如何写condition

常用的condition：

Condition key	Description	policy example
aws:RequestTag	根据请求方的tag key+value 过滤允许发起请求的是谁。例如，您可以检查请求是否包含tag key "usage" 并具有tag value "production" 。
aws:ResourceTag	根据资源的tag过滤可以访问哪些资源. 如果资源包含指定的tag，与 请求方的tag一致，则允许执行操作。
aws:TagKeys	支持要求在请求中传递的tag key有哪些来筛选访问，由于可在一个请求中包含多个标签键/值对，因此，请求内容可以是多值请求。在此情况下，您必须使用 ForAllValues 或 ForAnyValue 集合运算符。
aws:SourceIp	当请求不是通过 VPC 端点发起时，限制对可信网络公共 IP 范围的访问。最常见的情况是从内部企业网络访问 AWS 控制台。
aws:SourceVpc	限制从可信网络中特定 VPC ID 的访问。例如，在 Amazon EC2 实例上运行的应用程序APP 使用实例配置文件、部署在 VPC 中的 Lambda 函数或配置了 VPC 网络连接的 Glue 爬虫。
aws:CalledVia	提供了一种直截了当的方法，当受信任的 AWS 服务代表 IAM 委托人执行额外操作（如 Amazon Athena）时，允许通过该服务直接访问。
aws:ViaAWSService	此条件的作用与 aws:CalledVia 类似，但它并不局限于特定的 AWS 服务，而是可用于允许或拒绝访任何 AWS 服务。您通常不会在同一策略中使用 aws:CalledVia 和 aws:ViaAWSService；在针对特定 AWS 服务的策略中使用 aws:CalledVia，而在要允许/拒绝任何 AWS 服务时使用 aws:ViaAWSService。
aws:PrincipalIsAWSService	检查调用资源的是否是AWS 服务。比如AWS CloudTrail作为主体写入日志到Amazon S3存储桶。
aws:PrincipalArn	此条件可以限制你指定的Amazon Resource Name (ARN)发起请求。比如某个IAM role：arn:aws:iam::123456789012:role/role-name
aws:PrincipalAccount	可用于限制某个指定账号的principal（角色或用户）的访问。示例中，除账号为 123456789012 的委托人外，其他人都被拒绝访问。
aws:ResourceAccount	该条件用于限制访问属于特定账户的资源