AWS Identity and Access Management
Guía del usuario

Claves de condición, recursos y acciones de los servicios de AWS

Cada servicio de AWS puede definir acciones, recursos y claves de contexto de condiciones para su uso en políticas de IAM. En este tema se describe cómo se documentan los elementos proporcionados para cada servicio.

Cómo leer las tablas

Cada tema se compone de tablas que proporcionan la lista de las acciones, los recursos y las claves de condición disponibles.

Tabla Acciones

La tabla Actions (Acciones) muestra todas las acciones que puede utilizar en un elemento Action de la declaración de política de IAM. No todas las operaciones de API que se definen mediante un servicio se pueden utilizar como una acción en una política de IAM. Además, un servicio puede definir algunas acciones que no se corresponden directamente con una operación de API. Utilice esta lista para determinar qué acciones se pueden utilizar en una política de IAM. Para obtener más información sobre el elemento Action, Resource o Condition, consulte Referencia de los elementos de las políticas de IAM. Las columnas Actions (Acciones) y Description (Descripción) de la tabla son descriptivas.

  • La columna Access Level (Nivel de acceso) describe cómo se clasifica la acción (Lista, administración de permisos, lectura y escritura o etiquetado). Esta clasificación puede ayudarle a entender el nivel de acceso que una acción concede cuando se utiliza en una política. Para obtener más información acerca de los niveles de acceso, consulte Descripción de los resúmenes de nivel de acceso en los resúmenes de políticas.

  • La columna Resource Types (Tipos de recursos) indica si la acción admite permisos de nivel de recursos. Si la columna está vacía, la acción no admite permisos de nivel de recursos y debe especificar todos los recursos ("*") en su política. Si la columna incluye un tipo de recurso, puede especificar el ARN del recurso en el elemento Resource de la política. Para obtener más información acerca de dicho recurso, consulte esa fila en la tabla Tipos de recursos. Todas las acciones y los recursos que se incluyen en una declaración deben ser compatibles entre sí. Si especifica un recurso que no es válido para la acción, cualquier solicitud de uso de dicha acción dará error y el Effect de la declaración no se aplica.

    Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

  • La columna Condition Keys (Claves de condición) incluye claves que puede especificar en el elemento Condition de una declaración de política. Las claves de condición pueden ser compatibles con una acción o con una acción y un recurso específico. Preste especial atención a si la clave está en la misma fila que un tipo de recurso específico. Esta tabla no incluye las claves de condición globales que están disponibles para cualquier acción o en circunstancias no relacionadas. Para obtener más información acerca de las claves de condición, consulte Claves de contexto de condición globales de AWS.

  • La columna Dependent Actions (Acciones dependientes) incluye permisos adicionales que debe tener, además del permiso para la acción en sí, para llamar correctamente a la acción. Esto puede ser necesario si la acción obtiene acceso a más de un recurso.

Tabla Tipos de recursos

La tabla Tipos de recurso muestra todos los tipos de recursos que puede especificar como ARN en el elemento de política Resource. No todos los tipos de recursos se pueden especificar con cada acción. Algunos tipos de recursos funcionan solo con determinadas acciones. Si especifica un tipo de recurso en una instrucción con una acción que no admite ese tipo de recurso, la instrucción no permite el acceso. Para obtener más información sobre el elemento Resource, consulte Elemento de la política de JSON de IAM: Resource.

  • La columna ARN especifica el formato de nombre de recurso de Amazon (ARN) que debe utilizar para hacer referencia a los recursos de este tipo. Las partes precedidas por $ deben sustituirse por los valores reales de su escenario. Por ejemplo, si se ve $user-name en un ARN, debe sustituir esa cadena por el nombre de usuario real de IAM o una variable de política que contenga un nombre de usuario de IAM. Para obtener más información acerca de los ARN (nombre de recurso de Amazon), consulte Nombres de recursos de Amazon (ARN) y espacios de nombres de servicios de AWS.

  • La columna Condition Keys (Claves de condición) especifica las claves de contexto de condiciones que puede incluir en una declaración de política de IAM solo cuando se incluyen en la declaración este recurso y una acción de apoyo de la tabla anterior.

Tabla Claves de condición

La tabla Claves de condición muestra todas las claves de contexto de condiciones que puede utilizar en un elemento Condition de la declaración de política de IAM. No todas las claves se pueden especificar con cada acción o recurso. Algunas solo funcionan con determinados tipos de acciones y recursos. Para obtener más información sobre el elemento Condition, consulte Elemento de la política de JSON de IAM: Condition.

  • La columna Type (Tipo) especifica el tipo de datos de la clave de condición. Este tipo de datos determina qué operadores de condición puede usar para comparar los valores de la solicitud con los valores de la declaración de política. Debe utilizar un operador que sea adecuado para el tipo de datos. Si utiliza un operador incorrecto, no habrá coincidencias y la declaración de política no se aplica.

    Si la columna Type (Tipo) especifica una "Lista de..." uno de los tipos sencillos, puede utilizar los prefijos del conjunto de condiciones con sus operadores. Estos prefijos incluyen: ForAllValues para especificar que todos los valores de la solicitud debe coincidir con un valor de la declaración, y ForAnyValue para especificar que al menos un valor de la solicitud coincide con uno de los valores de la declaración de política.

Temas

En esta página: