AWS Identity and Access Management
Guía del usuario

Servicios de AWS que funcionan con IAM

Los servicios de AWS que se enumeran a continuación se agrupan según su categoría de producto de AWS e incluyen información acerca de las características de IAM con las que son compatibles:

  • Servicio: puede elegir el nombre de un servicio para ver la documentación de AWS sobre la autorización y acceso de IAM para dicho servicio.

  • Acciones: puede especificar acciones individuales en una política. Si el servicio no es compatible con esta característica, All actions (Todas las acciones) estará seleccionado en el editor visual. En un documento de política JSON, debe utilizar * en el elemento Action. Para obtener una lista de acciones para cada servicio, consulte Claves de condición, recursos y acciones de los servicios de AWS.

  • Permisos de nivel de recursos: puede utilizar ARN para especificar recursos individuales en la política. Si el servicio no es compatible con esta característica, All resources (Todos los recursos) estará seleccionado en el editor visual de la política. En un documento de política JSON, debe utilizar * en el elemento Resource. Algunas acciones, como, por ejemplo, List*, no admiten la especificación de un ARN, ya que están diseñadas para devolver varios recursos. Si un servicio admite esta característica para algunos recursos, pero no para otros, se indica mediante celdas amarillas en la tabla. Consulte la documentación de ese servicio para obtener más información.

  • Políticas basadas en recursos: puede asociar políticas basadas en recursos a un recurso dentro del servicio. Las políticas basadas en recursos incluyen un elemento Principal para especificar qué identidades de IAM pueden obtener acceso a dicho recurso. Para obtener más información, consulte Políticas basadas en identidad y políticas basadas en recursos.

  • Autorización basada en etiquetas: puede utilizar etiquetas de recursos en la condición de una política. Por ejemplo, puede crear una política que permite a los propietarios de las etiquetas obtener acceso completo a los recursos de Amazon RDS que tengan etiquetados. Puede hacerlo utilizando una clave de condición como rds:db-tag/Owner.

  • Credenciales temporales: los usuarios que hayan iniciado sesión con federación, rol entre cuentas o rol de servicio puede obtener acceso al servicio. Las credenciales de seguridad temporales se obtienen mediante una llamada a operaciones de la API de AWS STS como AssumeRole o GetFederationToken. Para obtener más información, consulte Credenciales de seguridad temporales.

  • Roles vinculados a servicios: un rol vinculado a servicios otorga al servicio permiso para obtener acceso a recursos en otros servicios para completar una acción en su nombre. Haga clic en el enlace Yes para ver la documentación para los servicios compatibles con estos roles. Para obtener más información, consulte Usar roles vinculados a servicios.

  • Más información: si un servicio no admite totalmente una característica, puede analizar las notas al pie y buscar una entrada para ver las limitaciones y los enlaces a información relacionada.

Servicios de computación

Servicio Acciones Permisos de nivel de recursos Políticas basadas en recursos Autorización basada en etiquetas Credenciales temporales Roles vinculados a servicios
AWS Batch No No No
Amazon Elastic Compute Cloud (Amazon EC2) No Sí¹
Amazon EC2 Auto Scaling No
AWS Elastic Beanstalk No
Amazon EC2 Container Registry (Amazon ECR) No
Amazon Elastic Container Service (Amazon ECS) Sí² No No
Amazon Elastic Kubernetes Service (Amazon EKS) No No
Amazon Elastic Inference No No No
Elastic Load Balancing No
AWS Lambda No Sí³
Amazon Lightsail No No

¹ Los roles vinculados al servicio de Amazon EC2 no se pueden crear utilizando la Consola de administración de AWS y se pueden usar solo en las siguientes características: instancias programadas, solicitudes de instancia de spot y solicitudes de flota de spot.

² Solo acciones de Amazon EC2 admiten permisos de nivel de recursos.

³ AWS Lambda no tiene roles vinculados a servicios, pero Lambda@Edge sí. Para obtener más información, consulte Uso de roles vinculados a servicios de en la Guía para desarrolladores de Lambda@Edge en la Guía para desarrolladores de Amazon CloudFront.

Servicios de almacenamiento

Servicio Acciones Permisos de nivel de recursos Políticas basadas en recursos Autorización basada en etiquetas Credenciales temporales Roles vinculados a servicios
AWS Backup No No
Amazon Elastic Block Store (Amazon EBS) No No
Amazon Elastic File System (Amazon EFS) No No
Amazon FSx No
Amazon S3 Glacier No
AWS Import/Export No No No No
AWS Migration Hub No No No
Amazon Simple Storage Service (Amazon S3) Sí¹ No
AWS Snowball No No No No
AWS Snowball Edge No No No No No
AWS Storage Gateway No No

¹ Amazon S3 admite la autorización basada en etiquetas únicamente para los recursos de objetos.

