AWS Identity and Access Management
Guía del usuario

Probar políticas de IAM con el simulador de políticas de IAM

Para obtener más información sobre cómo y por qué utilizar las políticas de IAM, consulte Políticas y permisos.

Puede obtener acceso a la consola del simulador de políticas de IAM en: https://policysim.aws.amazon.com/

En el siguiente vídeo se muestra una introducción sobre el uso del simulador de políticas de IAM.

Con el simulador de políticas de IAM, puede probar y solucionar problemas de políticas basadas en recursos y de IAM de las siguientes formas:

  • Pruebe las políticas asociadas a usuarios, grupos o roles de IAM en su cuenta de AWS. Si hay más de una política asociada al usuario, grupo o rol, puede probarlas todas o seleccionarlas individualmente para probarlas. Puede probar las acciones permitidas o denegadas por las políticas seleccionadas para determinados recursos.

  • Pruebe las políticas asociadas a los recursos de AWS, como buckets de Amazon S3, colas de Amazon SQS, temas de Amazon SNS o almacenes de Amazon S3 Glacier.

  • Si la cuenta de AWS forma parte de una organización en AWS Organizations, puede probar el impacto de las políticas de control de servicios (SCP) en las políticas de recursos y las políticas de IAM.

  • Pruebe las nuevas políticas que aún no están asociadas a un usuario, grupo o rol escribiéndolas o copiándolas en el simulador. Estas solo se utilizan en la simulación y no se guardan. Tenga en cuenta que no puede escribir ni copiar una política basada en recursos en el simulador. Para utilizar una política basada en recursos en el simulador, debe incluir el recurso en la simulación y seleccionar la casilla de verificación para incluir la política de dicho recurso en la simulación.

  • Pruebe las políticas con los servicios, acciones y recursos seleccionados. Por ejemplo, puede realizar una prueba para garantizar que la política permita que una entidad realice las acciones ListAllMyBuckets, CreateBucket y DeleteBucket en el servicio de Amazon S3 de un determinado bucket.

  • Simule escenarios del mundo real proporcionando claves de contexto, como una dirección IP o fecha, que se incluyan en los elementos Condition de las políticas que se estén probando.

  • Identifique la instrucción específica de una política que permite o deniega acceso a un recurso o acción en concreto.

Cómo funciona el simulador de políticas de IAM

El simulador evalúa las políticas que elija y determina los permisos en vigor para cada una de las acciones que especifique. El simulador utiliza el mismo motor de evaluación de políticas que se utiliza durante las solicitudes reales realizadas a los servicios de AWS. Sin embargo, el simulador difiere del entorno real de AWS de las siguientes formas:

  • El simulador no realiza una solicitud real al servicio de AWS, de modo que puede probar de forma segura solicitudes que podrían realizar cambios no deseados en el entorno real de AWS.

  • Dado que el simulador no simula la ejecución de las acciones seleccionadas, no se puede informar de ninguna respuesta a la solicitud simulada. El único resultado que se devuelve es si la acción solicitada se permitiría o se denegaría.

  • Si edita una política en el simulador, estos cambios solo afectan al simulador. La correspondiente política de la cuenta de AWS permanece sin cambios.

Permisos necesarios para utilizar el simulador de políticas de IAM

Puede utilizar la consola del simulador de políticas o la API del simulador de políticas para probar políticas. De forma predeterminada, los usuarios de la consola pueden probar las políticas que aún no están asociadas a un usuario, grupo o rol escribiéndolas o copiándolas en el simulador. Estas políticas se utilizan únicamente en la simulación y no revelan información confidencial. Los usuarios de API deben tener permisos para probar las políticas no asociadas. Para permitir a los usuarios de la consola o API probar las políticas asociadas a los usuarios, grupos o roles de IAM de la cuenta de AWS, debe conceder permisos para recuperar dichas políticas. Para poder probar políticas basadas en recursos, los usuarios deben tener permiso para recuperar la política del recurso.

Para obtener ejemplos de las políticas de la consola y API que permiten a un usuario simular políticas, consulte Ejemplos de políticas: AWS Identity and Access Management (IAM).

Permisos necesarios para utilizar la consola del simulador de políticas

Para permitir a los usuarios probar las políticas asociadas a los usuarios, grupos o roles de IAM de la cuenta de AWS, debe conceder a los usuarios permisos para recuperar dichas políticas. Para poder probar políticas basadas en recursos, los usuarios deben tener permiso para recuperar la política del recurso.

