Claves de condición, recursos y acciones de Identity and Access Management - AWS Identity and Access Management

Claves de condición, recursos y acciones de Identity and Access Management

Identity and Access Management (prefijo de servicio: iam) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por Identity and Access Management

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. Sin embargo, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Actions Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AddClientIDToOpenIDConnectProvider Concede permiso para añadir una nueva ID de cliente (público) a la lista de ID registrados para el recurso de proveedor OpenID Connect (OIDC) de IAM especificado. Escritura

oidc-provider*

AddRoleToInstanceProfile Concede permiso para añadir un rol de IAM al perfil de instancia especificado. Escritura

instance-profile*

AddUserToGroup Concede permiso para añadir un usuario de IAM en el grupo de IAM especificado. Escritura

group*

AttachGroupPolicy Concede permiso para conectar una política administrada al grupo de IAM especificado. Administración de permisos

group*

iam:PolicyARN

AttachRolePolicy Concede permiso para asociar una política administrada al rol de IAM especificado. Administración de permisos

role*

iam:PolicyARN

iam:PermissionsBoundary

AttachUserPolicy Concede permiso para conectar una política administrada al usuario de IAM especificado. Administración de permisos

user*

iam:PolicyARN

iam:PermissionsBoundary

ChangePassword Concede permiso para que un usuario de IAM cambie su propia contraseña. Escritura

user*

CreateAccessKey Concede permiso para crear una clave de acceso y una clave de acceso secreta para el usuario de IAM especificado. Escritura

user*

CreateAccountAlias Concede permiso para crear un alias para la cuenta de AWS. Escritura
CreateGroup Concede permiso para crear un nuevo grupo. Escritura

group*

CreateInstanceProfile Concede permiso para crear un nuevo perfil de instancia. Escritura

instance-profile*

CreateLoginProfile Concede permiso para crear una contraseña para el usuario de IAM especificado. Escritura

user*

CreateOpenIDConnectProvider Concede permiso para crear un recurso de IAM que describe un proveedor de identidades (IdP) compatible con OpenID Connect (OIDC). Escritura

oidc-provider*

CreatePolicy Concede permiso para crear una política nueva administrada. Administración de permisos

policy*

CreatePolicyVersion Concede permiso para crear una nueva versión de la política administrada especificada. Administración de permisos

policy*

CreateRole Concede permiso para crear un nuevo rol. Escritura

role*

iam:PermissionsBoundary

CreateSAMLProvider Concede permiso para crear un recurso de IAM que describe un proveedor de identidades (IdP) compatible con SAML 2.0 Escritura

saml-provider*

CreateServiceLinkedRole Concede permiso para crear un rol de IAM que permite a un servicio de AWS realizar acciones en su nombre. Escritura

role*

iam:AWSServiceName

CreateServiceSpecificCredential Concede permiso para crear una nueva credencial específica del servicio para un usuario de IAM. Escritura

user*

CreateUser Concede permiso para crear un nuevo usuario de IAM. Escritura

user*

iam:PermissionsBoundary

CreateVirtualMFADevice Concede permiso para crear un nuevo dispositivo MFA virtual. Escritura

mfa*

DeactivateMFADevice Concede permiso para desactivar el dispositivo MFA especificado y eliminar su asociación con el usuario de IAM para el que se habilitó originalmente. Escritura

user*

DeleteAccessKey Concede permiso para eliminar el par de claves de acceso que está asociado con el usuario de IAM especificado. Escritura

user*

DeleteAccountAlias Concede permiso para eliminar el alias de la cuenta de AWS especificada. Escritura
DeleteAccountPasswordPolicy Concede permiso para eliminar la política de contraseñas para la cuenta de AWS. Administración de permisos
DeleteGroup Concede permiso para eliminar el grupo de IAM especificado. Escritura

group*

DeleteGroupPolicy Concede permiso para eliminar la política insertada especificada de su grupo. Administración de permisos

group*

DeleteInstanceProfile Concede permiso para eliminar el perfil de instancia especificado. Escritura

instance-profile*

DeleteLoginProfile Concede permiso para eliminar la contraseña del usuario de IAM especificado. Escritura

user*

DeleteOpenIDConnectProvider Concede permiso para eliminar un objeto de recurso de proveedor de identidades (IdP) OpenID Connect en IAM. Escritura

oidc-provider*

DeletePolicy Concede permiso para borrar la política administrada especificada y eliminarla de todas las entidades de IAM (usuarios, grupos o roles) a las que está asociada. Administración de permisos

policy*

DeletePolicyVersion Concede permiso para eliminar una versión de la política administrada especificada. Administración de permisos

