Acciones, recursos y claves de condición de los servicios de AWS
Cada servicio de AWS puede definir acciones, recursos y claves de contexto de condiciones para su uso en políticas de IAM. En este tema se describe cómo se documentan los elementos proporcionados para cada servicio.
Cada tema se compone de tablas que proporcionan la lista de las acciones, los recursos y las claves de condición disponibles.
Tabla Acciones
La tabla Actions (Acciones) muestra todas las acciones que puede utilizar en un elemento Action
de la declaración de política de IAM. No todas las operaciones de API que se definen
mediante un servicio se pueden utilizar como una acción en una política de IAM. Además,
un servicio puede definir algunas acciones que no se corresponden directamente con
una operación de API. Utilice esta lista para determinar qué acciones se pueden utilizar
en una política de IAM. Para obtener más información sobre los elementos Action
, Resource
o Condition
, consulte Referencia de los elementos de las políticas JSON de IAM. Las columnas Actions (Acciones) y Description (Descripción) de la tabla son descriptivas.
-
La columna Access level (Nivel de acceso) describe cómo se clasifica la acción (Lista, lectura, escritura, administración de permisos o etiquetado). Esta clasificación puede ayudarle a entender el nivel de acceso que una acción concede cuando se utiliza en una política. Para obtener más información sobre los niveles de acceso, consulte Descripción de los resúmenes de nivel de acceso en los resúmenes de políticas.
-
La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si la columna está vacía, la acción no admite permisos de nivel de recursos y debe especificar todos los recursos ("*") en su política. Si la columna incluye un tipo de recurso, puede especificar el ARN del recurso en el elemento
Resource
de la política. Para obtener más información acerca de dicho recurso, consulte esa fila en la tabla Resource types (Tipos de recurso). Todas las acciones y los recursos que se incluyen en una declaración deben ser compatibles entre sí. Si especifica un recurso que no es válido para la acción, cualquier solicitud de uso de dicha acción dará error y elEffect
de la declaración no se aplica.Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.
-
La columna Condition keys (Claves de condición) incluye claves que puede especificar en el elemento
Condition
de una instrucción de política. Las claves de condición pueden ser compatibles con una acción o con una acción y un recurso específico. Preste especial atención a si la clave está en la misma fila que un tipo de recurso específico. Esta tabla no incluye las claves de condición globales que están disponibles para cualquier acción o en circunstancias no relacionadas. Para obtener más información sobre las claves de condición globales, consulte Claves de contexto de condición globales de AWS. -
La columna Dependent actions (Acciones dependientes) incluye permisos adicionales que debe tener, además del permiso para la acción en sí, para llamar correctamente a la acción. Esto puede ser necesario si la acción obtiene acceso a más de un recurso.
Tabla Tipos de recurso
La tabla Resource types (Tipos de recurso) muestra todos los tipos de recursos que puede especificar como ARN en el elemento
de política Resource
. No todos los tipos de recursos se pueden especificar con cada acción. Algunos tipos
de recursos funcionan solo con determinadas acciones. Si especifica un tipo de recurso
en una instrucción con una acción que no admite ese tipo de recurso, la instrucción
no permite el acceso. Para obtener más información sobre el elemento Resource
, consulte Elementos de las políticas JSON de IAM: Recourse.
-
La columna ARN especifica el formato de nombre de recurso de Amazon (ARN) que debe utilizar para hacer referencia a los recursos de este tipo. Las partes precedidas por $ deben sustituirse por los valores reales de su escenario. Por ejemplo, si ve
$user-name
en un ARN, debe sustituir esa cadena por el nombre de usuario real de IAM o una variable de política que contenga un nombre de usuario de IAM. Para obtener más información sobre los ARN, consulte ARN de IAM. -
La columna Condition keys (Claves de condición) especifica las claves de contexto de condiciones que puede incluir en una instrucción de política de IAM solo cuando se incluyen en la instrucción este recurso y una acción de apoyo de la tabla anterior.
Tabla Claves de condición
La tabla Condition keys (Claves de condición) muestra todas las claves de contexto de condiciones que puede utilizar en un elemento
Condition
de una instrucción de política de IAM. No todas las claves se pueden especificar
con cada acción o recurso. Algunas solo funcionan con determinados tipos de acciones
y recursos. Para obtener más información sobre el elemento Condition
, consulte Elementos de las políticas JSON de IAM: Condition.
