AWS Identity and Access Management
Guía del usuario

Claves de contexto de condición globales de AWS

Cuando una entidad principal realiza una solicitud a AWS, AWS recopila la información de la solicitud en un contexto de solicitud. Puede utilizar el elemento Condition de una política JSON para comparar el contexto de la solicitud con los valores que especifique en su política. Para obtener más información sobre las circunstancias en las que se incluye una clave global en el contexto de la solicitud, consulte la información de Disponibilidad de cada clave de condición global. Para obtener información sobre cómo utilizar el elemento Condition en una política de JSON, consulte Elementos de política JSON de IAM: Condition.

nota

Si utiliza claves de condición que solo están disponibles en algunas circunstancias, puede utilizar las versiones IfExists de los operadores de condición. Si faltan las claves de condición de un contexto de solicitud, la política podría generar un error en la evaluación. Por ejemplo, utilice la siguiente bloque de condiciones con ...IfExists para satisfacer cuando una solicitud específica proviene de un rango de direcciones IP o de una VPC específica. Si no se incluye alguna o ambas claves en el contexto de la solicitud, la condición sigue devolviendo true. Los valores solo se comprueban si la clave especificada se incluye en el contexto de la solicitud.

"Condition": { "IpAddressIfExists": {"aws:SourceIp" : ["xxx"] }, "StringEqualsIfExists" : {"aws:SourceVpc" : ["yyy"]} }

Las claves de condición globales son claves de condición con un prefijo aws:. Los servicios de AWS pueden proporcionar claves específicas de servicios que incluyen el prefijo de servicio. Por ejemplo, las claves de condición de IAM incluyen el prefijo iam:. Para obtener más información, consulte Claves de condición, recursos y acciones de los servicios de AWS y elija el servicio cuyas claves desea ver.

aws:CurrentTime

Funciona con operadores de fecha.

Utilice esta clave para comparar la fecha y la hora de la solicitud con la fecha y la hora que especifique en la política.

  • Disponibilidad: esta clave siempre se incluye en el contexto de la solicitud.

aws:EpochTime

Funciona con operadores de fecha o numéricos operadores.

Utilice esta clave para comparar la fecha y hora de la solicitud en formato de tiempo epoch o Unix con el valor que especifique en la política. Esta clave también acepta el número de segundos desde el 1 de enero de 1970.

  • Disponibilidad: esta clave siempre se incluye en el contexto de la solicitud.

aws:MultiFactorAuthAge

Funciona con operadores numéricos.

Utilice esta clave para comparar el número de segundos desde que se autorizó a la entidad principal solicitante mediante MFA con el número especificado en la política. Para obtener más información acerca de MFA, consulte Uso de Multi-Factor Authentication (MFA) en AWS.

  • Disponibilidad: esta clave se incluye en el contexto de la solicitud solo si la entidad principal se ha autenticado mediante MFA. La clave no estará presente si no se ha utilizado la MFA.

aws:MultiFactorAuthPresent

Funciona con operadores booleanos.

Utilice esta clave para comprobar si se utilizó la autenticación multifactor (MFA) para validar las credenciales de seguridad temporales que realizó la solicitud.

  • Disponibilidad: esta clave se incluye en el contexto de la solicitud solo cuando la entidad principal utiliza credenciales temporales para realizar la solicitud. La clave no está presente en la AWS CLI, la API de AWS ni las solicitudes del SDK de AWS realizadas con credenciales a largo plazo.

Las credenciales temporales se utilizan para autenticar roles de IAM, usuarios federados, usuarios de IAM con tokens temporales de sts:GetSessionToken y usuarios de la Consola de administración de AWS. Los usuarios de IAM en la Consola de administración de AWS utilizan sin saberlo credenciales temporales. Los usuarios inician sesión en la consola con su nombre de usuario y contraseña, que son credenciales a largo plazo. Sin embargo, en segundo plano, la consola genera credenciales temporales en nombre del usuario. Para obtener información sobre los servicios que admiten el uso de credenciales temporales, consulte Servicios de AWS que funcionan con IAM.

