Servicios de AWS que funcionan con IAM
Los servicios de AWS que se enumeran a continuación se agrupan según su categoría de producto de AWS e incluyen información acerca de las características de IAM con las que son compatibles:
-
Servicio: puede elegir el nombre de un servicio para ver la documentación de AWS sobre la autorización y acceso de IAM para dicho servicio.
-
Acciones: puede especificar acciones individuales en una política. Si el servicio no es compatible con esta característica, All actions (Todas las acciones) estará seleccionado en el editor visual. En un documento de política JSON, debe utilizar
*en el elementoAction. Para obtener una lista de acciones para cada servicio, consulte Claves de condición, recursos y acciones de los servicios de AWS. -
Permisos de nivel de recursos: puede utilizar ARN para especificar recursos individuales en la política. Si el servicio no es compatible con esta característica, All resources (Todos los recursos) estará seleccionado en el editor visual de la política. En un documento de política JSON, debe utilizar
*en el elementoResource. Algunas acciones, como, por ejemplo,List*, no admiten la especificación de un ARN, ya que están diseñadas para devolver varios recursos. Si un servicio admite esta característica para algunos recursos, pero no para otros, se indica mediante celdas amarillas en la tabla. Consulte la documentación de ese servicio para obtener más información. -
Políticas basadas en recursos: puede asociar políticas basadas en recursos a un recurso dentro del servicio. Las políticas basadas en recursos incluyen un elemento
Principalpara especificar qué identidades de IAM pueden obtener acceso a dicho recurso. Para obtener más información, consulte Políticas basadas en identidad y políticas basadas en recursos. -
Autorización basada en etiquetas: puede utilizar etiquetas de recursos en la condición de una política. Por ejemplo, puede crear una política que permite a los propietarios de las etiquetas obtener acceso completo a los recursos de Amazon RDS que tengan etiquetados. Puede hacerlo utilizando una clave de condición como
rds:db-tag/Owner. -
Credenciales temporales: los usuarios que hayan iniciado sesión con federación, rol entre cuentas o rol de servicio puede obtener acceso al servicio. Las credenciales de seguridad temporales se obtienen mediante una llamada a operaciones de la API de AWS STS como AssumeRole o GetFederationToken. Para obtener más información, consulte Credenciales de seguridad temporales.
-
Roles vinculados a servicios: un rol vinculado a servicios otorga al servicio permiso para obtener acceso a recursos en otros servicios para completar una acción en su nombre. Haga clic en el enlace
Yespara ver la documentación para los servicios compatibles con estos roles. Para obtener más información, consulte Usar roles vinculados a servicios. -
Más información: si un servicio no admite totalmente una característica, puede analizar las notas al pie y buscar una entrada para ver las limitaciones y los enlaces a información relacionada.
Servicios de computación
| Servicio | Acciones | Permisos de nivel de recursos | Políticas basadas en recursos | Autorización basada en etiquetas | Credenciales temporales | Roles vinculados a servicios |
| AWS Batch | Sí | Sí | No | No | Sí | No |
| Amazon Elastic Compute Cloud (Amazon EC2) | Sí | Sí | No | Sí | Sí | Sí¹ |
| Amazon EC2 Auto Scaling | Sí | Sí | No | Sí | Sí | Sí |
| AWS Elastic Beanstalk | Sí | Sí | No | Sí | Sí | Sí |
| Amazon EC2 Container Registry (Amazon ECR) | Sí | Sí | Sí | Sí | Sí | No |
| Amazon Elastic Container Service (Amazon ECS) | Sí | Sí² | No | No | Sí | Sí |
| Amazon Elastic Kubernetes Service (Amazon EKS) | Sí | Sí | No | Sí | Sí | No |
| Amazon Elastic Inference | Sí | Sí | Sí | No | No | No |
| Elastic Load Balancing | Sí | Sí | No | Sí | Sí | Sí |
| AWS Lambda | Sí | Sí | Sí | No | Sí | Sí³ |
| Amazon Lightsail | Sí | Sí | No | Sí | Sí | No |
¹ Los roles vinculados al servicio de Amazon EC2 no se pueden crear utilizando la Consola de administración de AWS y se pueden usar solo en las siguientes características: instancias programadas, solicitudes de instancia de spot y solicitudes de flota de spot.