policy*

DeleteRole Concede permiso para eliminar el rol especificado. Escritura

role*

DeleteRolePermissionsBoundary Concede permiso para eliminar los límites de permisos de un rol. Administración de permisos

role*

iam:PermissionsBoundary

DeleteRolePolicy Concede permiso para eliminar la política insertada especificada del rol especificado. Administración de permisos

role*

iam:PermissionsBoundary

DeleteSAMLProvider Concede permiso para eliminar un recurso de proveedor de SAML en IAM. Escritura

saml-provider*

DeleteSSHPublicKey Concede permiso para eliminar la clave pública SSH especificada. Escritura

user*

DeleteServerCertificate Concede permiso para eliminar el certificado de servidor especificado. Escritura

server-certificate*

DeleteServiceLinkedRole Concede permiso para eliminar un rol de IAM que está vinculado a un servicio de AWS específico, si el servicio ya no lo utiliza. Escritura

role*

DeleteServiceSpecificCredential Concede permiso para eliminar una credencial específica del servicio para un usuario de IAM. Escritura

user*

DeleteSigningCertificate Concede permiso para eliminar un certificado de firma que está asociado al usuario de IAM especificado. Escritura

user*

DeleteUser Concede permiso para eliminar el usuario de IAM especificado. Escritura

user*

DeleteUserPermissionsBoundary Concede permiso para eliminar los límites de permisos del usuario de IAM especificado. Administración de permisos

user*

iam:PermissionsBoundary

DeleteUserPolicy Concede permiso para eliminar la política insertada especificada de un usuario de IAM. Administración de permisos

user*

iam:PermissionsBoundary

DeleteVirtualMFADevice Concede permiso para eliminar un dispositivo MFA virtual. Escritura

mfa

sms-mfa

DetachGroupPolicy Concede permiso para desasociar una política administrada del grupo de IAM especificado. Administración de permisos

group*

iam:PolicyARN

DetachRolePolicy Concede permiso para desasociar una política administrada del rol especificado. Administración de permisos

role*

iam:PolicyARN

iam:PermissionsBoundary

DetachUserPolicy Concede permiso para desasociar una política administrada del usuario de IAM especificado. Administración de permisos

user*

iam:PolicyARN

iam:PermissionsBoundary

EnableMFADevice Concede permiso para habilitar un dispositivo MFA y asociarla a la usuario de IAM especificado. Escritura

user*

GenerateCredentialReport Concede permiso para generar un informe de credenciales para la cuenta de AWS. Lectura
GenerateOrganizationsAccessReport Concede permiso para generar un informe de acceso para una entidad de AWS Organizations. Lectura

access-report*

organizations:DescribePolicy

organizations:ListChildren

organizations:ListParents

organizations:ListPoliciesForTarget

organizations:ListRoots

organizations:ListTargetsForPolicy

iam:OrganizationsPolicyId

GenerateServiceLastAccessedDetails Concede permiso para generar un informe de datos de los últimos servicios a los que se ha accedido para un recurso de IAM. Lectura
GetAccessKeyLastUsed Concede permiso para recuperar información acerca de cuándo se utilizó por última vez la clave de acceso especificada. Lectura

user*

GetAccountAuthorizationDetails Concede permiso para recuperar información sobre todos los usuarios, grupos, roles y políticas de IAM en su cuenta de AWS, incluidas sus relaciones entre sí. Lectura
GetAccountPasswordPolicy Concede permiso para recuperar la política de contraseñas para la cuenta de AWS. Lectura
GetAccountSummary Concede permiso para recuperar información sobre el uso de entidades de IAM y cuotas de IAM en la cuenta de AWS. List
GetContextKeysForCustomPolicy Concede permiso para recuperar una lista de todas las claves de contexto a las que se hace referencia en la política especificada. Lectura
GetContextKeysForPrincipalPolicy Concede permiso para recuperar una lista de todas las claves de contexto a los que se hace referencia en todas las políticas de IAM que se han asociado a la identidad de IAM especificada (usuario, grupo o rol). Lectura

group

role

user

GetCredentialReport Concede permiso para recuperar un informe de credenciales para la cuenta de AWS. Lectura
GetGroup Concede permiso para recuperar una lista de usuarios de IAM en el grupo de IAM especificado. Lectura

group*

GetGroupPolicy Concede permiso para recuperar un documento de política insertada que está integrada en el grupo de IAM especificado. Lectura

group*

GetInstanceProfile Concede permiso para recuperar información sobre el perfil de instancia especificado, incluidos la ruta del perfil de instancia, GUID, ARN y rol. Lectura

