Claves de condición, recursos y acciones de AWS Security Token Service - AWS Identity and Access Management

Si proporcionásemos una traducción de la versión en inglés de la guía, prevalecerá la versión en inglés de la guía si hubiese algún conflicto. La traducción se proporciona mediante traducción automática.

Claves de condición, recursos y acciones de AWS Security Token Service

AWS Security Token Service (prefijo de servicio: sts) proporciona las siguientes claves de contexto de condición, acciones y recursos específicas de servicios para su uso en IAM Las políticas de permisos de.

Referencias:

Acciones definidas por AWS Security Token Service

Puede especificar las siguientes acciones en la Action elemento de un IAM instrucción de política. Uso de políticas de para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o al comando de la CLI con el mismo nombre. Sin embargo, en algunos casos, una sola acción controla el acceso a más de una operación. De forma alternativa, algunas operaciones requieren varias acciones diferentes.

El Tipos de recurso indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el campo Resource elemento de la instrucción de política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con esa acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recurso en una instrucción que utiliza esta acción, debe ser de este tipo. Algunas acciones de admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener más información sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recurso (*obligatorio) Claves de condición Acciones dependientes
AssumeRole Devuelve un conjunto de credenciales de seguridad temporales que puede utilizar para obtener acceso a los recursos de AWS a los que normalmente no tiene acceso. Escritura

role*

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

sts:ExternalId

sts:RoleSessionName

iam:ResourceTag/${TagKey}

AssumeRoleWithSAML Devuelve un conjunto de credenciales de seguridad temporales para los usuarios que se han autenticado mediante una respuesta de autenticación SAML. Escritura

role*

saml:namequalifier

saml:sub

saml:sub_type

saml:aud

saml:iss

saml:doc

saml:cn

saml:commonName

saml:eduorghomepageuri

saml:eduorgidentityauthnpolicyuri

saml:eduorglegalname

saml:eduorgsuperioruri

saml:eduorgwhitepagesuri

saml:edupersonaffiliation

saml:edupersonassurance

saml:edupersonentitlement

saml:edupersonnickname

saml:edupersonorgdn

saml:edupersonorgunitdn

saml:edupersonprimaryaffiliation

saml:edupersonprimaryorgunitdn

saml:edupersonprincipalname

saml:edupersonscopedaffiliation

saml:edupersontargetedid

saml:givenName

saml:mail

saml:name

saml:organizationStatus

saml:primaryGroupSID

saml:surname

saml:uid

saml:x500UniqueIdentifier

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

AssumeRoleWithWebIdentity Devuelve un conjunto de credenciales de seguridad temporales para los usuarios que se han autenticado en una aplicación móvil o web con un proveedor de identidad web Escritura

role*

cognito-identity.amazonaws.com:amr

cognito-identity.amazonaws.com:aud

cognito-identity.amazonaws.com:sub

www.amazon.com:app_id

www.amazon.com:user_id

graph.facebook.com:app_id

graph.facebook.com:id

accounts.google.com:aud

accounts.google.com:oaud

accounts.google.com:sub

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

DecodeAuthorizationMessage Descodifica información adicional sobre el estado de autorización de una solicitud de un mensaje codificado devuelto en respuesta a una solicitud de AWS Escritura
GetAccessKeyInfo Devuelve detalles sobre el ID de clave de acceso transferido como parámetro a la solicitud. Lectura
GetCallerIdentity Devuelve detalles sobre la identidad de IAM cuyas credenciales se utilizan para llamar a la API de Lectura
GetFederationToken Devuelve un conjunto de credenciales de seguridad temporales (que consta de un ID de clave de acceso, una clave de acceso secreta y un token de seguridad) para un usuario federado. Lectura

user

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

GetServiceBearerToken [solo permiso] Devuelve un token portador de STS para un usuario raíz de AWS, un rol de IAM o un usuario de IAM Lectura
GetSessionToken Devuelve un conjunto de credenciales de seguridad temporales (que consta de un ID de clave de acceso, una clave de acceso secreta y un token de seguridad) para una cuenta de AWS o un usuario de IAM. Lectura
TagSession [solo permiso] Otorga permiso para añadir etiquetas a una sesión STS Etiquetado

role

user

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

Tipos de recurso definidos por AWS Security Token Service

Los siguientes tipos de recursos están definidos por este servicio y se pueden utilizar en el Resource elemento de IAM Las instrucciones de política de permisos de. Cada acción de la Tabla de acciones identifica los tipos de recursos que se pueden especificar con esa acción. Un tipo de recurso también puede definir qué claves de condición puede incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener más información sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recursos.

Tipos de recurso [EMPTY] Claves de condición
role arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}

aws:ResourceTag/${TagKey}

user arn:${Partition}:iam::${Account}:user/${UserNameWithPath}

Claves de condición de AWS Security Token Service

El servicio de token de seguridad de AWS define las siguientes claves de condición que se pueden utilizar en la Condition elemento de un IAM de la política de. Puede utilizar estas claves para refinar aún más las condiciones en las que se aplica la instrucción de política. Para obtener más información sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales de que están disponibles para todos los servicios de , consulte Claves de condición globales disponibles en el IAM Referencia de la política.

