AWS Identity and Access Management
Guía del usuario

Resumen de servicios (lista de acciones)

Las políticas se resumen en tres tablas: el resumen de política, el resumen de servicio y el resumen de acción. La tabla resumen de servicio incluye una lista de acciones y resúmenes de los permisos definidos por la política del servicio elegido.


      Imagen del diagrama de resúmenes de política que ilustra las tres tablas y su relación

Puede ver un resumen de cada servicio enumerado en el resumen de política que concede los permisos. La tabla se agrupa en las secciones Uncategorized actions (Acciones sin categorizar), Uncategorized resource types (Tipos de recursos sin categorizar) y nivel de acceso. Si la política incluye una acción que IAM no reconoce, entonces la acción se incluye en la sección Uncategorized actions (Acciones sin categorizar) de la tabla. Si IAM reconoce la acción, entonces se incluye en una de las secciones de nivel de acceso (List (Enumerar), Read [Leer], Write [Escribir]y Permissions management [Administración de permisos]) de la tabla. Para ver la clasificación del nivel de acceso asignada a cada acción de un servicio, consulte Claves de condición, recursos y acciones de los servicios de AWS.

Visualización de resúmenes de servicio

Puede ver el resumen de servicio de las políticas administradas en la página Policies (Políticas) o ver resúmenes de servicios de las políticas administradas e insertadas asociadas a un usuario o rol a través de las páginas Users (Usuarios) y Roles . Sin embargo, si elige un nombre de servicio en las páginas Users (Usuarios) o Roles de una política administrada, se abrirá la página Policies (Políticas). Puede ver los resúmenes de servicio de las políticas administradas en la página Policies (Políticas).

Para ver el resumen de servicio de una política administrada

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Policies.

  3. En la lista de políticas, seleccione el nombre de la política que desea ver.

  4. En la página Summary (Resumen), diríjase a la pestaña Permissions (Permisos) para ver el resumen de política.

  5. En la lista de servicios del resumen de política, elija el nombre del servicio que desea ver.

Para ver el resumen de servicio de una política asociada a un usuario

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Users.

  3. En la lista de usuarios, seleccione el nombre del usuario cuya política desea ver.

  4. En la página Summary (Resumen) del usuario, diríjase a la pestaña Permissions (Permisos) para ver la lista de políticas asociadas directamente al usuario o desde un grupo.

  5. En la tabla de políticas del usuario, amplíe la fila de la política que desea ver.

  6. En la lista de servicios del resumen de política, elija el nombre del servicio que desea ver.

    nota

    Si la política que selecciona es una política en línea que está asociada directamente con el usuario, aparecerá la tabla de resumen de servicio. Si la política es una política en línea asociada a un grupo, entonces accederá al documento de política JSON de ese grupo. Si la política es una política administrada, se le redirigirá al resumen de servicio de dicha política en la página Policies (Políticas).

Para ver el resumen de servicio de una política asociada a un rol

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Elija la opción Roles en el panel de navegación.

  3. En la lista de roles, seleccione el nombre del rol cuya política desea ver.

  4. En la página Summary (Resumen) del rol, diríjase a la pestaña Permissions (Permisos) para ver la lista de políticas asociadas al rol.

  5. En la tabla de políticas del rol, amplíe la fila de la política que desea ver.

  6. En la lista de servicios del resumen de política, elija el nombre del servicio que desea ver.

Descripción de los elementos de un resumen de servicio

El ejemplo siguiente es el resumen de servicio de Amazon S3 permitidas por el resumen de política SummaryAllElements (consulte Documento de políticas JSON SummaryAllElements). Las acciones de este servicio se agrupan en Uncategorized actions (Acciones sin categorizar), Uncategorized resource types (Tipos de recursos sin categorizar) y nivel de acceso. Por ejemplo, se definen dos acciones Write (Escribir) de un total de 29 acciones Write (Escribir) disponibles para el servicio.


