

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# AWS Sign-In referensi kunci kondisi
<a name="reference-signin-condition-keys"></a>

Halaman ini mencantumkan kunci kondisi yang dapat Anda gunakan dalam kebijakan AWS Sign-In berbasis sumber daya dan kebijakan kontrol sumber daya (RCP), dan menunjukkan fase evaluasi dan tindakan yang diterapkan setiap kunci. Hanya `signin:PrincipalArn` khusus untuk AWS Sign-In; yang lain adalah kunci kondisi AWS global. Untuk definisi kunci global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).

Untuk daftar lengkap tindakan dan kunci kondisi dalam Referensi Otorisasi Layanan, lihat [Tindakan, sumber daya, dan kunci kondisi untuk AWS Sign-In](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssignin.html).

## Network-based kunci kondisi
<a name="reference-signin-condition-keys-network"></a>

Kunci kondisi ini memeriksa dari mana permintaan berasal. AWS Sign-In mengevaluasi mereka untuk semua AWS Sign-In tindakan (`signin:Authenticate`,`signin:AuthorizeOAuth2Access`, dan`signin:CreateOAuth2Token`) dalam kebijakan berbasis sumber daya dan RCP.


**Network-based kunci kondisi**  

| Kunci syarat | Operator | Deskripsi | Aturan penggunaan | 
| --- | --- | --- | --- | 
| aws:SourceIp | IpAddress, NotIpAddress | Alamat IP publik atau rentang CIDR | Tidak ada saat permintaan menggunakan titik akhir VPC. Gunakan IfExists operator saat menggabungkan dengan VPC-based kondisi dalam pernyataan yang sama. | 
| aws:SourceVpc | StringEquals, StringNotEquals | ID VPC () vpc-xxxxxxxx | Hanya hadir saat permintaan menggunakan titik akhir VPC. Gunakan dengan aws:RequestedRegion untuk mencegah tabrakan ID VPC lintas wilayah. | 
| aws:SourceVpce | StringEquals, StringNotEquals | ID titik akhir VPC () vpce-xxxxxxxx | Hanya hadir saat permintaan menggunakan titik akhir VPC. | 
| aws:VpcSourceIp | IpAddress, NotIpAddress | IP pribadi dalam VPC | Selalu gunakan tombol aws:VpcSourceIp kondisi dengan tombol aws:SourceVpc atau aws:SourceVpce kondisi. | 
| aws:RequestedRegion | StringEquals, StringNotEquals | Kode AWS Wilayah Target | Direkomendasikan saat menggunakan aws:SourceVpc untuk mencegah tabrakan ID VPC lintas wilayah. Beberapa Wilayah dapat ditentukan. | 

**penting**  
Satu permintaan berisi `aws:SourceIp` (jaringan publik) atau `aws:SourceVpc` (titik akhir VPC), bukan keduanya. Saat menulis penolakan kecuali kebijakan yang mencakup kedua jalur, gunakan `IfExists` operator (misalnya,`NotIpAddressIfExists`) atau buat pernyataan terpisah.

## Identity-based kunci kondisi
<a name="reference-signin-condition-keys-identity"></a>

Kunci kondisi ini memeriksa siapa yang membuat permintaan. Mereka hanya tersedia untuk tindakan pasca-otentikasi (`signin:AuthorizeOAuth2Access`dan`signin:CreateOAuth2Token`), di mana identitas utama telah ditetapkan.


**Identity-based kunci kondisi**  

| Kunci syarat | Operator | Deskripsi | Contoh | 
| --- | --- | --- | --- | 
| aws:PrincipalArn | ArnEquals, ArnLike, ArnNotEquals, StringEquals, StringLike | ARN dari prinsipal IAM yang diautentikasi | arn:aws:iam::123456789012:user/alice, arn:aws:iam::123456789012:role/Admin | 
| aws:PrincipalAccount | StringEquals, StringNotEquals | AWS ID akun kepala sekolah | 123456789012 | 

## Service-specific kunci kondisi: masuk: PrincipalArn
<a name="reference-signin-condition-keys-service-specific"></a>

Kunci kondisi berikut khusus untuk AWS Sign-In dan bukan AWS kunci global. Ini hanya tersedia selama evaluasi pra-otentikasi. Gunakan `signin:PrincipalArn` untuk mengidentifikasi prinsipal yang memulai proses masuk sebelum otentikasi selesai. Ini adalah pra-otentikasi yang setara dengan`aws:PrincipalArn`, yang tidak tersedia sampai setelah otentikasi.