Para ver un ejemplo de política que permite utilizar la consola del simulador de políticas para las políticas asociadas a un usuario, grupo o rol, consulte IAM: permite el acceso a la consola del simulador de políticas.

Para ver un ejemplo de política que permite utilizar la consola del simulador de políticas únicamente para aquellos usuarios con una ruta de acceso determinada, consulte IAM: permite el acceso a la consola de simulador de políticas en función de la ruta de acceso del usuario.

Para crear una política que permita utilizar la consola del simulador de políticas para únicamente un tipo de entidad, utilice los siguientes procedimientos.

Para permitir a los usuarios de la consola simular políticas para los usuarios

Incluya las siguientes acciones en la política:

  • iam:GetGroupPolicy

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetUser

  • iam:GetUserPolicy

  • iam:ListAttachedUserPolicies

  • iam:ListGroupsForUser

  • iam:ListGroupPolicies

  • iam:ListUserPolicies

  • iam:ListUsers

Para permitir a los usuarios de la consola simular políticas para los grupos

Incluya las siguientes acciones en la política:

  • iam:GetGroup

  • iam:GetGroupPolicy

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:ListAttachedGroupPolicies

  • iam:ListGroupPolicies

  • iam:ListGroups

Para permitir a los usuarios de la consola simular políticas para los roles

Incluya las siguientes acciones en la política:

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetRole

  • iam:GetRolePolicy

  • iam:ListAttachedRolePolicies

  • iam:ListRolePolicies

  • iam:ListRoles

Para probar políticas basadas en recursos, los usuarios deben tener permiso para recuperar la política del recurso.

Para permitir a los usuarios de la consola probar políticas basadas en recursos en un bucket de Amazon S3

Incluya la siguiente acción en la política:

  • s3:GetBucketPolicy

Por ejemplo, la siguiente política utiliza esta acción para permitir a los usuarios de la consola simular una política basada en recursos en un determinado bucket de Amazon S3.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetBucketPolicy", "Resource":"arn:aws:s3:::bucket-name/*" } ] }

Para permitir a los usuarios de la consola probar políticas para AWS Organizations

Incluya las siguientes acciones en la política:

  • organizations:DescribePolicy

  • organizations:ListPolicies

  • organizations:ListPoliciesForTarget

  • organizations:ListTargetsForPolicy

Permisos necesarios para utilizar la API el simulador de políticas

Las acciones de API del simulador de políticas GetContextKeyForCustomPolicy y SimulateCustomPolicy permiten a los usuarios probar políticas que no estén aun asociadas a un usuario, grupo o función transfiriéndolas como cadenas a la API. Estas políticas se utilizan únicamente en la simulación y no revelan información confidencial. Para permitir a los usuarios de API probar las políticas asociadas a los usuarios, grupos o roles de IAM en su cuenta de AWS, debe proporcionarles permisos para llamar a GetContextKeyForPrincipalPolicy y SimulatePrincipalPolicy.

Para ver un ejemplo de política que permite utilizar la API del simulador de políticas para las políticas no asociadas y las políticas asociadas a un usuario, grupo o rol de la cuenta actual de AWS, consulte IAM: acceso a la API del simulador de políticas.

Para crear una política que permita utilizar la API del simulador de políticas para únicamente un tipo de política, utilice los siguientes procedimientos.

Para permitir a los usuarios de la API simular políticas transferidas directamente a la API como cadenas

Incluya las siguientes acciones en la política:

  • iam:GetContextKeysForCustomPolicy

  • iam:SimulateCustomPolicy

Para permitir a los usuarios de la API simular políticas asociadas a los usuarios, grupos, roles o recursos de IAM

Incluya las siguientes acciones en la política:

  • iam:GetContextKeysForPrincipalPolicy

  • iam:SimulatePrincipalPolicy

Por ejemplo, para conceder a un usuario llamado Bob permiso para simular una política asignada a un usuario llamado Alice, debe conceder acceso a Bob al siguiente recurso: arn:aws:iam::777788889999:user/alice.