La clave aws:MultiFactorAuthPresent nunca está presente cuando se llama a una API o a un comando de la CLI con credenciales a largo plazo, como los pares de claves de acceso de usuario. Por lo tanto, le recomendamos que cuando compruebe esta clave utilice las versiones ...IfExists de los operadores de condición.

Es importante entender que el siguiente elemento Conditionno es una forma fiable de comprobar si una solicitud se ha autenticado mediante MFA:

##### WARNING: NOT RECOMMENDED ##### "Effect" : "Deny", "Condition" : { "Bool" : { "aws:MultiFactorAuthPresent" : false } }

Esta combinación del efecto Deny, el elemento Bool y el valor false deniega las solicitudes que se pueden autenticar con MFA, pero que no han sido autenticadas de ese modo. Se aplica únicamente a las credenciales temporales que admiten el uso de MFA. Esta instrucción no deniega el acceso a las solicitudes realizadas con las credenciales a largo plazo ni a las solicitudes que se han autenticado con MFA. Utilice este ejemplo con precaución ya que su lógica es complicada y no comprueba si realmente se usó la autenticación tipo MFA.

Además no utilice la combinación del efecto Deny, el elemento Null y true ya que se comporta de la misma manera y la lógica es incluso más complicada.

Combinación recomendada

Le recomendamos que utilice el operador BoolIfExists para comprobar si se ha autenticado una solicitud con MFA.

"Effect" : "Deny", "Condition" : { "BoolIfExists" : { "aws:MultiFactorAuthPresent" : false } }

Esta combinación de Deny, BoolIfExists y false deniega las solicitudes que no están autenticadas con MFA. En concreto, deniega las solicitudes de credenciales temporales que no incluyen MFA. También deniega las solicitudes realizadas con credenciales a largo plazo, como las operaciones de la AWS CLI o de la API de AWS realizadas con claves de acceso. El operador *IfExists comprueba la presencia de la clave aws:MultiFactorAuthPresent y si podría estar presente o no, como lo indica su existencia. Utilícelo cuando desee denegar solicitudes que no están autenticadas con MFA. Esto es más seguro, pero puede interrumpir cualquier código o script que utilice claves de acceso para obtener acceso a la AWS CLI o la API de AWS.

Combinaciones alternativas

También puede utilizar el operador BoolIfExists para permitir solicitudes autenticadas con MFA y solicitudes de la AWS CLI o la API de AWS realizadas con las credenciales a largo plazo.

"Effect" : "Allow", "Condition" : { "BoolIfExists" : { "aws:MultiFactorAuthPresent" : true } }

Esta condición coincide tanto si la clave existe y está presente como si la clave no existe. Esta combinación de Allow, BoolIfExists y true permite solicitudes autenticadas mediante MFA o solicitudes que no pueden autenticarse con MFA. Esto significa que las operaciones de la AWS CLI, la API de AWS y el SDK de AWS están permitidas cuando el solicitante utiliza sus claves de acceso a largo plazo. Esta combinación no permite solicitudes de credenciales temporales que podrían, pero no incluyen MFA.

Al crear una política con el editor visual de la consola de IAM y elegir MFA required (MFA requerida), se aplica esta combinación. Esta configuración requiere MFA para acceso a la consola, pero permite el acceso mediante programación sin MFA.

También puede utilizar el operador Bool para permitir solicitudes programáticas y de consola solo cuando se autentique mediante MFA.

"Effect" : "Allow", "Condition" : { "Bool" : { "aws:MultiFactorAuthPresent" : true } }

Esta combinación de Allow, Bool y true permite solo las solicitudes autenticadas con MFA. Se aplica únicamente a las credenciales temporales que admiten el uso de MFA. Esta instrucción no permite el acceso a las solicitudes realizadas con las claves de acceso a largo plazo ni a las solicitudes realizadas con credenciales temporales sin MFA.

