🆚

AWS IAM ForAllValuesとForAnyValueの違い

2024/09/23に公開

 回答ForAllValuesとForAnyValue集合演算子は、いずれも複数値のコンテキストキー（multivalued context key）に対して使用します。
ForAllValuesは、リクエストに含まれる指定のコンテキストキーの値（複数値）のすべての値が条件を満たす場合にtrueを返します。
ForAnyValueは、リクエストに含まれる指定のコンテキストキーの値（複数値）の少なくとも1つの値が条件を満たす場合にtrueを返します。

 複数値のコンテキストキーとは複数値のコンテキストキーとは、リクエストコンテキストにおいて複数の値を取りうる（リスト・配列型である）コンテキストキーを指します。例えば、aws:TagKeysやaws:PrincipalOrgPathsがそれに当たります。複数値のコンテキストキーは、AWS グローバル条件コンテキストキーでは「値タイプ」が「複数値」となっており、サービス認証リファレンスでは「タイプ」がArrayOf...となっています。
逆に、単一の値しか持たないコンテキストキーは単一値のコンテキストキー（single-valued context key）と呼ばれます。
複数値のコンテキストキーかどうかは、リクエストコンテキストの値の数によって決まるのであって、ポリシー条件の値の数には関係ないことに注意が必要です。つまり、以下のようなポリシー条件を書いたとしても、aws:ResourceTag/tag-keyは単一値のコンテキストキーです（よって、このコンテキストキーにForAllValuesやForAnyValueを使用する必要はありません）。
"Condition": {
    "StringEquals": {
        "aws:RequestTag/tag-key": [
            "value-1",
            "value-2"
        ]
    }
}

 ForAllValuesの解説ForAllValuesは、リクエストに含まれる指定のコンテキストキーの値（複数値）のすべての値が条件を満たす場合にtrueを返します。
例として、以下のリクエストコンテキストを以下のポリシー条件で評価する場合を考えます。
リクエストコンテキスト：タグキーが["CreatedBy", "CreatedAt"]
ポリシー条件：
"Condition": {
    "ForAllValues:StringLike": {
        "aws:TagKeys": "Created*"
    }
}
この場合、["CreatedBy", "CreatedAt"]のすべての値が「Created*に一致する」という条件を満たすので、結果はtrueになります。

 ポリシー条件に複数値を指定した場合ポリシー条件の基本的な評価論理として、ひとつのコンテキストキーに対して複数の値を指定した場合、それらの値はORで評価されます[1]。これはForAllValuesを使用した場合でも同様です。すなわち、リクエストコンテキストのすべての値がポリシー条件の少なくとも1つの値に一致するとき、trueと評価されます。言い換えれば、リクエスト側集合がポリシー条件側集合の部分集合であるときtrueになります。
以下のリクエストコンテキストを、以下のポリシー条件で評価する例を考えます。
リクエストコンテキスト：タグキーが["Department", "Role"]
ポリシー条件：
"Condition": {
    "ForAllValues:StringEquals": {
        "aws:TagKeys": [
            "Department",
            "Role",
            "Environment"
        ]
    }
}
この場合、["Department", "Role"]のすべての値が「["Department", "Role", "Environment"]の少なくとも1つと等しい」という条件を満たすので、結果はtrueになります。あるいは、["Department", "Role"]は["Department", "Role", "Environment"]の部分集合であるためtrueになると説明することもできます。
!上述のとおり、リクエストコンテキストに含まれる値がポリシー条件に列挙した値より少なかったとしても、結果はtrueとなることに注意が必要です。
タグキーがすべて揃っているときのみtrueとしたい場合は、aws:RequestTag/tag-keyなどと併用する方法が考えられます。

 指定のコンテキストキーがリクエストに存在しない場合指定のコンテキストキーがリクエストに存在しない場合やその値がない場合、結果はtrueになります。
!「配列のすべての要素が条件を満たすか」を判定する場合、配列が空であれば結果はtrueとすることが一般的です。この考え方は、数学・論理学では「vacuous truth」という言葉で説明されるそうです。あるいは、「空集合はあらゆる集合の部分集合である」という説明が分かりやすいかもしれません。
以下のリクエストコンテキストを、以下のポリシー条件で評価する例を考えます。
リクエストコンテキスト：タグなし
ポリシー条件：
"Condition": {
    "ForAllValues:StringEquals": {
        "aws:TagKeys": [
            "Department",
            "Role",
            "Environment"
        ]
    }
}
結果はtrueになります。
!Allowエフェクトの条件でForAllValuesを使用する場合、この評価によって意図しない許可を与えてしまう可能性があります。コンテキストキーが存在しないときfalseとしたい場合は、Null条件演算子をfalseで使用します（この条件は、コンテキストキーがnullでない、すなわち、コンテキストキーが存在する場合にのみtrueと評価されます）[2]。
"Condition": {
    "Null": {
        "aws:TagKeys": "false"
    },
    "ForAllValues:StringEquals": {
        "aws:TagKeys": [
            "environment",
            "cost-center"
        ]
    }
}

 ForAnyValueの解説ForAnyValueは、リクエストに含まれる指定のコンテキストキーの値（複数値）の少なくとも1つの値が条件を満たす場合にtrueを返します。
ポリシー条件においてひとつのコンテキストキーに対して複数の値を指定した場合、リクエストコンテキストの少なくとも1つの値がポリシー条件の少なくとも1つの値に一致するとき、trueと評価されます。言い換えれば、リクエスト側集合とポリシー条件側集合に共通部分があればtrueになります。
指定のコンテキストキーがリクエストに存在しない場合やその値がない場合、結果はfalseになります。

 あとがき
ForAllValuesで力尽きてForAnyValueの説明が短くなってしまいましたが、ForAllValuesの方がよっぽど罠が多いため、これで良いかなと思っています
符号反転（Not）系演算子を考えるとさらに複雑になりそうだったため、説明に含めていません（そもそもしんどくて考えていません）

 参考https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html

脚注
複数のキーまたは値の評価ロジック ↩︎
タグキーに基づいたアクセスの制御 ↩︎

回答

複数値のコンテキストキーとは

ForAllValuesの解説

ポリシー条件に複数値を指定した場合

指定のコンテキストキーがリクエストに存在しない場合

ForAnyValueの解説

あとがき

参考

Discussion