Servicios de bases de datos

Servicio Acciones Permisos de nivel de recursos Políticas basadas en recursos Autorización basada en etiquetas Credenciales temporales Roles vinculados a servicios
Amazon DynamoDB No No
Amazon ElastiCache No¹ No No
Amazon Quantum Ledger Database (Amazon QLDB) No No
Amazon Redshift No No
Amazon Relational Database Service (Amazon RDS) No
API de datos de Amazon RDS No No No No
Amazon SimpleDB No No No

¹ No puede especificar ARN de recursos de ElastiCache en una política, pero al crear un clúster o replicación, puede especificar un ARN de Amazon S3 con el grupo de acciones de ElastiCache.

Servicios de herramientas para desarrolladores

Servicio Acciones Permisos de nivel de recursos Políticas basadas en recursos Autorización basada en etiquetas Credenciales temporales Roles vinculados a servicios
AWS Cloud9
CodeBuild No No No
CodeCommit No No
AWS CodeDeploy No No No
CodePipeline No No
AWS CodeStar Sí¹ No No
AWS CodeStar Notifications No
AWS X-Ray No No No No

Servicios de seguridad, identidad y conformidad

Servicio Acciones Permisos de nivel de recursos Políticas basadas en recursos Autorización basada en etiquetas Credenciales temporales Roles vinculados a servicios
AWS Certificate Manager Private Certificate Authority (ACM) No No
AWS Artifact No No No
AWS Certificate Manager (ACM) No No
AWS CloudHSM No No No
AWS CloudHSM Classic No No No No No
Amazon Cognito No No
AWS Directory Service No No
Amazon GuardDuty No No
AWS Identity and Access Management (IAM) Sí¹ Sí² Sí³ No
Amazon Inspector No No No
AWS Key Management Service (AWS KMS) No
Amazon Macie No No No
AWS Resource Access Manager (AWS RAM) No No
AWS Secrets Manager No
Centro de seguridad de AWS No No
Inicio de sesión único de AWS (AWS SSO) No No No
AWS Security Token Service (AWS STS) Sí⁴ No Sí⁵ No
AWS Shield Advanced No No No No
AWS WAF No No

¹ El servicio IAM solo admite un tipo de política basada en recursos, el llamado política de confianza de rol, que se asocia a un rol de IAM. Para obtener más información, consulte Conceder permisos de usuario para cambiar de rol.

² IAM admite el control de acceso basado en etiquetas solo para los recursos de usuarios y funciones.

³ Solo algunas de las acciones de la API de IAM se pueden llamar con credenciales temporales. Para obtener más información, consulte Comparación de opciones de API.

⁴ AWS STS no tiene "recursos", pero no permite la restricción del acceso de forma similar a los usuarios. Para obtener más información, consulte Denegar el acceso a las credenciales de seguridad temporales según el nombre.

⁵ Solo algunas de las operaciones de API de AWS STS admiten llamadas con credenciales temporales. Para obtener más información, consulte Comparación de opciones de API.

Servicios de Machine Learning

Servicio Acciones Permisos de nivel de recursos Políticas basadas en recursos Autorización basada en etiquetas Credenciales temporales Roles vinculados a servicios
Amazon Comprehend No No No
AWS DeepRacer No No No
Forecast No No No
Amazon Lex No No
Amazon Machine Learning No No
Amazon Personalize No No No
Amazon Polly No No No
Amazon Rekognition No No No No
Amazon SageMaker No Sí¹ No
Amazon Textract No No No No
Amazon Transcribe No No No No
Amazon Translate No No No No

¹ Amazon SageMaker no admite el uso de la autorización basada en etiquetas para las llamadas a InvokeEndpoint.

Servicios de administración de gobernanza

Servicio Acciones Permisos de nivel de recursos Políticas basadas en recursos Autorización basada en etiquetas Credenciales temporales Roles vinculados a servicios
Auto Scaling de aplicaciones No No No
AWS Auto Scaling No No No
AWS CloudFormation No No
AWS CloudTrail No No No
Amazon CloudWatch No ¹
Amazon CloudWatch Events No No
Amazon CloudWatch Logs No
AWS Config Sí² No
Administrador de ciclo de vida de datos de Amazon No No
AWS Health No No No No
AWS OpsWorks No No No
AWS OpsWorks for Chef Automate No No No
AWS Organizations No No
Grupos de recursos de AWS No Sí³ No
AWS Service Catalog No No Sí⁴ No
AWS Administrador de sistemas No
AWS Trusted Advisor Sí⁵ No No

¹ Los roles vinculados a servicios de Amazon CloudWatch no se pueden crear con la Consola de administración de AWS y admiten únicamente la característica Acciones de alarma.

