Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acciones, recursos y claves de condición para AWS Security Token Service
AWS Security Token Service (prefijo de servicio:sts) proporciona los siguientes recursos, acciones y claves de contexto de condiciones específicos del servicio para su uso en las políticas de permisos de IAM.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las operaciones de API disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.
Temas
Acciones definidas por AWS Security Token Service
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| AssumeRole | Otorga permiso para obtener un conjunto de credenciales de seguridad temporales que puede utilizar para acceder a AWS recursos a los que normalmente no tendría acceso | Escritura | |||
|
cognito-identity.amazonaws.com:amr cognito-identity.amazonaws.com:aud |
|||||
| AssumeRoleWithSAML | Concede permiso para obtener un conjunto de credenciales de seguridad temporales para los usuarios que han sido autenticados a través de una respuesta de autenticación SAML. | Escritura | |||
|
saml:eduorgidentityauthnpolicyuri saml:edupersonprimaryaffiliation saml:edupersonprimaryorgunitdn |
|||||
| AssumeRoleWithWebIdentity | Concede permiso para obtener un conjunto de credenciales de seguridad temporales para los usuarios que han sido autenticados en un móvil o una aplicación web con un proveedor de identidades web. | Escritura | |||
|
cognito-identity.amazonaws.com:amr cognito-identity.amazonaws.com:aud |
|||||
| DecodeAuthorizationMessage | Otorga permiso para decodificar información adicional sobre el estado de autorización de una solicitud a partir de un mensaje codificado devuelto en respuesta a una AWS solicitud | Escritura | |||
| GetAccessKeyInfo | Concede permiso para obtener detalles acerca del ID de clave de acceso pasado como parámetro a la solicitud. | Leer | |||
| GetCallerIdentity | Concede permiso para obtener detalles acerca de la identidad de IAM, cuyas credenciales se utilizan para llamar a la API. | Leer | |||
| GetFederationToken | Concede permiso para obtener un conjunto de credenciales de seguridad temporales (compuestas de un ID de clave de acceso, una clave de acceso secreta y un token de seguridad) para un usuario federado. | Leer | |||
| GetServiceBearerToken [solo permiso] | Otorga permiso para obtener un token portador de STS para un usuario AWS raíz, un rol de IAM o un usuario de IAM | Leer | |||
| GetSessionToken | Otorga permiso para obtener un conjunto de credenciales de seguridad temporales (compuesto por un identificador de clave de acceso, una clave de acceso secreta y un token de seguridad) para un Cuenta de AWS usuario de IAM | Leer | |||
| SetContext [solo permiso] | Concede permiso para establecer claves de contexto en una sesión de STS | Escritura | |||
| SetSourceIdentity [solo permiso] | Concede permiso para establecer una identidad de origen en una sesión STS | Write | |||
| TagSession [solo permiso] | Concede permiso para agregar etiquetas a una sesión de STS. | Etiquetado | |||
Tipos de recursos definidos por AWS Security Token Service
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
Claves de condición para AWS Security Token Service
AWS El servicio de token de seguridad define las siguientes claves de condición que se pueden utilizar en el Condition elemento de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.
Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| accounts.google.com:aud | Filtra el acceso mediante el ID de la aplicación de Google. | Cadena |
| accounts.google.com:oaud | Filtra el acceso mediante la audiencia de Google. | Cadena |
| accounts.google.com:sub | Filtra el acceso mediante el tema de la reclamación (el ID de usuario de Google). | Cadena |
| aws:RequestTag/${TagKey} | Filtra el acceso por las etiquetas que se pasan en la solicitud | Cadena |
| aws:ResourceTag/${TagKey} | Filtra el acceso por las etiquetas asociadas al recurso | Cadena |
| aws:TagKeys | Filtra el acceso por las claves de etiquetas que se pasan en la solicitud | ArrayOfString |
| cognito-identity.amazonaws.com:amr | Filtra el acceso mediante la información de inicio de sesión de Amazon Cognito. | Cadena |
| cognito-identity.amazonaws.com:aud | Filtra el acceso mediante el ID del grupo de identidades de Amazon Cognito. | Cadena |
| cognito-identity.amazonaws.com:sub | Filtra el acceso mediante el tema de la reclamación (el ID de usuario de Amazon Cognito). | Cadena |