instance-profile*

GetLoginProfile Concede permiso para recuperar la fecha de creación de la contraseña y el nombre de usuario del usuario de IAM especificado. List

user*

GetOpenIDConnectProvider Concede permiso para recuperar información sobre el recurso de proveedor OpenID Connect (OIDC) especificado en IAM. Lectura

oidc-provider*

GetOrganizationsAccessReport Concede permiso para recuperar un informe de acceso de AWS Organizations. Lectura
GetPolicy Concede permiso para recuperar información sobre la política administrada especificada, incluida la versión predeterminada de la política y el número total de usuarios, grupos y roles de IAM a los que se asocia dicha política. Lectura

policy*

GetPolicyVersion Concede permiso para recuperar información sobre una versión de la política administrada especificada, incluido el documento de política. Lectura

policy*

GetRole Concede permiso para recuperar información sobre el rol especificado, incluidos la ruta del rol, GUID, ARN y la política de confianza del rol. Lectura

role*

GetRolePolicy Concede permiso para recuperar un documento de política insertada que está integrada con el rol de IAM especificado. Lectura

role*

GetSAMLProvider Concede permiso para devolver el metadocumento del proveedor de SAML que se cargó cuando se cargó o actualizó el recurso de proveedor de SAML de IAM. Lectura

saml-provider*

GetSSHPublicKey Concede permiso para recuperar la clave pública SSH especificada, incluidos los metadatos de la clave. Lectura

user*

GetServerCertificate Concede permiso para recuperar información sobre el certificado de servidor especificado almacenado en IAM. Lectura

server-certificate*

GetServiceLastAccessedDetails Concede permiso para recuperar información sobre el informe de datos de los últimos servicios a los que se ha accedido. Lectura
GetServiceLastAccessedDetailsWithEntities Concede permiso para recuperar información sobre las entidades del informe de datos de los últimos servicios a los que se ha accedido. Lectura
GetServiceLinkedRoleDeletionStatus Concede permiso para recuperar un estado de eliminación de rol vinculado a servicio de IAM. Lectura

role*

GetUser En este ejemplo se muestra cómo recuperar información acerca del usuario de IAM especificado, incluidos la fecha de creación, la ruta, el ID exclusivo y el ARN del usuario. Lectura

user*

GetUserPolicy Concede permiso para recuperar un documento de política insertada que está integrada en el usuario de IAM especificado. Lectura

user*

ListAccessKeys Concede permiso para mostrar información acerca de los ID de clave de acceso que están asociados al usuario de IAM especificado. List

user*

ListAccountAliases Concede permiso para obtener una lista de los alias de cuenta asociados a la cuenta de AWS. List
ListAttachedGroupPolicies Concede permiso para obtener una lista de todas las políticas administradas que se han asociado al grupo de IAM especificado. List

group*

ListAttachedRolePolicies Concede permiso para obtener una lista de todas las políticas administradas que se asocian al rol de IAM especificado. List

role*

ListAttachedUserPolicies Concede permiso para obtener una lista de todas las políticas administradas que se asocian al usuario de IAM especificado. List

user*

ListEntitiesForPolicy Concede permiso para obtener una lista de todas las identidades de IAM a la que se asocia la política administrada especificada. List

policy*

ListGroupPolicies Concede permiso para mostrar los nombres de las políticas insertadas que están integradas en el grupo de IAM especificado. List

group*

ListGroups Concede permiso para obtener una lista de grupos de IAM con el prefijo de ruta especificado. List
ListGroupsForUser Concede permiso para obtener una lista de grupos de IAM a los que pertenece el usuario de IAM especificado. List

user*

ListInstanceProfiles Concede permiso para obtener una lista de los perfiles de instancia con el prefijo de ruta especificado. List

instance-profile*

ListInstanceProfilesForRole Concede permiso para obtener una lista de los perfiles de instancia que tienen el rol de IAM asociado especificado. List

role*

ListMFADevices Concede permiso para obtener una lista de los dispositivos MFA para un usuario de IAM. List

user

ListOpenIDConnectProviders Concede permiso para crear una lista de información sobre los objetos del recurso del proveedor OpenID Connect (OIDC) de IAM que se definen en la cuenta de AWS. List
ListPolicies Concede permiso para obtener una lista de todas las políticas administradas. List
ListPoliciesGrantingServiceAccess Concede permiso para mostrar información acerca de las políticas que conceden a una entidad acceso a un servicio específico. List
ListPolicyVersions Concede permiso para mostrar información acerca de las versiones de la política administrada especificada, incluida la versión que actualmente está establecida como la versión predeterminada de la política. List

