0

当我查看 Cloudtrail 中的“请求上下文”时,我看到了此处列出的记录内容。

  1. “请求上下文”记录内容和条件键之间是否存在映射?
    或者说在“请求上下文”中存在条件不是强制性的,但与条件相对应的条件键可能仍然可用(AWS 魔术)用于评估此请求的策略中,这是否正确?使用前缀 aws: 的 AWS 范围内的键是否在所有请求上下文中都可用?

  2. 当我在策略中使用条件键时,如何确定请求上下文中存在条件键?
    当然,我可以添加一个“ifexists”子句来检查 Condition 键的可用性,但这是一个“包罗万象”的机制。在检查政策中的条件时,我如何确定不需要使用“Ifexists”子句?

我在这里也发布了一个不同但相关的问题。

4

3 回答 3

1

查看条件键表以查找可用于 IAM 策略语句Condition元素的 AWS 服务的条件上下文键。

于 2020-05-17T07:31:23.757 回答
1

Cloudtrail 事件仅具有来自请求上下文的信息子集。我们永远无法看到 AWS 请求上下文的全部(详细信息)——它的一个子集被记录为Cloudtrail 事件中的记录内容

Cloudtrail 事件和请求上下文是两个不同的东西。您可以在 Cloudtrail 事件中将有关请求上下文的一些信息作为记录内容查看(只有 AWS 可以看到整个请求上下文并根据通过策略授予的权限检查它以允许/拒绝请求)。

于 2020-05-17T11:43:39.650 回答
0

我认为您混淆了 CT 日志事件数据的内容:

使用 CloudTrial 的 IAM 条件键:

还可以使用...IfExistsNull检查来检查策略密钥是否存在。

如果您在策略条件中指定的键在请求上下文中不存在,则值不匹配。

第一个包含有关您的 CT 试用中的 API 调用的信息,而第二个用于 IAM 策略中以授予条件权限。

于 2020-05-17T07:34:47.413 回答