Acciones, recursos y claves de condición para AWS Security Token Service - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para AWS Security Token Service

AWS Security Token Service (prefijo de servicio: sts) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para usarse en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS Security Token Service

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Actions Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AssumeRole Otorga permiso para obtener un conjunto de credenciales de seguridad temporales que puede utilizar para acceder a recursos de AWS a los que normalmente usted no tendría acceso. Write

role*

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

sts:ExternalId

sts:RoleSessionName

iam:ResourceTag/${TagKey}

sts:SourceIdentity

aws:SourceIdentity

AssumeRoleWithSAML Otorga permiso para obtener un conjunto de credenciales de seguridad temporales para los usuarios que han sido autenticados a través de una respuesta de autenticación SAML. Write

role*

saml:namequalifier

saml:sub

saml:sub_type

saml:aud

saml:iss

saml:doc

saml:cn

saml:commonName

saml:eduorghomepageuri

saml:eduorgidentityauthnpolicyuri

saml:eduorglegalname

saml:eduorgsuperioruri

saml:eduorgwhitepagesuri

saml:edupersonaffiliation

saml:edupersonassurance

saml:edupersonentitlement

saml:edupersonnickname

saml:edupersonorgdn

saml:edupersonorgunitdn

saml:edupersonprimaryaffiliation

saml:edupersonprimaryorgunitdn

saml:edupersonprincipalname

saml:edupersonscopedaffiliation

saml:edupersontargetedid

saml:givenName

saml:mail

saml:name

saml:organizationStatus

saml:primaryGroupSID

saml:surname

saml:uid

saml:x500UniqueIdentifier

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

sts:SourceIdentity

sts:RoleSessionName

AssumeRoleWithWebIdentity Otorga permiso para obtener un conjunto de credenciales de seguridad temporales para los usuarios que han sido autenticados en un móvil o una aplicación web con un proveedor de identidades web. Write

role*

cognito-identity.amazonaws.com:amr

cognito-identity.amazonaws.com:aud

cognito-identity.amazonaws.com:sub

www.amazon.com:app_id

www.amazon.com:user_id

graph.facebook.com:app_id

graph.facebook.com:id

accounts.google.com:aud

accounts.google.com:oaud

accounts.google.com:sub

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

sts:SourceIdentity

sts:RoleSessionName

DecodeAuthorizationMessage Otorga permiso para decodificar información adicional sobre el estado de autorización de una solicitud de un mensaje codificado que regresa como respuesta a una solicitud de AWS. Write
GetAccessKeyInfo Otorga permiso para obtener detalles acerca del ID de clave de acceso pasado como parámetro a la solicitud. Read
GetCallerIdentity Otorga permiso para obtener detalles acerca de la identidad de IAM, cuyas credenciales se utilizan para llamar a la API. Read
GetFederationToken Otorga permiso para obtener un conjunto de credenciales de seguridad temporales (compuestas de un ID de clave de acceso, una clave de acceso secreta y un token de seguridad) para un usuario federado. Read

user

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

GetServiceBearerToken [solo permiso] Otorga permiso para obtener un token portador STS para unusuario raíz de AWS, un rol de IAM o un usuario de IAM. Read

sts:AWSServiceName

GetSessionToken Otorga permiso para obtener un conjunto de credenciales de seguridad temporales (compuestas por un ID de clave de acceso, una clave de acceso secreta y un token de seguridad) para un usuario de una Cuenta de AWS o de IAM Read
SetSourceIdentity [solo permiso] Otorga permiso para establecer una identidad de origen en una sesión STS Write

role

user

sts:SourceIdentity

aws:SourceIdentity

TagSession [solo permiso] Otorga permisos para agregar etiquetas a una sesión de STS. Etiquetado

role

user

aws:TagKeys

aws:PrincipalTag/${TagKey}

aws:RequestTag/${TagKey}

sts:TransitiveTagKeys

Tipos de recursos definidos por AWS Security Token Service

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
role arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}