Operator  
Operator ARN (`ArnEquals`,, `ArnLike``ArnNotEquals`,`ArnNotLike`) dan operator string (`StringEquals`,`StringLike`).

Ketersediaan  
AWS Sign-In menyertakan kunci ini dalam konteks permintaan selama fase pra-otentikasi (`signin:Authenticate`tindakan). Ini tidak tersedia untuk tindakan pasca-otentikasi (`signin:AuthorizeOAuth2Access`dan`signin:CreateOAuth2Token`).

Jenis data  
ARN. Gunakan operator ARN daripada operator string.

Tipe nilai  
Single-valued.

Didukung di  
Resource-based kebijakan dan RCP.

Gunakan operator ARN untuk membandingkan nilai. Anda dapat menentukan jenis utama berikut:
+ Akun AWS pengguna root (`arn:aws:iam::123456789012:root`)
+ Pengguna IAM () `arn:aws:iam::123456789012:user/{{user-name}}`
+ Peran IAM () `arn:aws:iam::123456789012:role/{{role-name}}`

**Kasus penggunaan:** Mengecualikan identitas utama yang dikecualikan dari pembatasan jaringan, mencegah penguncian sambil tetap menerapkan kontrol jaringan untuk semua upaya akses lainnya.

**Contoh — Tolak akses pra-otentikasi dari jaringan yang tidak sah, kecuali untuk pengguna root:**

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": { "AWS": "*" },
      "Action": ["signin:Authenticate"],
      "Resource": "*",
      "Condition": {
        "ArnNotEquals": {
          "signin:PrincipalArn": "arn:aws:iam::123456789012:root"
        },
        "NotIpAddress": {
          "aws:SourceIp": "203.0.113.0/24"
        },
        "StringEquals": {
          "aws:ResourceAccount": "123456789012"
        }
      }
    },
    {
      "Effect": "Deny",
      "Principal": { "AWS": "*" },
      "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"],
      "Resource": "*",
      "Condition": {
        "ArnNotEquals": {
          "aws:PrincipalArn": "arn:aws:iam::123456789012:root"
        },
        "NotIpAddress": {
          "aws:SourceIp": "203.0.113.0/24"
        },
        "StringEquals": {
          "aws:ResourceAccount": "123456789012"
        }
      }
    }
  ]
}
```

Kebijakan ini menolak akses konsol dari luar rentang `203.0.113.0/24` IP, kecuali untuk pengguna root akun. Pernyataan pra-otentikasi digunakan `signin:PrincipalArn` untuk membebaskan pengguna root sebelum otentikasi selesai. Pernyataan pasca-otentikasi digunakan `aws:PrincipalArn` untuk mengecualikan prinsip yang sama setelah otentikasi, selama pertukaran token OAuth. Lihat [Contoh kebijakan](console-access-control.md#console-access-control-policy-examples).

## Kondisi ketersediaan kunci berdasarkan tindakan
<a name="reference-signin-condition-keys-availability"></a>


**Kondisi ketersediaan kunci berdasarkan tindakan**  

| Kunci syarat | Signin:Otentikasi | masuk: AuthorizeOAuth2Access | masuk: CreateOAuth2Token | 
| --- | --- | --- | --- | 
| aws:SourceIp | Ya | Ya | Ya | 
| aws:SourceVpc | Ya | Ya | Ya | 
| aws:SourceVpce | Ya | Ya | Ya | 
| aws:VpcSourceIp | Ya | Ya | Ya | 
| aws:RequestedRegion | Ya | Ya | Ya | 
| aws:PrincipalArn | – | Ya | Ya | 
| aws:PrincipalAccount | – | Ya | Ya | 
| signin:PrincipalArn | Ya | – | – | 

**catatan**  
`signin:CreateAccount`Tindakan ini digunakan secara eksklusif dalam kebijakan titik akhir VPC untuk Akses Pribadi Konsol dan tidak tersedia untuk kebijakan atau RCP berbasis sumber daya. Tidak ada kunci kondisi khusus layanan yang terkait dengannya. Lihat [Akses Pribadi Konsol](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/console-private-access.html).

## Informasi Terkait
<a name="reference-signin-condition-keys-related"></a>
+ [Mengontrol akses konsol dengan kebijakan berbasis sumber daya dan kebijakan kontrol sumber daya](console-access-control.md)
+ [Konsol Manajemen AWS Akses Pribadi](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/console-private-access.html)
+ [AWS kunci konteks kondisi global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [Tindakan, sumber daya, dan kunci kondisi untuk AWS Sign-In](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssignin.html)