Para ver un ejemplo de política que permite utilizar la API del simulador de políticas únicamente para aquellos usuarios con una ruta de acceso determinada, consulte IAM: obtiene acceso a la API del simulador de políticas en función de la ruta de acceso del usuario.

Uso del simulador de políticas de IAM (Consola)

De forma predeterminada, los usuarios pueden probar las políticas que aún no están asociadas a un usuario, grupo o rol escribiéndolas o copiándolas en la consola del simulador de políticas. Estas políticas se utilizan únicamente en la simulación y no revelan información confidencial.

Para probar una política no asociada a un usuario, grupo o rol con el simulador de políticas (consola)

  1. Abra la consola del simulador de políticas de IAM en https://policysim.aws.amazon.com/.

  2. En el menú Mode: (Modo:) situado en la parte superior de la página, elija New Policy (Nueva política).

  3. En la opción Policy Sandbox (Entorno de pruebas de política), elija Create New Policy (Crear nueva política).

  4. Escriba o copie una política en el simulador y utilice el simulador, tal y como se describe en los siguientes pasos.

Después de haber concedido los permisos necesarios para utilizar la consola del simulador de políticas de IAM, puede utilizar el simulador para probar una política de recursos, usuario, grupo o rol de IAM.

Para utilizar el simulador de políticas (consola)

  1. Abra la consola del simulador de políticas de IAM en https://policysim.aws.amazon.com/.

    nota

    Para iniciar sesión en el simulador de políticas como usuario de IAM, utilice la URL de inicio de sesión único en la Consola de administración de AWS. A continuación, diríjase a https://policysim.aws.amazon.com/. Para obtener más información sobre cómo iniciar sesión como usuario de IAM, consulte Cómo inician sesión en AWS los usuarios de IAM.

    El simulador se abrirá en el modo Existing Policies (Políticas existentes) y enumerará los usuarios de IAM de la cuenta en Users, Groups, and Roles (Usuarios, grupos y roles).

  2. Elija la opción que sea apropiada para su tarea:

    Para probarlo: Haga lo siguiente:
    Una política asociada a un usuario Elija Users (Usuarios) en la lista Users, Groups, and Roles (Usuarios, grupos y roles). A continuación, elija el usuario.
    Una política asociada a un grupo Elija Groups (Grupos) en la lista Users, Groups, and Roles (Usuarios, grupos y roles). A continuación, elija el grupo.
    Una política asociada a un rol Elija Roles en la lista Users, Groups, and Roles (Usuarios, grupos y roles). A continuación, elija el rol.
    Una política asociada a un recurso Consulte Paso 8.
    Una política personalizada Elija New Policy (Nueva política) en la lista de modos situada en la parte superior. A continuación, en el panel Policy Sandbox (Entorno de pruebas de política) situado a la izquierda, elija Create New Policy (Crear nueva política), escriba o pegue una política y, a continuación, elija Apply (Aplicar).

    Sugerencia

    Para probar una política asociada a un grupo, puede lanzar el simulador de políticas de IAM directamente desde la consola de IAM: en el panel de navegación, elija Groups (Grupos). Elija el nombre del grupo en el que desea probar una política y, a continuación, elija la pestaña Permissions (Permisos). En la sección Inline Policies (Políticas insertadas) o Managed Policies (Política administradas), encuentre la política que quiere probar. En la columna Actions (Acciones) para dicha política, elija Simulate Policy (Simular política).

    Para probar una política administrada por el cliente que está asociada a un usuario: en el panel de navegación, elija Users (Usuarios). Elija el nombre del usuario en el que desea probar una política. A continuación, elija la pestaña Permissions (Permisos) y amplíe la política que desea probar. En el extremo derecho, elija Simulate policy (Simular política). Se abrirá el IAM Policy Simulator (Simulador de política) en una nueva ventana y mostrará la política seleccionada en el panel Policies (Políticas).

  3. (Opcional) Si la cuenta forma parte de una organización en AWS Organizations, aparecerán las políticas de control de servicios (SCP) que afecten a la cuenta del usuario simulada en el panel Policies (Políticas) junto con IAM policies (Políticas de IAM) y Resource policies (Políticas de recursos). Las SCP son políticas JSON que especifican los permisos máximos para una organización o unidad organizativa (OU). Una SCP limita los permisos para las entidades de las cuentas de miembros. Si una SCP bloquea un servicio o acción, ninguna entidad de dicha cuenta puede obtener acceso a dicho servicio ni realizar la acción en cuestión. Esto es válido incluso si un administrador concede explícitamente permisos a dicho servicio o acción mediante una política de recursos o IAM. Para eliminar una SCP desde la simulación, elimine la selección de la casilla de verificación situada junto al nombre de la SCP. Para ver el contenido, seleccione el nombre de la SCP.