aws:ResourceTag/${TagKey}

user arn:${Partition}:iam::${Account}:user/${UserNameWithPath}

Claves de condición para AWS Security Token Service

AWS Security Token Service define las siguientes claves de condición que pueden utilizarse en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
accounts.google.com:aud Filtra el acceso mediante el ID de la aplicación de Google. Cadena
accounts.google.com:oaud Filtra el acceso mediante la audiencia de Google. Cadena
accounts.google.com:sub Filtra el acceso mediante el tema de la reclamación (el ID de usuario de Google). Cadena
aws:FederatedProvider Filtra el acceso mediante el IdP que se utilizó para autenticar al usuario. Cadena
aws:PrincipalTag/${TagKey} Filtra el acceso mediante la etiqueta asociada a la entidad principal que realiza la solicitud. Cadena
aws:RequestTag/${TagKey} Filtra el acceso por las etiquetas que se pasan en la solicitud Cadena
aws:ResourceTag/${TagKey} Filtra el acceso por las etiquetas asociadas al recurso Cadena
aws:SourceIdentity Filtra el acceso mediante la identidad de origen que se establece en el llamador. Cadena
aws:TagKeys Filtra el acceso por las claves de etiquetas que se pasan en la solicitud Cadena
cognito-identity.amazonaws.com:amr Filtra el acceso mediante la información de inicio de sesión de Amazon Cognito. Cadena
cognito-identity.amazonaws.com:aud Filtra el acceso mediante el ID del grupo de identidades de Amazon Cognito. Cadena
cognito-identity.amazonaws.com:sub Filtra el acceso mediante el tema de la reclamación (el ID de usuario de Amazon Cognito). Cadena
graph.facebook.com:app_id Filtra el acceso mediante el ID de la aplicación de Facebook. Cadena
graph.facebook.com:id Filtra el acceso mediante el ID de usuario de Facebook. Cadena
iam:ResourceTag/${TagKey} Filtra el acceso mediante las etiquetas que se adjuntan al rol que se está asumiendo. Cadena
saml:aud Filtra el acceso mediante la URL de punto de conexión a la que se presentan las aserciones SAML. Cadena
saml:cn Filtra el acceso mediante el atributo eduOrg. ArrayOfString
saml:commonName Filtra el acceso mediante el atributo commonName. Cadena
saml:doc Filtra el acceso mediante el principal que se utilizó para asumir el rol. Cadena
saml:eduorghomepageuri Filtra el acceso mediante el atributo eduOrg. ArrayOfString
saml:eduorgidentityauthnpolicyuri Filtra el acceso mediante el atributo eduOrg. ArrayOfString
saml:eduorglegalname Filtra el acceso mediante el atributo eduOrg. ArrayOfString
saml:eduorgsuperioruri Filtra el acceso mediante el atributo eduOrg. ArrayOfString
saml:eduorgwhitepagesuri Filtra el acceso mediante el atributo eduOrg. ArrayOfString
saml:edupersonaffiliation Filtra el acceso mediante el atributo eduPerson. ArrayOfString
saml:edupersonassurance Filtra el acceso mediante el atributo eduPerson. ArrayOfString
saml:edupersonentitlement Filtra el acceso mediante el atributo eduPerson. ArrayOfString
saml:edupersonnickname Filtra el acceso mediante el atributo eduPerson. ArrayOfString
saml:edupersonorgdn Filtra el acceso mediante el atributo eduPerson. Cadena
saml:edupersonorgunitdn Filtra el acceso mediante el atributo eduPerson. ArrayOfString
saml:edupersonprimaryaffiliation Filtra el acceso mediante el atributo eduPerson. Cadena
saml:edupersonprimaryorgunitdn Filtra el acceso mediante el atributo eduPerson. Cadena
saml:edupersonprincipalname Filtra el acceso mediante el atributo eduPerson. Cadena
saml:edupersonscopedaffiliation Filtra el acceso mediante el atributo eduPerson. ArrayOfString
saml:edupersontargetedid Filtra el acceso mediante el atributo eduPerson. ArrayOfString
saml:givenName Filtra el acceso mediante el atributo givenName. Cadena
saml:iss Filtra el acceso mediante el emisor, que está representado por una URN. Cadena
saml:mail Filtra el acceso por el atributo de correo. Cadena
saml:name Filtra el acceso por el atributo de nombre. Cadena
saml:namequalifier Filtra el acceso mediante el valor hash del emisor, el ID de cuenta y el nombre descriptivo. Cadena
saml:organizationStatus Filtra el acceso mediante el atributo organizationStatus. Cadena
saml:primaryGroupSID Filtra el acceso mediante el atributo primaryGroupSID. Cadena
saml:sub Filtra el acceso mediante el tema de la reclamación (el ID de usuario SAML). Cadena
saml:sub_type Filtra el acceso mediante el valor persistente, transitorio o el URI de formato completo. Cadena
saml:surname Filtra el acceso mediante el atributo de apellido. Cadena
saml:uid Filtra el acceso mediante el atributo uid. Cadena
saml:x500UniqueIdentifier Filtra el acceso mediante el atributo uid. Cadena
sts:AWSServiceName Filtra el acceso por el servicio que está obteniendo un token de portador. Cadena
sts:ExternalId Filtra el acceso mediante el identificador único necesario al asumir un rol en otra cuenta. Cadena
sts:RoleSessionName Filtra el acceso mediante el nombre de sesión de rol requerido al asumir un rol. Cadena
sts:SourceIdentity Filtra el acceso mediante la identidad de origen que se pasa en la solicitud. Cadena
sts:TransitiveTagKeys Filtra el acceso mediante las claves de etiqueta transitivas que se pasan en la solicitud. Cadena
www.amazon.com:app_id Filtra el acceso mediante el ID de aplicación Login with Amazon. Cadena
www.amazon.com:user_id Filtra el acceso mediante el ID de usuario de Login with Amazon. Cadena