policy*

ListRolePolicies Concede permiso para mostrar los nombres de las políticas insertadas que están integradas en el rol de IAM especificado. List

role*

ListRoleTags Concede permiso para obtener una lista de las etiquetas que se asocian al rol de IAM especificado. List

role*

ListRoles Concede permiso para obtener una lista de los roles de IAM con el prefijo de ruta especificado. List
ListSAMLProviders Concede permiso para obtener una lista de recursos del proveedor de SAML en IAM. List
ListSSHPublicKeys Concede permiso para mostrar información acerca de las claves públicas SSH que están asociadas al usuario de IAM especificado. List

user*

ListServerCertificates Concede permiso para obtener una lista de los certificados de servidor que tienen el prefijo de ruta especificado. List
ListServiceSpecificCredentials Concede permiso para obtener una lista de credenciales específicas del servicio que están asociadas con el usuario de IAM especificado. List

user*

ListSigningCertificates Concede permiso para mostrar información acerca de los certificados de firma que están asociadas al usuario de IAM especificado. List

user*

ListUserPolicies Concede permiso para obtener una lista de los nombres de las políticas insertadas que están integradas en el usuario de IAM especificado. List

user*

ListUserTags Concede permiso para obtener una lista de las etiquetas que se asocian al usuario de IAM especificado. List

user*

ListUsers Concede permiso para obtener una lista de los usuarios de IAM con el prefijo de ruta especificado. List
ListVirtualMFADevices Concede permiso para obtener una lista de dispositivos MFA virtuales por estado de asignación. List
PassRole [solo permiso] Concede permiso para transferir un rol a un servicio. Escritura

role*

iam:AssociatedResourceArn

iam:PassedToService

PutGroupPolicy Concede permiso para crear o actualizar un documento de política insertada que está integrada en el grupo de IAM especificado. Administración de permisos

group*

PutRolePermissionsBoundary Concede permiso para establecer una política administrada como un límite de permisos para un rol. Administración de permisos

role*

iam:PermissionsBoundary

PutRolePolicy Concede permiso para crear o actualizar un documento de política insertada que está integrada en el rol de IAM especificado. Administración de permisos

role*

iam:PermissionsBoundary

PutUserPermissionsBoundary Concede permiso para establecer una política administrada como un límite de permisos para un usuario de IAM. Administración de permisos

user*

iam:PermissionsBoundary

PutUserPolicy Concede permiso para crear o actualizar un documento de política insertada que está integrada en el usuario de IAM especificado. Administración de permisos

user*

iam:PermissionsBoundary

RemoveClientIDFromOpenIDConnectProvider Concede permiso para eliminar el ID de cliente (público) de la lista de ID de cliente en el recurso de proveedor OpenID Connect (OIDC) de IAM especificado. Escritura

oidc-provider*

RemoveRoleFromInstanceProfile Concede permiso para eliminar un rol de IAM del perfil de instancia EC2 especificado. Escritura

instance-profile*

RemoveUserFromGroup Concede permiso para eliminar un usuario de IAM del grupo especificado. Escritura

group*

ResetServiceSpecificCredential Concede permiso para restablecer la contraseña de una credencial existente específica del servicio para un usuario de IAM. Escritura

user*

ResyncMFADevice Concede permiso para sincronizar el dispositivo MFA especificado con su entidad de IAM (usuario o rol). Escritura

user*

SetDefaultPolicyVersion Concede permiso para establecer la versión de la política especificada como la versión predeterminada de la política. Administración de permisos

policy*

SetSecurityTokenServicePreferences Concede permiso para establecer la versión de token de punto de enlace global de STS. Escritura
SimulateCustomPolicy Concede permiso para simular si una política basada en identidades o una política basada en recursos proporciona permisos para recursos y operaciones específicas de la API. Lectura
SimulatePrincipalPolicy Concede permiso para simular si una política basada en identidades que está asociado a una entidad de IAM especificada (usuario o rol) proporciona permisos para recursos y operaciones específicas de la API. Lectura

group

role

user

TagRole Concede permiso para agregar etiquetas a un rol de IAM. Etiquetado

role*

TagUser Concede permiso para agregar etiquetas a un usuario de IAM. Etiquetado

user*

UntagRole Concede permiso para eliminar las etiquetas especificadas del rol. Etiquetado

role*

UntagUser Concede permiso para eliminar las etiquetas especificadas del usuario. Etiquetado

user*

UpdateAccessKey Concede permiso para actualizar el estado de la clave de acceso especificada como activo o inactivo. Escritura