-
La columna Type (Tipo) especifica el tipo de datos de la clave de condición. Este tipo de datos determina qué operadores de condición puede usar para comparar los valores de la solicitud con los valores de la instrucción de política. Debe utilizar un operador que sea adecuado para el tipo de datos. Si utiliza un operador incorrecto, no habrá coincidencias y la declaración de política no se aplica.
Si la columna Type (Tipo) especifica una "Lista de..." uno de los tipos simples, puede usar varias claves y valores en sus políticas. Para ello, utilice prefijos de conjunto de condiciones con los operadores. Utilice el prefijo
ForAllValues
para especificar que todos los valores de la solicitud deben coincidir con un valor de la instrucción de política. Utilice el prefijoForAnyValue
para especificar que al menos un valor de la solicitud debe coincidir con uno de los valores de la instrucción de política.
Temas
- Cuentas de AWS
- Alexa for Business
- AWS Amplify
- Amazon API Gateway
- AWS App Mesh
- AWS App Mesh Preview
- AWS AppConfig
- Amazon AppFlow
- Auto Scaling de aplicaciones
- Application Discovery
- Application Discovery Arsenal
- Amazon AppStream 2.0
- AWS AppSync
- AWS Artifact
- Amazon Athena
- AWS Auto Scaling
- AWS Backup
- Almacenamiento de AWS Backup
- AWS Batch
- Facturación de AWS
- Amazon Braket
- Servicio de presupuesto de AWS
- AWS Certificate Manager
- AWS Certificate Manager Private Certificate Authority
- AWS Chatbot
- Amazon Chime
- Amazon Cloud Directory
- AWS Cloud Map
- AWS Cloud9
- AWS CloudFormation
- Amazon CloudFront
- AWS CloudHSM
- Amazon CloudSearch
- AWS CloudTrail
- Amazon CloudWatch
- CloudWatch Application Insights
- Amazon CloudWatch Logs
- Amazon CloudWatch Synthetics
- Firma de código de AWS para Amazon FreeRTOS
- AWS CodeArtifact
- AWS CodeBuild
- AWS CodeCommit
- AWS CodeDeploy
- Amazon CodeGuru
- Generador de perfiles de Amazon CodeGuru
- Amazon CodeGuru Reviewer
- AWS CodePipeline
- AWS CodeStar
- Conexiones de AWS CodeStar
- AWS CodeStar Notifications
- Identidad de Amazon Cognito
- Amazon Cognito Sync
- Grupos de usuarios de Amazon Cognito
- Amazon Comprehend
- Comprehend Medical
- Compute Optimizer
- AWS Config
- Amazon Connect
- AWS Connector Service
- Informe de uso y costos de AWS
- AWS Cost Explorer Service
- AWS Data Exchange
- Administrador de ciclo de vida de datos de Amazon
- Data Pipeline
- AWS Database Migration Service
- Database Query Metadata Service
- DataSync
- AWS DeepComposer
- AWS DeepLens
- AWS DeepRacer
- Amazon Detective
- AWS Device Farm
- AWS Direct Connect
- AWS Directory Service
- Amazon DynamoDB
- Amazon DynamoDB Accelerator (DAX)
- Amazon EC2
- Auto Scaling de Amazon EC2
- Amazon EC2 Image Builder
- Amazon EC2 Instance Connect
- AWS Elastic Beanstalk
- Amazon Elastic Block Store (EBS)
- Amazon Elastic Container Registry
- Amazon Elastic Container Service
- Amazon Elastic Container Service for Kubernetes
- Amazon Elastic File System
- Amazon Elastic Inference
- Elastic Load Balancing
- Elastic Load Balancing V2
- Amazon Elastic MapReduce
- Amazon Elastic Transcoder
- Amazon ElastiCache
- Amazon Elasticsearch Service
- Elemental Activations
- Software y dispositivos de AWS Elemental
- AWS Elemental MediaConnect
- AWS Elemental MediaConvert
- AWS Elemental MediaLive
- AWS Elemental MediaPackage
- AWS Elemental MediaPackage VOD