² AWS Config admite permisos de nivel de recursos para la agregación de datos de varias regiones y varias cuentas y reglas de AWS Config. Para obtener una lista de los recursos admitidos, consulte la sección Multi-Account Multi-Region Data Aggregation (Acumulación de datos de varias cuentas y regiones) y la sección AWS Config Rules (Reglas de AWS Config) de la Guía de la API de AWS Config.

³ Los usuarios pueden asumir una función con una política que permita operaciones de Grupos de recursos de AWS.

⁴ AWS Service Catalog admite el control de acceso basado etiquetas solo para acciones que coincidan con las operaciones de la API con un recurso en la entrada.

⁵ El acceso de API a Trusted Advisor se realiza a través de la API de AWS Support y se controla mediante políticas de AWS Support de IAM.

Servicios de migración y transferencia

Servicio Acciones Permisos de nivel de recursos Políticas basadas en recursos Autorización basada en etiquetas Credenciales temporales Roles vinculados a servicios
AWS Application Discovery Service No No No No
AWS Database Migration Service Sí¹ No
AWS Migration Hub No No No
AWS Server Migration Service No No No

¹ Puede crear y modificar las políticas asociadas a las claves de cifrado de AWS KMS que crea para cifrar los datos migrados a los puntos de enlace de destino compatibles. Los puntos de enlace de destino incluyen Amazon Redshift y Amazon S3. Para obtener más información, consulte Creación y uso de claves AWS KMS para cifrar los datos de destino de Amazon Redshift y Creación de claves de AWS KMS para cifrar objetos de destino de Amazon S3 en la Guía del usuario de AWS Database Migration Service.

Servicios para móviles

Servicio Acciones Permisos de nivel de recursos Políticas basadas en recursos Autorización basada en etiquetas Credenciales temporales Roles vinculados a servicios
AWS Amplify No No No
AWS Device Farm No No

Servicios de redes y entrega de contenido

Servicio Acciones Permisos de nivel de recursos Políticas basadas en recursos Autorización basada en etiquetas Credenciales temporales Roles vinculados a servicios
Amazon API Gateway

AWS App Mesh

No

Amazon CloudFront

Sí¹ No Sí⁴

AWS Cloud Map

No No No
AWS Direct Connect No No
AWS Global Accelerator No No
Amazon Route 53 No No No
Solucionador de Amazon Route 53 No No
Amazon Virtual Private Cloud (Amazon VPC) Sí² Sí³ No No

¹ CloudFront no es compatible con los permisos de nivel de acción para la creación de pares de claves de CloudFront. Debe utilizar un usuario Usuario de la cuenta raíz de AWS para crear un par de claves de CloudFront. Para obtener más información, consulte Creating CloudFront Key Pairs for Your Trusted Signers en la Guía para desarrolladores de Amazon CloudFront.

² En una política de usuario de IAM, no puede restringir los permisos a un punto de enlace de Amazon VPC concreto. Cualquier elemento Action que incluya las acciones de API ec2:*VpcEndpoint* o ec2:DescribePrefixLists debe especificar ""Resource": "*"". Para obtener más información, consulte Controlling the Use of Endpoints en la Guía del usuario de Amazon VPC.

³ Amazon VPC admite asociar una única política de recursos a un punto de enlace de la VPC para restringir a qué se puede obtener acceso a través de dicho punto de enlace. Para obtener más información sobre el uso de políticas basadas en recursos para controlar el acceso a los recursos desde puntos de enlace de Amazon VPC específicos, consulte Using Endpoint Policies en la Guía del usuario de Amazon VPC.

⁴ Amazon CloudFront no tiene roles vinculados a servicios, pero Lambda@Edge sí. Para obtener más información, consulte Uso de roles vinculados a servicios de en la Guía para desarrolladores de Lambda@Edge en la Guía para desarrolladores de Amazon CloudFront.