user*

UpdateAccountPasswordPolicy Concede permiso para actualizar la configuración de la política de contraseñas de la cuenta de AWS. Escritura
UpdateAssumeRolePolicy Concede permiso para actualizar la política que concede permiso a una entidad de IAM para asumir un rol. Administración de permisos

role*

UpdateGroup Concede permiso para actualizar el nombre o la ruta del grupo de IAM especificado. Escritura

group*

UpdateLoginProfile Concede permiso para cambiar la contraseña del usuario de IAM especificado. Escritura

user*

UpdateOpenIDConnectProviderThumbprint Concede permiso para actualizar toda la lista de huellas digitales de certificado de servidor que están asociadas con un proveedor de proveedor OpenID Connect (OIDC). Escritura

oidc-provider*

UpdateRole Concede permiso para actualizar la descripción o la configuración de duración máxima de la sesión de un rol. Escritura

role*

UpdateRoleDescription Concede permiso para actualizar solo la descripción de un rol. Escritura

role*

UpdateSAMLProvider Concede permiso para actualizar el documento de metadatos para un recurso de proveedor de SAML existente. Escritura

saml-provider*

UpdateSSHPublicKey Concede permiso para actualizar el estado de la clave pública SSH del usuario de IAM como activa o inactiva. Escritura

user*

UpdateServerCertificate Concede permiso para actualizar el nombre o la ruta del certificado de servidor especificado almacenado en IAM. Escritura

server-certificate*

UpdateServiceSpecificCredential Concede permiso para actualizar el estado de una credencial específica del servicio como activa o inactiva para un usuario de IAM. Escritura

user*

UpdateSigningCertificate Concede permiso para actualizar el estado del certificado de firma del usuario especificado como activo o inactivo. Escritura

user*

UpdateUser Concede permiso para actualizar el nombre o la ruta del usuario de IAM especificado. Escritura

user*

UploadSSHPublicKey Concede permiso para cargar una clave pública SSH y asociarla al usuario de IAM especificado. Escritura

user*

UploadServerCertificate Concede permiso para cargar una entidad de certificado de servidor en la cuenta de AWS. Escritura

server-certificate*

UploadSigningCertificate Concede permiso para cargar un certificado de firma X.509 y asociarlo al usuario de IAM especificado. Escritura

user*

Tipos de recurso definidos por Identity And Access Management

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recurso que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recursos.

Tipos de recurso ARN Claves de condición
access-report arn:${Partition}:iam::${Account}:access-report/${EntityPath}
assumed-role arn:${Partition}:iam::${Account}:assumed-role/${RoleName}/${RoleSessionName}
federated-user arn:${Partition}:iam::${Account}:federated-user/${UserName}
group arn:${Partition}:iam::${Account}:group/${GroupNameWithPath}
instance-profile arn:${Partition}:iam::${Account}:instance-profile/${InstanceProfileNameWithPath}
mfa arn:${Partition}:iam::${Account}:mfa/${Path}/${MfaTokenId}
oidc-provider arn:${Partition}:iam::${Account}:oidc-provider/${OidcProviderName}
policy arn:${Partition}:iam::${Account}:policy/${PolicyNameWithPath}
role arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}

iam:ResourceTag/${TagKey}

saml-provider arn:${Partition}:iam::${Account}:saml-provider/${SamlProviderName}
server-certificate arn:${Partition}:iam::${Account}:server-certificate/${CertificateNameWithPath}
sms-mfa arn:${Partition}:iam::${Account}:sms-mfa/${MfaTokenIdWithPath}
user arn:${Partition}:iam::${Account}:user/${UserNameWithPath}

iam:ResourceTag/${TagKey}

Claves de condición de Identity and Access Management

Identity And Access Management define las siguientes claves de condiciones que se puede utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles en la Referencia de políticas de IAM.

Claves de condición Descripción Tipo
iam:AWSServiceName Filtra el acceso por el servicio de AWS al que se asocia este rol. Cadena
iam:AssociatedResourceArn Filtra por el recurso en nombre del cual se usará el rol ARN
iam:OrganizationsPolicyId Filtra el acceso por el ID de una política de AWS Organizations. Cadena
iam:PassedToService Filtra el acceso por el servicio de AWS al que se transfiere este rol. Cadena
iam:PermissionsBoundary Filtra el acceso si la política especificada se establece como el límite de permisos en la entidad de IAM (usuario o rol). Cadena
iam:PolicyARN Filtra el acceso por el ARN de una política de IAM. ARN
iam:ResourceTag/${TagKey} Filtra el acceso por las etiquetas asociadas a una entidad de IAM (usuario o rol). Cadena