Elementos de política JSON de IAM: Action
El elemento Action
describe la acción o las acciones específicas que se permitirán o denegarán. Las instrucciones deben incluir un elemento Action
o un elemento NotAction
. Cada servicio de AWS tiene su propio conjunto de acciones que describen las tareas que se pueden realizar con dicho servicio. Por ejemplo, la lista de acciones para Amazon S3 se puede encontrar en Especificación de permisos en una política en la Guía del usuario de Amazon Simple Storage Service. Puede encontrar la lista de acciones de Amazon EC2 en la Referencia de la API de Amazon EC2 y la lista de acciones de AWS Identity and Access Management se puede encontrar en la Referencia de la API de IAM. Para encontrar la lista de acciones de otros servicios, consulte la documentación
Los valores se especifican utilizando un espacio de nombres de servicio como un prefijo de acción (iam
, ec2
, sqs
, sns
, s3
, etc.) seguido del nombre de la acción que debe permitirse o denegarse. El nombre debe coincidir con una acción compatible con el servicio. El prefijo y el nombre de acción no distinguen entre mayúsculas y minúsculas. Por ejemplo, iam:ListAccessKeys
es igual que IAM:listaccesskeys
. En los siguientes ejemplos se muestran elementos Action
de diferentes servicios.
Acción de Amazon SQS
"Action": "sqs:SendMessage"
Acción de Amazon EC2
"Action": "ec2:StartInstances"
Acción de IAM
"Action": "iam:ChangePassword"
Acción de Amazon S3
"Action": "s3:GetObject"
Puede especificar varios valores para el elemento Action
.
"Action": [ "sqs:SendMessage", "sqs:ReceiveMessage", "ec2:StartInstances", "iam:ChangePassword", "s3:GetObject" ]
Puede utilizar un asterisco (*) para otorgar acceso a todas las acciones que el producto de AWS específico ofrece. Por ejemplo, el elemento Action
siguiente se aplica a todas las acciones de S3.
"Action": "s3:*"
También puede utilizar caracteres comodín (*) como parte del nombre de la acción. Por ejemplo, el elemento Action
siguiente se aplica a todas las acciones de IAM que contienen la cadena AccessKey
, como CreateAccessKey
, DeleteAccessKey
, ListAccessKeys
y UpdateAccessKey
.
"Action": "iam:*AccessKey*"
Algunos servicios le permiten limitar las acciones que están disponibles. Por ejemplo, Amazon SQS le permite hacer que esté disponible solo un subconjunto de todas las acciones de Amazon SQS posibles. En ese caso, el comodín *
no permite un control completo de la cola, simplemente permite únicamente el subconjunto de acciones que ha compartido. Para obtener más información, consulte Explicación de permisos en la Guía del desarrollador de Amazon Simple Queue Service.