No utilice una estructura de política similar a la siguiente para comprobar si la clave de MFA está presente:

##### WARNING: USE WITH CAUTION ##### "Effect" : "Allow", "Condition" : { "Null" : { "aws:MultiFactorAuthPresent" : false } }

Esta combinación del efecto Allow, el elemento Null y el valor false permite únicamente las solicitudes que se pueden autenticar con MFA, independientemente de si la solicitud está, de hecho, autenticada. Esto permite todas las solicitudes que se realizan con credenciales temporales y deniega el acceso para las credenciales a largo plazo. Utilice este ejemplo con precaución ya que no comprueba si realmente se usó la autenticación tipo MFA.

aws:PrincipalAccount

Funciona con operadores de cadena.

Utilice esta clave para comparar la cuenta a la que pertenece la entidad principal solicitante con el identificador de cuenta que especifique en la política.

  • Disponibilidad: esta clave siempre se incluye en el contexto de la solicitud.

aws:PrincipalArn

Funciona con operadores ARN.

Utilice esta clave para comparar el nombre de recurso de Amazon (ARN) de la entidad principal que ha realizado la solicitud con el ARN que se especifique en la política. Para los roles de IAM, el contexto de solicitud devuelve el ARN del rol, no el ARN del usuario que asumió el rol. Para saber qué tipos de entidades principales puede especificar en esta clave de condición, consulte Especificación de un elemento principal.

  • Disponibilidad: esta clave siempre se incluye en el contexto de la solicitud.

aws:PrincipalOrgID

Funciona con operadores de cadena.

Utilice esta clave para comparar el identificador de la organización en AWS Organizations a la que pertenece la entidad principal solicitante con el identificador especificado en la política.

  • Disponibilidad: esta clave se incluye en el contexto de la solicitud solo si la entidad principal es miembro de una organización.

Esta clave global proporciona una alternativa a mostrar todos los ID de todas las cuentas de AWS de una organización. Puede usar esta clave de condición para simplificar la especificación del elemento Principal en una política basada en recursos. Puede especificar el ID de organización en el elemento de condición. Al añadir y quitar cuentas, las políticas que incluyan automáticamente la clave aws:PrincipalOrgID y incluirán automáticamente las cuentas correctas y no requerirán una actualización manual.

Por ejemplo, la siguiente política de bucket de Amazon S3 permite a los miembros de cualquier cuenta de la organización o-xxxxxxxxxxx añadir un objeto al bucket policy-ninja-dev.

{ "Version": "2012-10-17", "Statement": { "Sid": "AllowPutObject", "Effect": "Allow", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::policy-ninja-dev/*", "Condition": {"StringEquals": {"aws:PrincipalOrgID":["o-xxxxxxxxxxx"]} } } }

nota

Esta condición global también se aplica a la cuenta maestra de una organización de AWS.

Para obtener más información acerca de AWS Organizations, consulte ¿Qué es AWS Organizations? en la Guía del usuario de AWS Organizations.

aws:principalOrgPaths

Funciona con operadores de cadena.

Utilice esta clave para comparar la ruta de acceso de AWS Organizations de la entidad principal que realiza la solicitud a la ruta de acceso en la política. Ese principal puede ser un usuario de IAM, un rol de IAM, un usuario federado o Usuario de la cuenta raíz de AWS. En una política, esta clave de condición garantiza que el solicitante es un miembro de la cuenta dentro de la raíz de la organización o unidades organizativas (OU) especificadas en AWS Organizations. Una ruta AWS Organizations es una representación de texto de la estructura de una entidad Organizaciones. Para obtener más información sobre el uso y la comprensión de las rutas, consulte Comprender la ruta de la entidad AWS Organizations.