Servicios multimedia

Servicio Acciones Permisos de nivel de recursos Políticas basadas en recursos Autorización basada en etiquetas Credenciales temporales Roles vinculados a servicios
Amazon Elastic Transcoder No No No
AWS Elemental MediaConnect No No No
AWS Elemental MediaConvert No No
AWS Elemental MediaLive No
AWS Elemental MediaPackage No No
AWS Elemental MediaStore No No
AWS Elemental MediaTailor No No
Transmisión de vídeo de Kinesis No No

Servicios de análisis

Servicio Acciones Permisos de nivel de recursos Políticas basadas en recursos Autorización basada en etiquetas Credenciales temporales Roles vinculados a servicios
Amazon Athena No No
Amazon CloudSearch No No No
AWS Data Pipeline No No No
Amazon Elasticsearch Service No
Amazon EMR No No
AWS Glue No
Amazon Kinesis Data Analytics No No
Amazon Kinesis Data Firehose No No
Amazon Kinesis Data Streams No No No
Amazon Managed Streaming para Apache Kafka (MSK) No No
Amazon QuickSight No No No

Servicios de integración de la aplicación

Servicio Acciones Permisos de nivel de recursos Políticas basadas en recursos Autorización basada en etiquetas Credenciales temporales Roles vinculados a servicios
Amazon MQ No No
Amazon Simple Notification Service (Amazon SNS) No No
Amazon Simple Queue Service (Amazon SQS) No No
AWS Step Functions No No
Amazon Simple Workflow Service (Amazon SWF) No No

Servicios de aplicaciones empresariales

Servicio Acciones Permisos de nivel de recursos Políticas basadas en recursos Autorización basada en etiquetas Credenciales temporales Roles vinculados a servicios
Alexa for Business No No No
Amazon Chime No No No
Amazon WorkMail No No No

Servicios Satellite

Servicio Acciones Permisos de nivel de recursos Políticas basadas en recursos Autorización basada en etiquetas Credenciales temporales Roles vinculados a servicios
AWS Ground Station No No

Servicios del Internet de las cosas

Servicio Acciones Permisos de nivel de recursos Políticas basadas en recursos Autorización basada en etiquetas Credenciales temporales Roles vinculados a servicios
AWS IoT Sí¹ No
AWS IoT Analytics No No
AWS IoT Events No No
AWS IoT Greengrass No No
AWS IoT Things Graph No No No No

¹ Los dispositivos conectados a AWS IoT se autentican mediante certificados X.509 o identidades Amazon Cognito. Puede asociar políticas de AWS IoT a un certificado X.509 o una identidad Amazon Cognito con el fin de controlar qué está autorizado a hacer el dispositivo. Para obtener más información, consulte Security and Identity for AWS IoT en la AWS IoT Developer Guide.

Servicios de robótica

Servicio Acciones Permisos de nivel de recursos Políticas basadas en recursos Autorización basada en etiquetas Credenciales temporales Roles vinculados a servicios
RoboMaker No No

Servicios de Blockchain

Servicio Acciones Permisos de nivel de recursos Políticas basadas en recursos Autorización basada en etiquetas Credenciales temporales Roles vinculados a servicios
Amazon Managed Blockchain No No No

Servicios de desarrollo de juegos

Servicio Acciones Permisos de nivel de recursos Políticas basadas en recursos Autorización basada en etiquetas Credenciales temporales Roles vinculados a servicios
Amazon GameLift No No No No

Servicios de RA y RV

Servicio Acciones Permisos de nivel de recursos Políticas basadas en recursos Autorización basada en etiquetas Credenciales temporales Roles vinculados a servicios
Amazon Sumerian No No No

Servicios de interacción con los clientes

Servicio Acciones Permisos de nivel de recursos Políticas basadas en recursos Autorización basada en etiquetas Credenciales temporales Roles vinculados a servicios
Amazon Connect No No
Amazon Pinpoint No No
Amazon Simple Email Service (Amazon SES) Sí¹ Sí² No

¹ Solo puede utilizar permisos de nivel de recursos en instrucciones de política que se refieran a las acciones relacionadas con el envío de correo electrónico, como, por ejemplo, ses:SendEmail o ses:SendRawEmail. En el caso de instrucciones de política que se refieran a otras acciones, el elemento Resource solo puede contener *.

² Solo la API de Amazon SES es compatible con las credenciales de seguridad temporales. La interfaz SMTP de Amazon SES no es compatible con las credenciales de SMTP que se derivan de credenciales de seguridad temporales.

Servicios de computación para usuarios finales

Servicio Acciones Permisos de nivel de recursos Políticas basadas en recursos Autorización basada en etiquetas Credenciales temporales Roles vinculados a servicios
Amazon AppStream No No No No
Amazon AppStream 2.0 No No
Amazon WAM No No No No
Amazon WorkDocs No No No No
Amazon WorkLink No
Amazon WorkSpaces No No

Recursos adicionales

Servicio Acciones Permisos de nivel de recursos Políticas basadas en recursos Autorización basada en etiquetas Credenciales temporales Roles vinculados a servicios
AWS Billing and Cost Management No No No No
AWS Marketplace No No No No
AWS Support No No No