² Solo acciones de Amazon EC2 admiten permisos de nivel de recursos.
³ AWS Lambda no tiene roles vinculados a servicios, pero Lambda@Edge sí. Para obtener más información, consulte Uso de roles vinculados a servicios de en la Guía para desarrolladores de Lambda@Edge en la Guía para desarrolladores de Amazon CloudFront.
Servicios de almacenamiento
| Servicio | Acciones | Permisos de nivel de recursos | Políticas basadas en recursos | Autorización basada en etiquetas | Credenciales temporales | Roles vinculados a servicios |
| AWS Backup | Sí | Sí | Sí | No | Sí | No |
| Amazon Elastic Block Store (Amazon EBS) | Sí | Sí | No | Sí | Sí | No |
| Amazon Elastic File System (Amazon EFS) | Sí | Sí | No | Sí | Sí | No |
| Amazon FSx | Sí | Sí | No | Sí | Sí | Sí |
| Amazon S3 Glacier | Sí | Sí | Sí | Sí | Sí | No |
| AWS Import/Export | Sí | No | No | No | Sí | No |
| AWS Migration Hub | Sí | Sí | No | No | Sí | No |
| Amazon Simple Storage Service (Amazon S3) | Sí | Sí | Sí | Sí¹ | Sí | No |
| AWS Snowball | Sí | No | No | No | Sí | No |
| AWS Snowball Edge | Sí | No | No | No | No | No |
| AWS Storage Gateway | Sí | Sí | No | Sí | Sí | No |
¹ Amazon S3 admite la autorización basada en etiquetas únicamente para los recursos de objetos.
Servicios de bases de datos
| Servicio | Acciones | Permisos de nivel de recursos | Políticas basadas en recursos | Autorización basada en etiquetas | Credenciales temporales | Roles vinculados a servicios |
| Amazon DynamoDB | Sí | Sí | No | No | Sí | Sí |
| Amazon ElastiCache | Sí | No¹ | No | No | Sí | Sí |
| Amazon Quantum Ledger Database (Amazon QLDB) | Sí | Sí | No | Sí | Sí | No |
| Amazon Redshift | Sí | Sí | No | No | Sí | Sí |
| Amazon Relational Database Service (Amazon RDS) | Sí | Sí | No | Sí | Sí | Sí |
| API de datos de Amazon RDS | Sí | No | No | No | Sí | No |
| Amazon SimpleDB | Sí | Sí | No | No | Sí | No |
¹ No puede especificar ARN de recursos de ElastiCache en una política, pero al crear un clúster o replicación, puede especificar un ARN de Amazon S3 con el grupo de acciones de ElastiCache.
Servicios de herramientas para desarrolladores
| Servicio | Acciones | Permisos de nivel de recursos | Políticas basadas en recursos | Autorización basada en etiquetas | Credenciales temporales | Roles vinculados a servicios |
| AWS Cloud9 | Sí | Sí | Sí | Sí | Sí | Sí |
| CodeBuild | Sí | Sí | No | No | Sí | No |
| CodeCommit | Sí | Sí | No | Sí | Sí | No |
| AWS CodeDeploy | Sí | Sí | No | No | Sí | No |
| CodePipeline | Sí | Sí | No | Sí | Sí | No |
| AWS CodeStar | Sí | Sí¹ | No | Sí | Sí | No |
| AWS CodeStar Notifications | Sí | Sí | No | Sí | Sí | Sí |
| AWS X-Ray | Sí | No | No | No | Sí | No |
Servicios de seguridad, identidad y conformidad
| Servicio | Acciones | Permisos de nivel de recursos | Políticas basadas en recursos | Autorización basada en etiquetas | Credenciales temporales | Roles vinculados a servicios |
| AWS Certificate Manager Private Certificate Authority (ACM) | Sí | Sí | No | Sí | Sí | No |
| AWS Artifact | Sí | Sí | No | No | Sí | No |
| AWS Certificate Manager (ACM) | Sí | Sí | No | Sí | Sí | No |
| AWS CloudHSM | Sí | No | No | No | Sí | Sí |
| AWS CloudHSM Classic | Sí | No | No | No | No | No |
| Amazon Cognito | Sí | Sí | No | Sí | Sí | No |
| AWS Directory Service | Sí | Sí | No | Sí | Sí | No |
| Amazon GuardDuty | Sí | Sí | No | No | Sí | Sí |
| AWS Identity and Access Management (IAM) | Sí | Sí | Sí¹ | Sí² | Sí³ | No |
| Amazon Inspector | Sí | No | No | No | Sí | Sí |
| AWS Key Management Service (AWS KMS) | Sí | Sí | Sí | No | Sí | Sí |
| Amazon Macie | Sí | No | No | No | Sí | Sí |