  • Disponibilidad: esta clave se incluye en el contexto de la solicitud solo si la entidad principal es miembro de una organización.

nota

Los ID de organización son únicos globalmente, pero los ID de unidad organizativa y los ID de raíz solo son únicos dentro de una organización. Esto significa que no hay dos organizaciones que compartan el mismo ID de organización. Sin embargo, otra organización puede tener una unidad organizativa o raíz con el mismo ID que la suya. Le recomendamos que incluya siempre el ID de organización cuando especifique una unidad organizativa o raíz.

Por ejemplo, la siguiente condición devuelve true para las entidades principales en cuentas que están asociadas directamente a la unidad organizativa ou-jkl0-awsddddd, pero no en sus unidades organizativas secundarias.

"Condition" : { "ForAnyValues:StringEquals" : { "aws:PrincipalOrgPaths":["o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/"] }}

La siguiente condición devuelve true para las entidades principales de una cuenta que está asociada directamente a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias. Cuando se incluye un comodín, se debe utilizar el operador de condición StringLike.

"Condition" : { "ForAnyValues:StringLike" : { "aws:PrincipalOrgPaths":["o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd*"] }}

La siguiente condición devuelve true para las entidades principales de una cuenta que está asociada directamente a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias.

"Condition" : { "ForAnyValues:StringLike" : { "aws:PrincipalOrgPaths":["o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/*"] }}

La siguiente condición permite el acceso a todas las entidades principales de la organización o-a1b2c3d4e5, independientemente de su unidad organizativa principal.

"Condition" : { "ForAnyValues:StringLike" : { "aws:PrincipalOrgPaths":["o-a1b2c3d4e5/*"] }}

aws:PrincipalOrgPaths es una clave de condición multivalor. Las claves multivalor incluyen uno o más valores en un formato de lista. El resultado es un OR lógico. Cuando se utilizan varios valores con el operador de condición ForAnyValues, la ruta de acceso de la entidad principal debe coincidir con una de las rutas enumeradas en la política. Para las políticas que incluyen varios valores para una única clave, debe incluir las condiciones entre corchetes, como una matriz ("Key": ["Value1", "Value2"]). También debe incluir estos corchetes cuando hay un solo valor. Para obtener más información acerca de las claves de condición multivalor, consulte Creación de una condición con varias claves o valores.

"Condition": { "ForAnyValues:StringLike": { "aws:PrincipalOrgPaths": [ "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/*", "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-jkl0-awsddddd/*" ] } }

aws:PrincipalTag

Funciona con operadores de cadena.

Utilice esta clave para comparar la etiqueta asociada a la entidad principal que realiza la solicitud con la etiqueta que especifique en la política. Si la entidad principal tiene más de una etiqueta asociada, el contexto de la solicitud incluye una clave aws:PrincipalTag para cada clave de etiqueta asociada.

  • Disponibilidad: Esta clave se incluye en el contexto de la solicitud si la entidad principal está usando un usuario de IAM con etiquetas asociadas. Se incluye para una entidad principal usando un rol de IAM con etiquetas asociadas o etiquetas de sesión.

Puede añadir atributos personalizados a un usuario o rol en forma de un par de clave-valor. Para obtener más información acerca de las etiquetas de IAM, consulte Etiquetado de usuarios y roles de IAM. Puede usar aws:PrincipalTag para controlar el acceso para principales de AWS.

En este ejemplo se muestra cómo crear una política que permite a los usuarios con la etiqueta tagManager=true administrar usuarios, grupos o roles de IAM.Para utilizar esta política, sustituya el texto rojo en cursiva del ejemplo de política por su propia información.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:*", "Resource": "*", "Condition": {"StringEquals": {"aws:PrincipalTag/tagManager": "true"}} } ] }

aws:PrincipalType

Funciona con operadores de cadena.