- AWS Elemental MediaStore
- AWS Elemental MediaTailor
- Amazon EventBridge
- Esquemas de Amazon EventBridge
- AWS Firewall Manager
- Amazon Forecast
- Amazon Fraud Detector
- Amazon FreeRTOS
- Amazon FSx
- Amazon GameLift
- Amazon Glacier
- AWS Global Accelerator
- AWS Glue
- AWS Ground Station
- Amazon GroundTruth Labeling
- Amazon GuardDuty
- AWS Health APIs and Notifications
- Amazon Honeycode
- IAM Access Analyzer
- Identity and Access Management
- Tienda de AWS Identity
- Servicio AWS Import Export Disk
- Amazon Inspector
- Amazon Interactive Video Service
- AWS IoT
- AWS IoT 1-Click
- AWS IoT Analytics
- AWS IoT Device Tester
- AWS IoT Events
- AWS IoT Greengrass
- AWS IoT SiteWise
- AWS IoT Things Graph
- AWS IQ
- Permisos de AWS IQ
- Amazon Kendra
- AWS Key Management Service
- Amazon Keyspaces (para Apache Cassandra)
- Amazon Kinesis
- Amazon Kinesis Analytics
- Amazon Kinesis Analytics V2
- Amazon Kinesis Firehose
- Amazon Kinesis Video Streams
- AWS Lake Formation
- AWS Lambda
- Asistente de inicio
- Amazon Lex
- AWS License Manager
- Amazon Lightsail
- Amazon Machine Learning
- Amazon Macie
- Amazon Macie Classic
- Manage Amazon API Gateway
- Amazon Managed Blockchain
- Amazon Managed Streaming for Apache Kafka
- AWS Marketplace
- AWS Marketplace Catalog
- Servicio de concesión de derechos de AWS Marketplace
- Servicio de compilación de imágenes de AWS Marketplace
- AWS Marketplace Management Portal
- Servicio de medición de AWS Marketplace
- Integración del sistema de compras de AWS Marketplace
- Amazon Mechanical Turk
- Servicio de entrega de mensajes de Amazon
- AWS Migration Hub
- Amazon Mobile Analytics
- AWS Mobile Hub
- Amazon MQ
- Amazon Neptune
- Administrador de red
- AWS OpsWorks
- Administración de la configuración de AWS OpsWorks
- AWS Organizations
- AWS Outposts
- AWS Performance Insights
- Amazon Personalize
- Amazon Pinpoint
- Amazon Pinpoint Email Service
- Amazon Pinpoint SMS and Voice Service
- Amazon Polly
- Lista de precios de AWS
- AWS Private Marketplace
- Consola de órdenes de compra de AWS
- Amazon QLDB
- Amazon QuickSight
- Amazon RDS
- API de datos de Amazon RDS
- Autenticación IAM de Amazon RDS
- Amazon Redshift
- Tipos de datos de Amazon Redshift
- Amazon Rekognition
- AWS Resource Access Manager
- API de etiquetado de grupos de recursos de Amazon
- AWS Resource Groups
- AWS RoboMaker
- Amazon Route 53
- Amazon Route 53 Resolver
- Amazon Route53 Domains
- Amazon S3
- Amazon S3 en Outposts
- Amazon SageMaker
- AWS Savings Plans
- AWS Secrets Manager
- AWS Security Hub
- AWS Security Token Service
- AWS Server Migration Service
- AWS Serverless Application Repository
- AWS Service Catalog
- Cuotas de servicio
- Amazon SES
- Amazon Session Manager Message Gateway Service
- AWS Shield
- Amazon Simple Workflow Service
- Amazon SimpleDB
- AWS Snowball
- Amazon SNS
- Amazon SQS
- AWS SSO
- AWS SSO Directory
- AWS Step Functions
- Amazon Storage Gateway
- Amazon Sumerian
- AWS Support
- AWS Systems Manager
- AWS Tag Editor
- Amazon Textract
- AWS Timestream
- Amazon Transcribe
- AWS Transfer for SFTP
- Amazon Translate
- AWS Trusted Advisor
- AWS WAF
- AWS WAF Regional
- AWS WAF V2
- AWS Well-Architected Tool
- Amazon WorkDocs
- Amazon WorkLink
- Amazon WorkMail
- Flujo de mensajes de Amazon WorkMail
- Amazon WorkSpaces
- Amazon WorkSpaces Application Manager
- AWS X-Ray