| AWS Resource Access Manager (AWS RAM) | Sí | Sí | No | Sí | Sí | No |
| AWS Secrets Manager | Sí | Sí | Sí | Sí | Sí | No |
| Centro de seguridad de AWS | Sí | Sí | No | No | Sí | Sí |
| Inicio de sesión único de AWS (AWS SSO) | Sí | No | No | No | Sí | Sí |
| AWS Security Token Service (AWS STS) | Sí | Sí⁴ | No | Sí | Sí⁵ | No |
| AWS Shield Advanced | Sí | No | No | No | Sí | No |
| AWS WAF | Sí | Sí | No | No | Sí | Sí |
¹ El servicio IAM solo admite un tipo de política basada en recursos, el llamado política de confianza de rol, que se asocia a un rol de IAM. Para obtener más información, consulte Conceder permisos de usuario para cambiar de rol.
² IAM admite el control de acceso basado en etiquetas solo para los recursos de usuarios y funciones.
³ Solo algunas de las acciones de la API de IAM se pueden llamar con credenciales temporales. Para obtener más información, consulte Comparación de opciones de API.
⁴ AWS STS no tiene "recursos", pero no permite la restricción del acceso de forma similar a los usuarios. Para obtener más información, consulte Denegar el acceso a las credenciales de seguridad temporales según el nombre.
⁵ Solo algunas de las operaciones de API de AWS STS admiten llamadas con credenciales temporales. Para obtener más información, consulte Comparación de opciones de API.
Servicios de Machine Learning
| Servicio | Acciones | Permisos de nivel de recursos | Políticas basadas en recursos | Autorización basada en etiquetas | Credenciales temporales | Roles vinculados a servicios |
| Amazon Comprehend | Sí | No | No | Sí | Sí | No |
| AWS DeepRacer | Sí | No | No | No | Sí | Sí |
| Forecast | Sí | Sí | No | No | Sí | No |
| Amazon Lex | Sí | Sí | No | No | Sí | Sí |
| Amazon Machine Learning | Sí | Sí | No | Sí | Sí | No |
| Amazon Personalize | Sí | Sí | No | No | Sí | No |
| Amazon Polly | Sí | Sí | No | No | Sí | No |
| Amazon Rekognition | Sí | Sí | No | No | No | No |
| Amazon SageMaker | Sí | Sí | No | Sí¹ | Sí | No |
| Amazon Textract | Sí | Sí | No | No | No | No |
| Amazon Transcribe | Sí | No | No | No | Sí | No |
| Amazon Translate | Sí | No | No | No | Sí | No |
¹ Amazon SageMaker no admite el uso de la autorización basada en etiquetas para las
llamadas a InvokeEndpoint.
Servicios de administración de gobernanza
| Servicio | Acciones | Permisos de nivel de recursos | Políticas basadas en recursos | Autorización basada en etiquetas | Credenciales temporales | Roles vinculados a servicios |
| Auto Scaling de aplicaciones | Sí | No | No | No | Sí | Sí |
| AWS Auto Scaling | Sí | No | No | No | Sí | Sí |
| AWS CloudFormation | Sí | Sí | No | Sí | Sí | No |
| AWS CloudTrail | Sí | Sí | No | No | Sí | No |
| Amazon CloudWatch | Sí | Sí | No | Sí | Sí | Sí¹ |
| Amazon CloudWatch Events | Sí | Sí | No | Sí | Sí | No |
| Amazon CloudWatch Logs | Sí | Sí | Sí | Sí | Sí | No |
| AWS Config | Sí | Sí² | No | Sí | Sí | Sí |
| Administrador de ciclo de vida de datos de Amazon | Sí | Sí | No | Sí | Sí | No |
| AWS Health | Sí | No | No | No | Sí | No |
| AWS OpsWorks | Sí | Sí | No | No | Sí | No |
| AWS OpsWorks for Chef Automate | Sí | Sí | No | No | Sí | No |
| AWS Organizations | Sí | Sí | No | No | Sí | Sí |
| Grupos de recursos de AWS | Sí | Sí | No | Sí | Sí³ | No |
| AWS Service Catalog | Sí | No | No | Sí⁴ | Sí | No |
| AWS Administrador de sistemas | Sí | Sí | No | Sí | Sí | Sí |
| AWS Trusted Advisor | Sí⁵ | Sí | No | No | Sí | Sí |
¹ Los roles vinculados a servicios de Amazon CloudWatch no se pueden crear con la Consola de administración de AWS y admiten únicamente la característica Acciones de alarma.