Utilice esta clave para comparar el tipo de entidad principal que realiza la solicitud con el tipo de entidad principal que especifique en la política. Para obtener más información sobre cómo aparece la información en el contexto de solicitud para diferentes entidades principales, consulte Especificación de un elemento principal.

  • Disponibilidad: esta clave siempre se incluye en el contexto de la solicitud.

aws:Referer

Funciona con operadores de cadena.

Utilice esta clave para comparar quién hizo referencia a la solicitud en el navegador cliente con el remitente que especificó en la política. El valor de contexto de la solicitud aws:referer lo proporciona el intermediario en un encabezado HTTP.

  • Disponibilidad: esta clave se incluye en el contexto de la solicitud solo si la solicitud se invocó mediante una URL en el navegador.

Por ejemplo, puede llamar a las operaciones de la API de Amazon S3 directamente mediante un navegador web. Esto significa que puede ver objetos de S3, como imágenes y documentos, directamente a través de un navegador web. La condición aws:referer le permite restringir el acceso a valores específicos en la solicitud HTTP o HTTPS en función del valor del encabezado de remitente.

aviso

Esta clave debe utilizarse con cuidado. Es peligroso incluir un valor de encabezado de referencia conocido públicamente. Las partes no autorizadas podrían usar navegadores personalizados o modificados para proporcionar cualquier valor aws:referer que eligieran. En consecuencia, aws:referer no debe utilizarse para impedir que las partes no autorizadas realicen solicitudes AWS de forma directa. Se ofrece únicamente para que los clientes puedan proteger su contenido digital, como contenido almacenado en Amazon S3 de referencias desde sitios de terceros no autorizados.

aws:RequestedRegion

Funciona con operadores de cadena.

Utilice esta clave para comparar la región de AWS a la que se llamó en la solicitud con la región que ha especificado en la política. Puede utilizar esta clave de condición global para controlar qué regiones se pueden solicitar. Para ver la lista de regiones de AWS para cada servicio, consulte Regiones y puntos de enlace de AWS en la Referencia general de Amazon Web Services.

  • Disponibilidad: esta clave siempre se incluye en el contexto de la solicitud.

Algunos servicios globales, como IAM, tienen un único punto de enlace. Dado que este punto de enlace se encuentra físicamente en la región , las llamadas a US East (N. Virginia) se hacen siempre a la región IAM. Por ejemplo, si crea una política que deniegue el acceso a todos los servicios cuando la región solicitada no sea us-west-2, las llamadas a IAM siempre generan un error. Para ver un ejemplo de cómo evitar este problema, consulte NotAction con Deny.

nota

La clave de condición aws:RequestedRegion le permite controlar qué punto de enlace de un servicio se invoca, pero no controlar el impacto de la operación. Algunos servicios afectan a varias regiones. Por ejemplo, Amazon S3 tiene operaciones de API que controlan la replicación entre regiones. Puede invocar s3:PutBucketReplication en una región (lo que se consigue con la clave de condición aws:RequestedRegion), pero afectar también a otras regiones en función de las opciones de configuración de replicaciones.

Puede usar esta clave de contexto para limitar el acceso a los servicios de AWS a un conjunto de regiones determinado. Por ejemplo, la política siguiente permite a un usuarios ver todas las instancias Amazon EC2 en la Consola de administración de AWS. Sin embargo, solo permite realizar cambios en las instancias de Irlanda (eu-west-1), Londres (eu-west-2) o París (eu-west-3).

{ "Version": "2012-10-17", "Statement": [ { "Sid": "InstanceConsoleReadOnly", "Effect": "Allow", "Action": [ "ec2:Describe*", "ec2:Export*", "ec2:Get*", "ec2:Search*" ], "Resource": "*" }, { "Sid": "InstanceWriteRegionRestricted", "Effect": "Allow", "Action": [ "ec2:Associate*", "ec2:Import*", "ec2:Modify*", "ec2:Monitor*", "ec2:Reset*", "ec2:Run*", "ec2:Start*", "ec2:Stop*", "ec2:Terminate*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestedRegion": [ "eu-west-1", "eu-west-2", "eu-west-3" ] } } } ] }

aws:RequestTag/clave-etiqueta

Funciona con operadores de cadena.