        Imagen del cuadro de diálogo de resumen del servicio

La página de resumen de servicio de una política administrada incluye la siguiente información:

  1. Si la política no concede permisos a todas las acciones, recursos y condiciones definidos por el servicio de la política, aparece un banner de advertencia en la parte superior de la página. El resumen de servicio incluye información sobre el problema. Para obtener más información acerca de cómo los resúmenes de políticas pueden ayudarle a comprender y solucionar problemas de los permisos que concede su política, consulte Mi política no concede los permisos esperados.

  2. Junto al enlace Back (Volver) aparece el nombre del servicio (en este caso, S3). El resumen de servicio de este servicio incluye la lista de acciones permitidas defina en la política. Si en su lugar, el texto (Explicitly denied) (Denegado explícitamente) aparece junto al nombre de un servicio, entonces las acciones que se muestran en la tabla de resumen de servicio se deniegan de forma explícita.

  3. Elija { } JSON para ver detalles adicionales sobre la política. Puede hacerlo para ver todas las condiciones que se aplican a las acciones. (Si visualiza el resumen de servicio de una política en línea asociada directamente a un usuario, debe cerrar el cuadro de diálogo del resumen de servicio y volver al resumen de política para acceder al documento de la política JSON).

  4. Para ver el resumen de una acción específica, escriba palabras clave en el cuadro de búsqueda para reducir la lista de acciones disponibles.

  5. Action (2 of 69 actions) (Acción [2 de 69 acciones]) – Esta columna muestra las acciones que se definen dentro de la política y proporciona los recursos y condiciones para cada acción. Si la política concede permisos para la acción, el nombre de acción vincula a la tabla action summary (resumen de acción). El recuento indica el número de acciones reconocidas que proporcionan permisos. El total es el número de acciones conocidas para el servicio. En este ejemplo, 2 acciones proporcionan permisos del total de 69 acciones de S3 conocidas.

  6. Show/Hide remaining 67 (Mostrar/ocular 67 restantes) – Elija este enlace para ampliar u ocultar la tabla con el fin de incluir las acciones conocidas pero que no están concediendo permisos para este servicio. Al ampliar el enlace también se muestran las advertencias de los elementos que no proporcionan permisos.

  7. Unrecognized resource types (Tipos de recursos no reconocidos) – Esta política incluye al menos un tipo de recurso no reconocido dentro de la política para este servicio. Puede utilizar esta advertencia para comprobar si un tipo de recurso podría incluir un error tipográfico. Si el tipo de recurso es correcto, el servicio podría no ser completamente compatible con resúmenes de políticas, podría estar en vista previa o ser un servicio personalizado. Para solicitar soporte de resumen de política de un tipo de recurso específico en un servicio de disponibilidad general, consulte El servicio no admite resúmenes de políticas de IAM. En este ejemplo, al nombre de servicio autoscling le falta una a.

  8. Unrecognized actions (Acciones no reconocidas) – Esta política incluye al menos una acción no reconocida en la política para este servicio. Puede utilizar esta advertencia para comprobar si una acción podría incluir un error tipográfico. Si el nombre de la acción es correcto, el servicio podría no ser compatible completamente con los resúmenes de políticas, podría estar en vista previa o podría ser un servicio personalizado. Para solicitar soporte de resumen de política para una acción específica en un servicio de disponibilidad general, consulte El servicio no admite resúmenes de políticas de IAM. En este ejemplo, a la acción DeletObject le falta una e.

    nota

    IAM comprueba los nombres de los servicios, las acciones y los tipos de recurso para los servicios que admiten resúmenes de políticas. Sin embargo, el resumen de política podría incluir algún valor de recurso o condición que no exista. Pruebe siempre las políticas con el simulador de políticas.

  9. Para las acciones que reconoce IAM, la tabla agrupa estas acciones en al menos una o hasta cuatro secciones, en función del nivel de acceso que la política permita o deniegue. Las secciones son List (Enumerar), Read (Leer), Write (Escribir) y Permissions management (Administración de permisos). También puede ver el número de acciones que se definen a partir del número total de acciones disponibles dentro de cada nivel de acceso. Para ver la clasificación del nivel de acceso asignada a cada acción de un servicio, consulte Claves de condición, recursos y acciones de los servicios de AWS.