² AWS Config admite permisos de nivel de recursos para la agregación de datos de varias regiones y varias cuentas y reglas de AWS Config. Para obtener una lista de los recursos admitidos, consulte la sección Multi-Account Multi-Region Data Aggregation (Acumulación de datos de varias cuentas y regiones) y la sección AWS Config Rules (Reglas de AWS Config) de la Guía de la API de AWS Config.
³ Los usuarios pueden asumir una función con una política que permita operaciones de Grupos de recursos de AWS.
⁴ AWS Service Catalog admite el control de acceso basado etiquetas solo para acciones que coincidan con las operaciones de la API con un recurso en la entrada.
⁵ El acceso de API a Trusted Advisor se realiza a través de la API de AWS Support y se controla mediante políticas de AWS Support de IAM.
Servicios de migración y transferencia
| Servicio | Acciones | Permisos de nivel de recursos | Políticas basadas en recursos | Autorización basada en etiquetas | Credenciales temporales | Roles vinculados a servicios |
| AWS Application Discovery Service | Sí | No | No | No | No | Sí |
| AWS Database Migration Service | Sí | Sí | Sí¹ | Sí | Sí | No |
| AWS Migration Hub | Sí | Sí | No | No | Sí | No |
| AWS Server Migration Service | Sí | No | No | No | Sí | Sí |
¹ Puede crear y modificar las políticas asociadas a las claves de cifrado de AWS KMS que crea para cifrar los datos migrados a los puntos de enlace de destino compatibles. Los puntos de enlace de destino incluyen Amazon Redshift y Amazon S3. Para obtener más información, consulte Creación y uso de claves AWS KMS para cifrar los datos de destino de Amazon Redshift y Creación de claves de AWS KMS para cifrar objetos de destino de Amazon S3 en la Guía del usuario de AWS Database Migration Service.
Servicios para móviles
| Servicio | Acciones | Permisos de nivel de recursos | Políticas basadas en recursos | Autorización basada en etiquetas | Credenciales temporales | Roles vinculados a servicios |
| AWS Amplify | Sí | Sí | No | Sí | No | No |
| AWS Device Farm | Sí | Sí | No | Sí | Sí | No |
Servicios de redes y entrega de contenido
| Servicio | Acciones | Permisos de nivel de recursos | Políticas basadas en recursos | Autorización basada en etiquetas | Credenciales temporales | Roles vinculados a servicios |
| Amazon API Gateway | Sí | Sí | Sí | Sí | Sí | Sí |
| Sí | Sí | No | Sí | Sí | Sí | |
| Sí¹ | Sí | No | Sí | Sí | Sí⁴ | |
| Sí | Sí | No | No | Sí | No | |
| AWS Direct Connect | Sí | Sí | No | Sí | Sí | No |
| AWS Global Accelerator | Sí | Sí | No | No | Sí | Sí |
| Amazon Route 53 | Sí | Sí | No | No | Sí | No |
| Solucionador de Amazon Route 53 | Sí | Sí | No | Sí | Sí | No |
| Amazon Virtual Private Cloud (Amazon VPC) | Sí | Sí² | Sí³ | No | Sí | No |
¹ CloudFront no es compatible con los permisos de nivel de acción para la creación de pares de claves de CloudFront. Debe utilizar un usuario Usuario de la cuenta raíz de AWS para crear un par de claves de CloudFront. Para obtener más información, consulte Creating CloudFront Key Pairs for Your Trusted Signers en la Guía para desarrolladores de Amazon CloudFront.