Utilice esta clave para comparar el par clave-valor de etiqueta que se transfirió en la solicitud con el par de etiquetas especificado en la política. Por ejemplo, podría comprobar si la solicitud incluya la clave de etiqueta "Dept" y que tenga el valor "Accounting". Para obtener más información, consulte Control del acceso durante solicitudes de AWS.

  • Disponibilidad:esta clave se incluye en el contexto de la solicitud cuando se transfieren etiquetas en la solicitud. Cuando se transfieren varias etiquetas en la solicitud, hay una clave de contexto para cada par clave-valor de etiqueta.

Esta clave de contexto tiene el formato "aws:RequestTag/tag-key":"tag-value", donde tag-key y tag-value son un par formado por una clave y un valor.

Dado que puede incluir varios pares clave-valor de etiqueta en una solicitud, el contenido de la solicitud podría ser una solicitud con varios valores. En este caso, debería plantearse el uso de los operadores de conjunto ForAllValues o ForAnyValue. Para obtener más información, consulte Uso de varias claves y valores.

aws:ResourceTag/tag-key

Funciona con operadores de cadena.

Utilice esta clave para comparar el par clave-valor de etiqueta que especifique en la política con el par clave-valor asociado al recurso. Por ejemplo, puede requerir que el acceso a un recurso solo se permita si el recurso tiene la clave de etiqueta "Dept" adjunta con el valor "Marketing". Para obtener más información, consulte Control del acceso a los recursos de AWS.

  • Disponibilidad: esta clave se incluye en el contexto de la solicitud cuando el recurso solicitado ya tiene etiquetas asociadas. Hay una clave de contexto para cada par clave-valor de etiqueta.

Esta clave de contexto tiene el formato "aws:ResourceTag/tag-key":"tag-value", donde tag-key y tag-value son un par formado por una clave y un valor.

aws:SecureTransport

Funciona con operadores booleanos.

Utilice esta clave para comprobar si la solicitud se envió mediante SSL. El contexto de la solicitud devuelve true o false. En una política, solo puede permitir acciones específicas si la solicitud se envía mediante SSL.

  • Disponibilidad: esta clave siempre se incluye en el contexto de la solicitud.

aws:SourceAccount

Funciona con operadores de cadena.

Utilice esta clave para comparar el origen de la solicitud con el ID de cuenta que especifique en la política. Por ejemplo, supongamos que tiene un bucket de Amazon S3 en su cuenta configurado para enviar eventos de creación de objetos a un tema de Amazon SNS. En ese caso, podría utilizar esta clave de condición para comprobar que Amazon S3 no se está utilizando como un suplente confuso. Amazon S3 indica a Amazon SNS la cuenta a la que pertenece el bucket.

  • Disponibilidad: esta clave se incluye en el contexto de la solicitud solo si un recurso activa un servicio para llamar a otro servicio en nombre del propietario del recurso.

aws:SourceArn

Funciona con operadores ARN.

Utilice esta clave para comparar el origen de la solicitud con el nombre de recurso de Amazon (ARN) que especifique en la política. Por ejemplo, cuando una actualización de bucket de Amazon S3 activa la publicación de un tema de Amazon SNS, el servicio Amazon S3 invoca la operación sns:Publish de la API. El bucket se considera el origen de la solicitud de SNS y el valor de la clave es el ARN del bucket. Esta clave no funciona con el ARN de la entidad principal que realiza la solicitud. En su lugar, use aws:PrincipalArn.

  • Disponibilidad: esta clave se incluye en el contexto de la solicitud solo si un recurso activa un servicio para llamar a otro servicio en nombre del propietario del recurso.