    Si la cuenta no forma parte de una organización, no hay SCP que simular.

  4. De manera opcional, para probar únicamente un conjunto de políticas asociadas a un usuario, grupo o rol, en el panel Policies (Políticas), elimine la selección de la casilla de verificación situada junto a cada política que desea excluir.

  5. En Policy Simulator (Simulador de políticas), elija Select service (Seleccionar servicio) y, a continuación, elija el servicio que desea probar. A continuación, elija Select actions (Seleccionar acciones) y seleccione una o varias acciones para probar. Aunque los menús muestran las selecciones disponibles únicamente para un servicio a la vez, todos los servicios y acciones que haya seleccionado aparecen en Action Settings and Results (Configuración y resultados de la acción).

  6. De manera opcional, si alguna de las políticas que ha seleccionado en Paso 2 y Paso 4 incluyen condiciones con AWS claves de condición globales, debe proporcionar valores a dichas claves. Puede hacerlo, ampliando la sección Global Settings (Configuración global) y escribir los valores para los nombres de las claves mostrados.

    aviso

    Si deja en blanco el valor para una clave de condición, dicha clave se pasa por alto durante la simulación. En algunos casos, esto produce un error y la simulación no puede ejecutarse. En otros casos se ejecuta la simulación, pero los resultados podrían no ser fiables. En tales casos, la simulación no coincide con las condiciones reales que incluyen un valor para la variable o clave de condición.

  7. De manera opcional, cada acción seleccionada aparecerá en la lista Action Settings and Results (Configuración y resultados de la acción) con la opción Not simulated (No simulado) mostrada en la columna Permission (Permiso) hasta que ejecute la simulación. Antes de ejecutar la simulación, puede configurar cada acción con un recurso. Para configurar acciones individuales para un determinado escenario, elija la flecha para ampliar la fila de la acción. Si la acción admite permisos de nivel de recursos, puede escribir el Nombre de recurso de Amazon (ARN) del recurso específico cuyo acceso desea probar. De forma predeterminada, cada recurso está establecido en un carácter comodín (*). También puede especificar un valor para las claves de contexto de condición. Como se ha mencionado anteriormente, las claves con valores vacíos se pasan por alto, lo que puede provocar errores en la simulación o resultados no fiables.

    1. Elija la flecha junto al nombre de la acción para ampliar cada fila y configurar cualquier información adicional necesaria para simular de forma precisa la acción en su escenario. Si la acción exige permisos de nivel de recursos, puede escribir el Nombre de recurso de Amazon (ARN) del recurso específico al que desea simular el acceso. De forma predeterminada, cada recurso está establecido en un carácter comodín (*).

    2. Si la acción admite permisos de nivel de recursos, pero no los necesita, puede elegir Add Resource (Añadir recurso) para seleccionar el tipo de recurso que desea agregar a la simulación.

    3. Si cualquiera de las políticas seleccionadas incluyen un elemento Condition que haga referencia a una clave de contexto para el servicio de esta acción, el nombre de la clave aparecerá en la acción. Puede especificar el valor que desea utilizar durante la simulación de dicha acción para el recurso especificado.

    Acciones que exigen grupos distintos de tipos de recursos

    Algunas acciones exigen diferentes tipos de recursos en diferentes circunstancias. Cada grupo de tipos de recursos se asocia a un escenario. Si alguno de estos casos se aplica a su simulación, selecciónelo y el simulador exigirá los tipos de recursos adecuados para dicho escenario. En la siguiente lista se enumeran cada una de las opciones de escenarios admitidas y los recursos que debe definir para ejecutar la simulación.

    Cada uno de los siguientes escenarios de Amazon EC2 exige que especifique los recursos instance, image y security-group. Si en su escenario se incluye un volumen de EBS, debe especificar que volume es un recurso. Si en el escenario de Amazon EC2 se incluye una nube virtual privada (VPC), debe proporcionar el recurso network-interface. Si se incluye una subred IP, debe especificar el recurso subnet. Para obtener más información sobre las opciones de escenarios de Amazon EC2, consulte Plataformas admitidas en la Guía del usuario de Amazon EC2.