  10. Los puntos suspensivos (...) indican que se incluyen todas las acciones en la página, pero que se muestran solo las filas con información relativa a esta política. Al ver esta página en la Consola de administración de AWS, verá todas las acciones de su servicio.

  11. (No access) (Sin acceso) – Esta política incluye una acción que no proporciona permisos.

  12. Entre las acciones que conceden los permisos se incluye un enlace al resumen de la acción.

  13. Resource (Recurso) – Esta columna muestra los recursos que la política define para el servicio. IAM no comprueba si el recurso se aplica a cada acción. En este ejemplo, las acciones en el servicio S3 solo están permitidas en el recurso de bucket de Amazon S3 developer_bucket. En función de la información que el servicio proporcione a IAM, se puede mostrar un ARN, como arn:aws:s3:::developer_bucket/*, o el tipo de recurso definido, como BucketName = developer_bucket.

    nota

    Esta columna puede incluir un recurso de otro servicio. Si la instrucción de la política que incluye el recurso no incluye ambas acciones y recursos del mismo servicio, la política incluirá recursos erróneos. IAM no le avisa sobre recursos erróneos al crear una política o al visualizar una política en el resumen de servicio. IAM tampoco indica si la acción se aplica a los recursos, solo si coincide con el servicio. Si esta columna incluye un recurso no coincidente, debe comprobar que la política no tiene errores. Para comprender mejor las políticas, pruébelas siempre con el simulador de políticas.

  14. Resource warning (Advertencia de recursos) – En el caso de acciones con recursos que no conceden permisos completos, verá una de las siguientes advertencias:

    • This action does not support resource-level permissions. This requires a wildcard (*) for the resource. (Esta acción no admite permisos de nivel de recurso. Se necesita un comodín (*) para el recurso.) – Esto significa que la política incluye permisos en el nivel de recursos, pero debe incluir "Resource": ["*"] para conceder permisos para esta acción.

    • This action does not have an applicable resource. (Esta acción no tiene un recurso aplicable.) – Esto significa que la acción está incluida en la política, pero sin un recurso admitido.

    • This action does not have an applicable resource and condition. (Esta acción no tienen un recurso y una condición aplicables.) – Esto significa que la acción está incluida en la política, pero sin un recurso ni una condición admitidos. En este caso, también existe una condición incluida en la política para este servicio, pero no hay condiciones aplicables a esta acción.

    En el caso de la acción ListAllMyBuckets, esta política incluye la última advertencia porque la acción no admite permisos en el nivel de recursos ni la clave de condición s3:x-amz-acl. Si soluciona el problema de recursos o el de condición, el problema que quede pendiente aparece en una advertencia detallada.

  15. Request condition (Condición de solicitud) – Esta columna muestra si las acciones asociadas al recurso están sujetas a las condiciones. Para obtener más información sobre estas condiciones, elija { } JSON para revisar el documento de política JSON.

  16. Condition warning (Advertencia de condición) – En el caso de acciones con condiciones que no conceden permisos completos, verá una de las siguientes advertencias:

    • <CONDITION_KEY> is not a supported condition key for this action. (<CLAVE_CONDICIÓN> no es una condición admitida para esta acción.) – Esto significa que la política incluye una clave de condición para el servicio no admitida por esta acción.

    • Multiple condition keys are not supported for this action. (Varias claves de condición no son admitidas por esta acción.) – Esto significa que la política incluye más de una clave de condición para el servicio no admitidas por esta acción.

    En el caso de GetObject, esta política incluye la clave de condición s3:x-amz-acl, que no funcionará con esta acción. Aunque la acción admite el recurso, la política no concede ningún permiso para realizar esta acción porque la condición nunca será "true" para esta acción.