El ARN del origen incluye el ID de cuenta, por lo que no es necesario utilizar aws:SourceAccount con aws:SourceArn.

aws:SourceIp

Funciona con operadores de direcciones IP.

Utilice esta clave para comparar la dirección IP del solicitante con la dirección IP que especifique en la política. Para obtener más información sobre los operadores de condición que puede utilizar con esta clave, consulte Operadores de condición de dirección IP.

  • Disponibilidad: esta clave se incluye en el contexto de la solicitud, excepto cuando el solicitante utiliza un punto de enlace de la VPC para realizar la solicitud.

La clave de condición aws:SourceIp se puede utilizar en una política para permitir que las entidades principales realicen solicitudes solo desde un rango de IP especificado. Sin embargo, esta política denegaría el acceso a un servicio de AWS que realiza llamadas en su nombre. Por ejemplo, suponga que AWS CloudFormation utiliza un rol de servicio para llamar a Amazon EC2 para detener una instancia. En este caso, la solicitud se deniega porque el servicio de destino (Amazon EC2) ve la dirección IP del servicio de llamada (AWS CloudFormation). El contexto de la solicitud no incluye la dirección IP del usuario de origen. No hay modo de transferir la dirección IP de origen mediante un servicio de llamada al servicio de destino para que lo evalúe una política de JSON.

Si la solicitud proviene de un host que utiliza un punto de enlace de Amazon VPC, entonces la clave aws:SourceIp no estará disponible. En su lugar, debe utilizar una clave específica de la VPC, como aws: VpcSourceIp. Para obtener más información sobre el uso de puntos de enlace de VPC, consultePuntos de conexión de la VPC - Control del uso de puntos de conexión en la Guía del usuario de Amazon VPC.

aws:SourceVpc

Funciona con operadores de cadena.

Utilice esta clave para comprobar si la solicitud proviene de la VPC que especifique en la política. En una política, puede utilizar esta clave para permitir el acceso solo a una VPC específica. Para obtener más información, consulte Restricción del acceso a una VPC específica en la Guía para desarrolladores de Amazon Simple Storage Service.

  • Disponibilidad: esta clave se incluye en el contexto de la solicitud solo si el solicitante utiliza un punto de enlace de la VPC para realizar la solicitud.

aws:SourceVpce

Funciona con operadores de cadena.

Utilice esta clave para comparar el identificador de punto de enlace de la VPC de la solicitud con el ID de punto de enlace que especifique en la política. En una política, puede utilizar esta clave para restringir el acceso a un punto de enlace de la VPC específico. Para obtener más información, consulte Restricción del acceso a un punto de enlace de la VPC específico en la Guía para desarrolladores de Amazon Simple Storage Service.

  • Disponibilidad: esta clave se incluye en el contexto de la solicitud solo si el solicitante utiliza un punto de enlace de la VPC para realizar la solicitud.

aws:TagKeys

Funciona con operadores de cadena.

Utilice esta clave para comparar las claves de etiqueta de una solicitud con las claves que especifique en la política. Como práctica recomendada cuando utilice políticas para controlar el acceso mediante etiquetas, utilice la clave de condición aws:TagKeys para definir lo que se permite realizar a las claves de etiqueta. Para obtener más información y políticas de ejemplo, consulte Control del acceso en función de las claves de etiqueta.

  • Disponibilidad: esta clave se incluye en el contexto de la solicitud solo si la operación permite asociar etiquetas a recursos.

Esta clave de contexto tiene el formato "aws:TagKeys":"tag-key", donde tag-key es una lista de claves de etiqueta sin valores (por ejemplo, ["Dept","Cost-Center"]).

Dado que puede incluir varios pares clave-valor de etiqueta en una solicitud, el contenido de la solicitud podría ser una solicitud con varios valores. En este caso, debería plantearse el uso de los operadores de conjunto ForAllValues o ForAnyValue. Para obtener más información, consulte Uso de varias claves y valores.