| graph.facebook.com:app_id | Filtra el acceso mediante el ID de la aplicación de Facebook. | Cadena |
| graph.facebook.com:id | Filtra el acceso mediante el ID de usuario de Facebook. | Cadena |
| iam:ResourceTag/${TagKey} | Filtra el acceso mediante las etiquetas que se adjuntan al rol que se está asumiendo. | Cadena |
| saml:aud | Filtra el acceso mediante la URL de punto de conexión a la que se presentan las aserciones SAML. | Cadena |
| saml:cn | Filtra el acceso mediante el atributo eduOrg. | ArrayOfString |
| saml:commonName | Filtra el acceso mediante el atributo commonName. | Cadena |
| saml:doc | Filtra el acceso mediante el principal que se utilizó para asumir el rol. | Cadena |
| saml:eduorghomepageuri | Filtra el acceso mediante el atributo eduOrg. | ArrayOfString |
| saml:eduorgidentityauthnpolicyuri | Filtra el acceso mediante el atributo eduOrg. | ArrayOfString |
| saml:eduorglegalname | Filtra el acceso mediante el atributo eduOrg. | ArrayOfString |
| saml:eduorgsuperioruri | Filtra el acceso mediante el atributo eduOrg. | ArrayOfString |
| saml:eduorgwhitepagesuri | Filtra el acceso mediante el atributo eduOrg. | ArrayOfString |
| saml:edupersonaffiliation | Filtra el acceso mediante el atributo eduPerson. | ArrayOfString |
| saml:edupersonassurance | Filtra el acceso mediante el atributo eduPerson. | ArrayOfString |
| saml:edupersonentitlement | Filtra el acceso mediante el atributo eduPerson. | ArrayOfString |
| saml:edupersonnickname | Filtra el acceso mediante el atributo eduPerson. | ArrayOfString |
| saml:edupersonorgdn | Filtra el acceso mediante el atributo eduPerson. | Cadena |
| saml:edupersonorgunitdn | Filtra el acceso mediante el atributo eduPerson. | ArrayOfString |
| saml:edupersonprimaryaffiliation | Filtra el acceso mediante el atributo eduPerson. | Cadena |
| saml:edupersonprimaryorgunitdn | Filtra el acceso mediante el atributo eduPerson. | Cadena |
| saml:edupersonprincipalname | Filtra el acceso mediante el atributo eduPerson. | Cadena |
| saml:edupersonscopedaffiliation | Filtra el acceso mediante el atributo eduPerson. | ArrayOfString |
| saml:edupersontargetedid | Filtra el acceso mediante el atributo eduPerson. | ArrayOfString |
| saml:givenName | Filtra el acceso mediante el atributo givenName. | Cadena |
| saml:iss | Filtra el acceso mediante el emisor, que está representado por una URN. | Cadena |
| saml:mail | Filtra el acceso por el atributo de correo. | Cadena |
| saml:name | Filtra el acceso por el atributo de nombre. | Cadena |
| saml:namequalifier | Filtra el acceso mediante el valor hash del emisor, el ID de cuenta y el nombre descriptivo. | Cadena |
| saml:organizationStatus | Filtra el acceso mediante el atributo organizationStatus. | Cadena |
| saml:primaryGroupSID | Filtra el acceso mediante el atributo primaryGroupSID. | Cadena |
| saml:sub | Filtra el acceso mediante el tema de la reclamación (el ID de usuario SAML). | Cadena |
| saml:sub_type | Filtra el acceso mediante el valor persistente, transitorio o el URI de formato completo. | Cadena |
| saml:surname | Filtra el acceso mediante el atributo de apellido. | Cadena |
| saml:uid | Filtra el acceso mediante el atributo uid. | Cadena |
| saml:x500UniqueIdentifier | Filtra el acceso mediante el atributo uid. | Cadena |
| sts:AWSServiceName | Filtra el acceso por el servicio que está obteniendo un token de portador. | Cadena |
| sts:DurationSeconds | Filtra el acceso por la duración en segundos al obtener un token de portador | Cadena |
| sts:ExternalId | Filtra el acceso mediante el identificador único necesario al asumir un rol en otra cuenta. | Cadena |
| sts:RequestContext/${ContextKey} | Filtra el acceso por los pares clave-valor del contexto de la sesión integrados en la afirmación de contexto firmada que se recuperó de un proveedor de contexto de confianza | Cadena |
| sts:RequestContextProviders | Filtra el acceso por el ARN del proveedor de contexto | ArrayOfARN |
| sts:RoleSessionName | Filtra el acceso mediante el nombre de sesión de rol requerido al asumir un rol. | Cadena |
| sts:SourceIdentity | Filtra el acceso mediante la identidad de origen que se pasa en la solicitud. | Cadena |
| sts:TransitiveTagKeys | Filtra el acceso mediante las claves de etiqueta transitivas que se pasan en la solicitud. | ArrayOfString |
| www.amazon.com:app_id | Filtra el acceso mediante el ID de aplicación Login with Amazon. | Cadena |
| www.amazon.com:user_id | Filtra el acceso mediante el ID de usuario de Login with Amazon. | Cadena |
