Claves de condición, recursos y acciones de los servicios de AWS Shield - AWS Identity and Access Management

Claves de condición, recursos y acciones de los servicios de AWS Shield

AWS Shield (prefijo de servicio: shield) proporciona las siguientes claves de contexto de condición, acciones y recursos específicas de servicios para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS Shield

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. Sin embargo, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Actions Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AssociateDRTLogBucket Autoriza el equipo de respuesta de DDoS a obtener acceso al bucket especificado de Amazon S3 que contenga sus registros de flujo Escritura

s3:GetBucketPolicy

s3:PutBucketPolicy

AssociateDRTRole Autoriza al equipo de respuesta de DDoS el uso de la función especificada, para obtener acceso a su cuenta de AWS para ayudarle con la mitigación de ataques DDoS durante los posibles ataques Escritura

iam:GetRole

iam:ListAttachedRolePolicies

iam:PassRole

CreateProtection Activar el servicio de protección DDoS para un ARN de recurso determinado Escritura

protection*

CreateSubscription Activar suscripción Escritura
DeleteProtection Eliminar una protección existente Escritura

protection*

DeleteSubscription Desactivar suscripción Escritura
DescribeAttack Obtener detalles del ataque Lectura

attack*

DescribeDRTAccess Devuelve la función actual y genera una lista de buckets de registros de Amazon S3 utilizado por el equipo de respuesta de DDoS para obtener acceso a su cuenta de AWS al mismo tiempo que ayuda con la mitigación de ataque Lectura
DescribeEmergencyContactSettings Genera una lista de las direcciones de correo electrónico que el DRT puede utilizar para ponerse en contacto con usted durante un ataque sospechado Lectura
DescribeProtection Obtener detalles de la protección Lectura

protection*

DescribeSubscription Obtener detalles de la suscripción, como la hora de inicio Lectura
DisassociateDRTLogBucket Elimina el acceso del equipo de respuesta de DDoS al bucket especificado de Amazon S3 que contenga sus registros de flujo Escritura

s3:DeleteBucketPolicy

s3:GetBucketPolicy

s3:PutBucketPolicy

DisassociateDRTRole Elimina el acceso del equipo de respuesta de DDoS a su cuenta de AWS Escritura
GetSubscriptionState Obtener estado de suscripción Lectura
ListAttacks Enumerar todos los ataques existentes List
ListProtections Enumerar todas las protecciones existentes List
UpdateEmergencyContactSettings Actualiza los detalles de la lista de las direcciones de correo electrónico que el DRT puede utilizar para ponerse en contacto con usted durante un ataque sospechado Escritura
UpdateSubscription Actualiza los detalles de una suscripción existente Escritura

Tipos de recurso definidos por AWS Shield

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Actions identifica los tipos de recurso que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recursos.

Tipos de recurso ARN Claves de condición
attack arn:${Partition}:shield::${Account}:attack/${Id}
protection arn:${Partition}:shield::${Account}:protection/${Id}

Claves de condición de AWS Shield

Shield no tiene claves de contexto específicas de servicios que se puedan utilizar en el elemento Condition de las declaraciones de política. Para obtener la lista de las claves de contexto globales que están disponibles para todos los servicios, consulte Available Keys for Conditions en la Referencia de políticas de IAM.