    • EC2-Classic-InstanceStore

      instancia, imagen, grupo de seguridad

    • EC2-Classic-EBS

      instancia, imagen, grupo de seguridad, volumen

    • EC2-VPC-InstanceStore

      instancia, imagen, grupo de seguridad, interfaz de red

    • EC2-VPC-InstanceStore-Subnet

      instancia, imagen, grupo de seguridad, interfaz de red, subred

    • EC2-VPC-EBS

      instancia, imagen, grupo de seguridad, interfaz de red, volumen

    • EC2-VPC-EBS-Subnet

      instancia, imagen, grupo de seguridad, interfaz de red, subred, volumen

  8. (Opcional) Si desea incluir una política basada en recursos en la simulación, debe primero seleccionar las acciones que desea simular en dicho recurso en Paso 5. Amplíe las filas de las acciones seleccionadas y escriba el ARN del recurso con una política que desea simular. A continuación, seleccione Include Resource Policy (Incluir política de recurso) junto al cuadro de texto ARN. El simulador de políticas de IAM admite actualmente políticas basadas en recursos de únicamente los siguientes servicios: Amazon S3 (solo políticas basadas en recursos; las ACL no son actualmente compatibles), Amazon SQS, Amazon SNS y almacenes desbloqueados de Glacier (los almacenes bloqueados no son actualmente compatibles).

  9. Elija Run Simulation (Ejecutar simulación) en la esquina superior derecha.

    La columna Permission (Permiso) de cada fila de Action Settings and Results (Configuración y resultados de la acción) muestra el resultado de la simulación de cada acción en el recurso especificado.

  10. Para ver la instrucción de una política que permite o deniega explícitamente una acción, elija el enlace N matching statement(s) (Instrucción coincidente N) en la columna Permissions (Permisos) para ampliar la fila. A continuación, elija el enlace Show statement (Mostrar instrucción). El panel Policies (Políticas) muestra la correspondiente política con la instrucción resaltada que afectó al resultado de la simulación.

    nota

    Si una acción se deniega implícitamente —es decir, si la acción se deniega únicamente porque no se permite explícitamente— las opciones List (Enumerar) y Show statement (Mostrar instrucción) no se muestran.

Solución de problemas de los mensajes de la consola del simulador de políticas de IAM

En la siguiente tabla se muestran los mensajes informativos y de advertencia que puede encontrar al utilizar el simulador de políticas de IAM. La tabla también indica los pasos que puede seguir para resolverlos.

Mensaje Pasos para resolver el problema
Esta política se ha editado. Los cambios no se guardarán en su cuenta.

No hay que hacer nada.

Este mensaje es informativo. Si edita una política existente en el simulador de políticas de IAM, el cambio no afecta a su cuenta de AWS. El simulador le permite realizar cambios en las políticas con fines de prueba únicamente.

No se puede obtener la política de recursos. Motivo: mensaje de error detallado El simulador no puede obtener acceso a una política basada en un recurso especificado. Asegúrese de que el ARN del recurso especificado sea correcto y que el usuario que ejecuta la simulación tiene permisos para leer el recurso de la política.
Una o varias políticas exigen valores en la configuración de la simulación. Podría producirse un error en la simulación sin estos valores.

Este mensaje aparece si la política que está probando incluye variables o claves de condición, pero no ha proporcionado ningún valor para estas claves o variables en Simulation Settings (Configuración de simulación).

Para que desaparezca este mensaje, elija Simulation Settings (Configuración de simulación) y, a continuación, escriba un valor para cada variable o clave de condición.

Ha cambiado las políticas. Estos resultados ya no son válidos.

Este mensaje aparece si ha cambiado la política seleccionada mientras los resultados aparecen en el panel Results (Resultados). Los resultados que se muestran en el panel Results (Resultados) no se actualizan dinámicamente.

Para que desaparezca este mensaje, vuelva a elegir Run Simulation (Ejecutar simulación) para mostrar nuevos resultados de la simulación basados en los cambios realizados en el panel Policies (Políticas).

El recurso que ha introducido para esta simulación no coincide con este servicio.