Claves de condición Descripción [EMPTY]
accounts.google.com:aud Filtra acciones en función del ID de aplicación de Google Cadena
accounts.google.com:oaud Filtra acciones basadas en el público de Google Cadena
accounts.google.com:sub Filtra acciones en función del asunto de la reclamación (el ID de usuario de Google) Cadena
aws:FederatedProvider Filtra acciones en función del proveedor de identidad que se utilizó para autenticar al usuario Cadena
aws:PrincipalTag/${TagKey} Filtra acciones en función de la etiqueta asociada a la entidad principal que realiza la solicitud. Cadena
aws:RequestTag/${TagKey} Filtra acciones en función de las etiquetas que se pasan en la solicitud Cadena
aws:ResourceTag/${TagKey} Filtra acciones en función de las etiquetas asociadas al recurso. Cadena
aws:TagKeys Filtra acciones en función de las claves de etiqueta que se pasan en la solicitud Cadena
cognito-identity.amazonaws.com:amr Filtra acciones en función de la información de inicio de sesión de Amazon Cognito Cadena
cognito-identity.amazonaws.com:aud Filtra acciones en función del ID del grupo de identidades de Amazon Cognito Cadena
cognito-identity.amazonaws.com:sub Filtra acciones en función del asunto de la reclamación (el ID de usuario de Amazon Cognito) Cadena
graph.facebook.com:app_id Filtra acciones en función del ID de aplicación de Facebook Cadena
graph.facebook.com:id Filtra acciones basadas en el ID de usuario de Facebook Cadena
iam:ResourceTag/${TagKey} Filtra acciones en función de las etiquetas que se asocian al rol que se asume Cadena
saml:aud Filtra acciones en función de la URL del punto de enlace a la que se presentan las aserciones SAML Cadena
saml:cn Filtra acciones basadas en el atributo eduOrg Cadena
saml:commonName Filtra acciones basadas en el atributo commonName Cadena
saml:doc Filtra acciones en función de la entidad principal que se utilizó para asumir el rol Cadena
saml:eduorghomepageuri Filtra acciones basadas en el atributo eduOrg Cadena
saml:eduorgidentityauthnpolicyuri Filtra acciones basadas en el atributo eduOrg Cadena
saml:eduorglegalname Filtra acciones basadas en el atributo eduOrg Cadena
saml:eduorgsuperioruri Filtra acciones basadas en el atributo eduOrg Cadena
saml:eduorgwhitepagesuri Filtra acciones basadas en el atributo eduOrg Cadena
saml:edupersonaffiliation Filtra acciones basadas en el atributo eduPerson Cadena
saml:edupersonassurance Filtra acciones basadas en el atributo eduPerson Cadena
saml:edupersonentitlement Filtra acciones basadas en el atributo eduPerson Cadena
saml:edupersonnickname Filtra acciones basadas en el atributo eduPerson Cadena
saml:edupersonorgdn Filtra acciones basadas en el atributo eduPerson Cadena
saml:edupersonorgunitdn Filtra acciones basadas en el atributo eduPerson Cadena
saml:edupersonprimaryaffiliation Filtra acciones basadas en el atributo eduPerson Cadena
saml:edupersonprimaryorgunitdn Filtra acciones basadas en el atributo eduPerson Cadena
saml:edupersonprincipalname Filtra acciones basadas en el atributo eduPerson Cadena
saml:edupersonscopedaffiliation Filtra acciones basadas en el atributo eduPerson Cadena
saml:edupersontargetedid Filtra acciones basadas en el atributo eduPerson Cadena
saml:givenName Filtra acciones en función del atributo givenName Cadena
saml:iss Filtra acciones basadas en el emisor, que está representado por un URN Cadena
saml:mail Filtra acciones en función del atributo de correo Cadena
saml:name Filtra acciones en función del atributo de nombre Cadena
saml:namequalifier Filtra acciones en función del valor hash del emisor, el ID de cuenta y el nombre fácil de recordar Cadena
saml:organizationStatus Filtra acciones en función del atributo organizationStatus Cadena
saml:primaryGroupSID Filtra acciones en función del atributo primaryGroupSID Cadena
saml:sub Filtra acciones en función del asunto de la reclamación (el ID de usuario SAML) Cadena
saml:sub_type Filtra acciones en función del valor persistente, transitorio o el URI de formato completo Cadena
saml:surname Filtra acciones en función del atributo de apellidos Cadena
saml:uid Filtra acciones basadas en el atributo uid Cadena
saml:x500UniqueIdentifier Filtra acciones basadas en el atributo uid Cadena
sts:ExternalId Filtra acciones en función del identificador único necesario al asumir un rol en otra cuenta Cadena
sts:RoleSessionName Filtra acciones en función del nombre de sesión de rol necesario al asumir un rol Cadena
sts:TransitiveTagKeys Filtra acciones en función de las claves de etiqueta transitivas que se pasan en la solicitud Cadena
www.amazon.com:app_id Filtra acciones en función del ID de aplicación de Login with Amazon Cadena
www.amazon.com:user_id Filtra acciones en función del ID de usuario de Login with Amazon Cadena