² En una política de usuario de IAM, no puede restringir los permisos a un punto de
enlace de Amazon VPC concreto. Cualquier elemento Action que incluya las acciones de API ec2:*VpcEndpoint* o ec2:DescribePrefixLists debe especificar ""Resource":
"*"". Para obtener más información, consulte Controlling the Use of Endpoints en la Guía del usuario de Amazon VPC.
³ Amazon VPC admite asociar una única política de recursos a un punto de enlace de la VPC para restringir a qué se puede obtener acceso a través de dicho punto de enlace. Para obtener más información sobre el uso de políticas basadas en recursos para controlar el acceso a los recursos desde puntos de enlace de Amazon VPC específicos, consulte Using Endpoint Policies en la Guía del usuario de Amazon VPC.
⁴ Amazon CloudFront no tiene roles vinculados a servicios, pero Lambda@Edge sí. Para obtener más información, consulte Uso de roles vinculados a servicios de en la Guía para desarrolladores de Lambda@Edge en la Guía para desarrolladores de Amazon CloudFront.
Servicios multimedia
| Servicio | Acciones | Permisos de nivel de recursos | Políticas basadas en recursos | Autorización basada en etiquetas | Credenciales temporales | Roles vinculados a servicios |
| Amazon Elastic Transcoder | Sí | Sí | No | No | Sí | No |
| AWS Elemental MediaConnect | Sí | Sí | No | No | Sí | No |
| AWS Elemental MediaConvert | Sí | Sí | No | Sí | Sí | No |
| AWS Elemental MediaLive | Sí | Sí | Sí | Sí | Sí | No |
| AWS Elemental MediaPackage | Sí | Sí | No | Sí | Sí | No |
| AWS Elemental MediaStore | Sí | Sí | Sí | No | Sí | No |
| AWS Elemental MediaTailor | Sí | Sí | No | Sí | Sí | No |
| Transmisión de vídeo de Kinesis | Sí | Sí | No | Sí | Sí | No |
Servicios de análisis
| Servicio | Acciones | Permisos de nivel de recursos | Políticas basadas en recursos | Autorización basada en etiquetas | Credenciales temporales | Roles vinculados a servicios |
| Amazon Athena | Sí | Sí | No | Sí | Sí | No |
| Amazon CloudSearch | Sí | Sí | No | No | Sí | No |
| AWS Data Pipeline | Sí | No | No | Sí | Sí | No |
| Amazon Elasticsearch Service | Sí | Sí | Sí | No | Sí | Sí |
| Amazon EMR | Sí | No | No | Sí | Sí | Sí |
| AWS Glue | Sí | Sí | Sí | Sí | Sí | No |
| Amazon Kinesis Data Analytics | Sí | Sí | No | Sí | Sí | No |
| Amazon Kinesis Data Firehose | Sí | Sí | No | Sí | Sí | No |
| Amazon Kinesis Data Streams | Sí | Sí | No | No | Sí | No |
| Amazon Managed Streaming para Apache Kafka (MSK) | Sí | Sí | No | Sí | Sí | No |
| Amazon QuickSight | Sí | Sí | No | No | Sí | No |
Servicios de integración de la aplicación
| Servicio | Acciones | Permisos de nivel de recursos | Políticas basadas en recursos | Autorización basada en etiquetas | Credenciales temporales | Roles vinculados a servicios |
| Amazon MQ | Sí | Sí | No | Sí | Sí | No |
| Amazon Simple Notification Service (Amazon SNS) | Sí | Sí | Sí | No | Sí | No |
| Amazon Simple Queue Service (Amazon SQS) | Sí | Sí | Sí | No | Sí | No |
| AWS Step Functions | Sí | Sí | No | Sí | Sí | No |
| Amazon Simple Workflow Service (Amazon SWF) | Sí | Sí | No | Sí | Sí | No |
Servicios de aplicaciones empresariales
| Servicio | Acciones | Permisos de nivel de recursos | Políticas basadas en recursos | Autorización basada en etiquetas | Credenciales temporales | Roles vinculados a servicios |
| Alexa for Business | Sí | Sí | No | No | Sí | No |
| Amazon Chime | Sí | No | No | No | Sí | Sí |
| Amazon WorkMail | Sí | No | No | No | Sí | Sí |
Servicios Satellite
| Servicio | Acciones | Permisos de nivel de recursos | Políticas basadas en recursos | Autorización basada en etiquetas | Credenciales temporales | Roles vinculados a servicios |
| AWS Ground Station | Sí | Sí | No | Sí | Sí | No |
Servicios del Internet de las cosas
| Servicio | Acciones | Permisos de nivel de recursos | Políticas basadas en recursos | Autorización basada en etiquetas | Credenciales temporales | Roles vinculados a servicios |
| AWS IoT | Sí | Sí | Sí¹ | Sí | Sí | No |
| AWS IoT Analytics | Sí | Sí | No | Sí | Sí | No |
| AWS IoT Events | Sí | Sí | No | Sí | Sí | No |
| AWS IoT Greengrass | Sí | Sí | No | Sí | Sí | No |
| AWS IoT Things Graph | Sí | No | No | No | Sí | No |
¹ Los dispositivos conectados a AWS IoT se autentican mediante certificados X.509 o identidades Amazon Cognito. Puede asociar políticas de AWS IoT a un certificado X.509 o una identidad Amazon Cognito con el fin de controlar qué está autorizado a hacer el dispositivo. Para obtener más información, consulte Security and Identity for AWS IoT en la AWS IoT Developer Guide.