Algunos servicios admiten el etiquetado con las operaciones del recurso, como, por ejemplo, crear, modificar o eliminar un recurso. Para permitir el etiquetado y las operaciones como una sola llamada, debe crear una política que incluya tanto la acción de etiquetado como la acción de modificación del recurso. A continuación, puede utilizar la clave de condición aws:TagKeys para imponer el uso de claves de etiqueta específicas en la solicitud. Por ejemplo, para limitar las etiquetas cuando alguien crea una instantánea de Amazon EC2, debe incluir la acción de creación ec2:CreateSnapshot y la acción de etiquetado ec2:CreateTags en la política. Para ver una política para este escenario que utiliza aws:TagKeys, consulte Crear una instantánea con etiquetas en la Guía del usuario de Amazon EC2 para instancias de Linux.

aws:TokenIssueTime

Funciona con operadores de fecha.

Utilice esta clave para comparar la fecha y la hora en que se emitieron las credenciales de seguridad temporales con la fecha y hora que especifique en la política.

  • Disponibilidad: esta clave se incluye en el contexto de la solicitud solo cuando la entidad principal utiliza credenciales temporales para realizar la solicitud. Estas claves no están presentes en solicitudes de la AWS CLI, la API de AWS o el SDK de AWS realizadas con claves de acceso.

Para obtener información sobre los servicios que admiten el uso de credenciales temporales, consulte Servicios de AWS que funcionan con IAM.

aws:UserAgent

Funciona con operadores de cadena.

Utilice esta clave para comparar la aplicación cliente del solicitante con la aplicación que especifique en la política.

  • Disponibilidad: esta clave siempre se incluye en el contexto de la solicitud.

aviso

Esta clave debe utilizarse con cuidado. Puesto que el valor aws:UserAgent lo proporciona el intermediario en un encabezado HTTP, partes no autorizadas podrían usar navegadores personalizados o modificados para proporcionar cualquier valor aws:UserAgent que eligieran. En consecuencia, aws:UserAgent no debe utilizarse para impedir que las partes no autorizadas realicen solicitudes AWS de forma directa. Puede utilizarlo para permitir únicamente aplicaciones cliente específicas y solo después de probar su política.

aws:userid

Funciona con operadores de cadena.

Utilice esta clave para comparar el identificador principal del solicitante con el ID que especifique en la política. Para los usuarios de IAM, el valor del contexto de la solicitud es el ID de usuario. Para roles de IAM, este formato de valor puede variar. Para obtener más información sobre cómo aparece la información para diferentes entidades principales, consulte Especificación de un elemento principal.

  • Disponibilidad: esta clave se incluye en el contexto de solicitud de todas las solicitudes firmadas. Las solicitudes anónimas no incluyen esta clave.

aws:username

Funciona con operadores de cadena.

Utilice esta clave para comparar el nombre de usuario del solicitante con el nombre de usuario que especifique en la política. Para obtener más información sobre cómo aparece la información para diferentes entidades principales, consulte Especificación de un elemento principal.

  • Disponibilidad: esta clave siempre se incluye en el contexto de solicitud para los usuarios de IAM. Las solicitudes anónimas y las solicitudes que se realizan con los roles de Usuario de la cuenta raíz de AWS o IAM no incluyen esta clave.

aws:VpcSourceIp

Funciona con operadores de direcciones IP.

Utilice esta clave para comparar la dirección IP desde la que se realizó una solicitud con la dirección IP que ha especificado en la política. En una política, la clave coincide solo si la solicitud proviene de la dirección IP especificada y pasa a través de un punto de enlace de la VPC.

  • Disponibilidad: esta clave se incluye en el contexto de la solicitud solo si la solicitud se realiza mediante un punto de enlace de la VPC.

Para obtener más información, consulte Controlar el acceso a servicios con puntos de enlace de la VPC en la Guía del usuario de Amazon VPC.