我无法理解 AWS IAM 策略条件中 Bool 和 BoolIfExists 之间的区别。有人可以解释一下吗?
例如:
"Condition" : {"BoolIfExists" : {"aws:MutliFactorAuthPresent" : false}}
"Condition" : {"Bool" : {"aws:MutliFactorAuthPresent" : false}}
最佳答案
来自 https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html
推荐组合
我们建议您使用 BoolIfExists 运算符来检查请求是否使用 MFA 进行身份验证。
"Effect" : "Deny",
"Condition" : { "BoolIfExists" : { "aws:MultiFactorAuthPresent" : "false" } }
Deny、BoolIfExists 和 false 的组合拒绝未使用 MFA 进行身份验证的请求。具体来说,它拒绝来自不包含 MFA 的临时凭证的请求。它还拒绝使用长期凭证发出的请求,例如使用访问 key 发出的 AWS CLI 或 AWS API 操作。 *IfExists 运算符检查 aws:MultiFactorAuthPresent key 是否存在以及它是否存在,如其存在所指示的那样。当您想要拒绝任何未使用 MFA 进行身份验证的请求时,请使用此选项。这更安全,但会破坏使用访问 key 访问 AWS CLI 或 AWS API 的任何代码或脚本。
关于amazon-web-services - AWS IAM Bool 与 BoolIfExists,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/69847891/