Servicios de robótica
Servicios de Blockchain
| Servicio | Acciones | Permisos de nivel de recursos | Políticas basadas en recursos | Autorización basada en etiquetas | Credenciales temporales | Roles vinculados a servicios |
| Amazon Managed Blockchain | Sí | Sí | No | No | Sí | No |
Servicios de desarrollo de juegos
| Servicio | Acciones | Permisos de nivel de recursos | Políticas basadas en recursos | Autorización basada en etiquetas | Credenciales temporales | Roles vinculados a servicios |
| Amazon GameLift | Sí | No | No | No | Sí | No |
Servicios de RA y RV
| Servicio | Acciones | Permisos de nivel de recursos | Políticas basadas en recursos | Autorización basada en etiquetas | Credenciales temporales | Roles vinculados a servicios |
| Amazon Sumerian | Sí | Sí | No | No | Sí | No |
Servicios de interacción con los clientes
| Servicio | Acciones | Permisos de nivel de recursos | Políticas basadas en recursos | Autorización basada en etiquetas | Credenciales temporales | Roles vinculados a servicios |
| Amazon Connect | Sí | Sí | No | No | Sí | Sí |
| Amazon Pinpoint | Sí | Sí | No | Sí | Sí | No |
| Amazon Simple Email Service (Amazon SES) | Sí | Sí¹ | Sí | Sí | Sí² | No |
¹ Solo puede utilizar permisos de nivel de recursos en instrucciones de política que
se refieran a las acciones relacionadas con el envío de correo electrónico, como,
por ejemplo, ses:SendEmail o ses:SendRawEmail. En el caso de instrucciones de política que se refieran a otras acciones, el elemento
Resource solo puede contener *.
² Solo la API de Amazon SES es compatible con las credenciales de seguridad temporales. La interfaz SMTP de Amazon SES no es compatible con las credenciales de SMTP que se derivan de credenciales de seguridad temporales.
Servicios de computación para usuarios finales
| Servicio | Acciones | Permisos de nivel de recursos | Políticas basadas en recursos | Autorización basada en etiquetas | Credenciales temporales | Roles vinculados a servicios |
| Amazon AppStream | Sí | No | No | No | Sí | No |
| Amazon AppStream 2.0 | Sí | Sí | No | Sí | Sí | No |
| Amazon WAM | Sí | No | No | No | Sí | No |
| Amazon WorkDocs | Sí | No | No | No | Sí | No |
| Amazon WorkLink | Sí | Sí | Sí | No | Sí | Sí |
| Amazon WorkSpaces | Sí | Sí | No | Sí | Sí | No |
Recursos adicionales
| Servicio | Acciones | Permisos de nivel de recursos | Políticas basadas en recursos | Autorización basada en etiquetas | Credenciales temporales | Roles vinculados a servicios |
| AWS Billing and Cost Management | Sí | No | No | No | Sí | No |
| AWS Marketplace | Sí | No | No | No | Sí | No |
| AWS Support | Sí | No | No | No | Sí | Sí |
