instruction.

 
"ForAllValues:StringNotLike": {
  "aws:TagKeys": "key1*"
}
 
aws:TagKeys:
  – key2:audit

Match

 
"ForAllValues:StringNotLike": {
  "aws:TagKeys": "key1*"
}

Aucun aws:TagKeys dans le contexte de la demande.

Match
Exemple Refuser plusieurs valeurs de condition de politique pour une clé de contexte à valeurs multiples

Dans l’exemple suivant, la politique refuse les demandes dont les valeurs pour aws:TagKeys dans la demande n’incluent pas le préfixe key1 ou key2. Le contexte de demande peut comporter plusieurs valeurs, mais en raison de l’opérateur d’ensemble de conditions ForAllValues, toutes les valeurs de clé de balise du contexte de demande doivent commencer par le préfixe key1 ou key2.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyRestrictedTags",
      "Effect": "Deny",
      "Action": [
        "iam:Tag*",
        "iam:UnTag*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "ForAllValues:StringNotLike": {
          "aws:TagKeys": [
            "key1*",
            "key2*"
          ]
        }
      }
    }
  ]
}

Le tableau suivant montre comment cette politique est AWS évaluée en fonction des valeurs des clés de condition figurant dans votre demande. Pour une instruction Refuser, Correspondance est refusée et Aucune correspondance n’est pas refusée, elle peut donc être autorisée par une autre instruction.

Condition de politique Contexte de la demande Résultat 
"ForAllValues:StringNotLike": {
  "aws:TagKeys": [
    "key1*",
    "key2*"
  ]
}
 
aws:TagKeys:
  – key1:legal

Aucune correspondance

Peut être autorisé par une autre instruction.

 
"ForAllValues:StringNotLike": {
   "aws:TagKeys": [
    "key1*",
    "key2*"
  ]
}
 
aws:TagKeys:
  – key1:hr
  – key1:personnel

Aucune correspondance

Peut être autorisé par une autre instruction.

 
"ForAllValues:StringNotLike": {
   "aws:TagKeys": [
    "key1*",
    "key2*"
  ]
}
 
aws:TagKeys:
  – key1:hr
  – key2:audit

Aucune correspondance

Peut être autorisé par une autre instruction.

 
"ForAllValues:StringNotLike": {
   "aws:TagKeys": [
    "key1*",
    "key2*"
  ]
}
 
aws:TagKeys:
  – key3:legal

Match

 
"ForAllValues:StringNotLike": {
   "aws:TagKeys": [
    "key1*",
    "key2*"
  ]
}

Aucun aws:TagKeys dans le contexte de la demande.

Match

Exemple : politique de refus avec opérateur de jeu de conditions ForAnyValue

L'exemple de stratégie basée sur l'identité suivant refuse de créer des instantanés de volumes d' EC2 instance si des instantanés sont étiquetés avec l'une des clés de balise spécifiées dans la stratégie, ou. environment webserver La politique inclut l'opérateur d'ensemble ForAnyValue avec la clé de contexte aws:TagKeys, car la clé de contexte de la demande peut inclure plusieurs valeurs. Si votre demande de balisage inclut l'une des valeurs de clés de balise spécifiées dans la politique, la clé de contexte aws:TagKeys renvoie la valeur true en invoquant l'effet de la politique de refus.

Important

Cette politique ne permet aucune action. Utilisez cette stratégie conjointement à d'autres stratégies qui autorisent des actions spécifiques.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ec2:CreateSnapshot",
        "ec2:CreateSnapshots"
      ],
      "Resource": "arn:aws:ec2:us-west-2::snapshot/*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:TagKeys": "webserver"
        }
      }
    }
  ]
}

Le tableau suivant montre comment cette politique est AWS évaluée en fonction des valeurs des clés de condition figurant dans votre demande. Pour une instruction Refuser, Correspondance est refusée et Aucune correspondance n’est pas refusée, elle peut donc être autorisée par une autre instruction.

Condition de politique Contexte de la demande Résultat 
"ForAnyValue:StringEquals": {
  "aws:TagKeys": "webserver"
}
 
aws:TagKeys:
  – webserver

Match

 
"ForAnyValue:StringEquals": {
  "aws:TagKeys": "webserver"
}
 
aws:TagKeys:
  – environment
  – webserver
  – test

Match

 
"ForAnyValue:StringEquals": {
  "aws:TagKeys": "webserver"
}
 
aws:TagKeys:
  – environment
  – test

Aucune correspondance

Peut être autorisé par une autre instruction.

 
"ForAnyValue:StringEquals": {
  "aws:TagKeys": "webserver"
}

Aucun aws:TagKeys dans le contexte de la demande.

Aucune correspondance

Peut être autorisé par une autre instruction.