Este mensaje aparece si ha introducido un Nombre de recurso de Amazon (ARN) en el panel Simulation Settings (Configuración de simulación) que no coincide con el servicio que ha elegido para la simulación actual. Por ejemplo, este mensaje aparece si especifica un ARN de un recurso de Amazon DynamoDB pero ha elegido Amazon Redshift como el servicio que desea simular.

Para que desaparezca este mensaje, realice uno de los siguientes pasos:

  • Elimine el ARN del cuadro del panel Simulation Settings (Configuración de simulación).

  • Elija el servicio que coincida con el ARN que ha especificado en Simulation Settings (Configuración de simulación).

Esta acción pertenece a un servicio que admite mecanismos de control de acceso especiales, además de políticas basadas en recursos, como las ACL de Amazon S3 o las políticas de bloqueo de almacenes de Glacier. El simulador de políticas no admite estos mecanismos, de modo que los resultados pueden diferir de su entorno de producción.

No hay que hacer nada.

Este mensaje es informativo. En la versión actual, el simulador evalúa políticas asociadas a usuarios y grupos y puede evaluar políticas basadas en recursos para Amazon S3, Amazon SQS, Amazon SNS y Glacier. El simulador de políticas no admite todos los mecanismos de control de acceso compatibles con otros servicios de AWS.

DynamoDB FGAC no se admite actualmente.

No hay que hacer nada.

Este mensaje informativo hace referencia al control de acceso detallado. Se trata de la capacidad de utilizar condiciones de políticas de IAM para determinar quién puede obtener acceso a los atributos y elementos de datos individuales de los índices y tablas de DynamoDB, así como las acciones que pueden llevarse a cabo en ellos. La versión actual del simulador de políticas de IAM no admite este tipo de condición de política. Para obtener más información sobre el control de acceso detallado de DynamoDB, consulte Control de acceso detallado para DynamoDB.

Tiene políticas que no cumplen con la sintaxis de la política. Puede utilizar el validador de políticas para revisar y aceptar las actualizaciones recomendadas para sus políticas.

Este mensaje aparece en la parte superior de la lista de políticas si tiene políticas que no cumplen con la gramática de políticas de IAM. Con el fin de simular estas políticas, sigas las instrucciones indicadas en Validación de políticas de JSON para identificar y solucionar estas políticas.

Esta política debe actualizarse para cumplir con las últimas reglas de sintaxis de la política.

Este mensaje aparece si tiene políticas que no cumplen con la gramática de políticas de IAM. Con el fin de simular estas políticas, sigas las instrucciones indicadas en Validación de políticas de JSON para identificar y solucionar estas políticas.

Uso del simulador de políticas de IAM (AWS CLI y API de AWS)

Normalmente, los comandos del simulador de políticas exigen realizar llamadas a las operaciones de API para hacer dos cosas:

  1. Evaluar las políticas y devolver la lista de claves de contexto a las que hacen referencia. Debe conocer las claves de contexto a las que hacen referencia para que pueda proporcionarles valores en el siguiente paso.

  2. Simular las políticas, proporcionando una lista de acciones, recursos y claves de contexto que se utilizan durante la simulación.

Por motivos de seguridad, las operaciones de API se han dividido en dos grupos:

En ambos casos, las operaciones de API simulan el efecto de una o varias políticas en una lista de acciones y recursos. Cada acción va emparejada con cada recurso y la simulación determina si las políticas permiten o deniegan esa acción para dicho recurso. También puede proporcionar valores para cualquier clave de contexto a la que sus políticas hagan referencia. Puede obtener la lista de claves de contexto a las que las políticas hacen referencia llamando primero a GetContextKeysForCustomPolicy o GetContextKeysForPrincipalPolicy. Si no proporciona un valor para una clave de contexto, la simulación sigue ejecutándose. Pero los resultados podrían no ser fiables, ya que el simulador no puede incluir la clave de contexto en la evaluación.

Para obtener la lista de claves de contexto (AWS CLI, API de AWS)

Utilice lo siguiente para evaluar una lista de las políticas y devolver una lista de claves de contexto que se utilizan en las políticas.

Para simular políticas de IAM(AWS CLI, API de AWS)

Utilice lo siguiente para simular políticas de IAM con el fin de determinar los permisos en vigor del usuario.