Acciones, recursos y claves de condición para Identity and Access Management - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para Identity and Access Management

Identity and Access Management (prefijo de servicio: iam) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por Identity and Access Management

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AddClientIDToOpenIDConnectProvider Concede permiso para agregar una nueva ID de cliente (público) a la lista de ID registrados para el recurso de proveedor OpenID Connect (OIDC) de IAM especificado. Write

oidc-provider*

AddRoleToInstanceProfile Concede permiso para agregar un rol de IAM al perfil de instancia especificado. Write

instance-profile*

iam:PassRole

AddUserToGroup Concede permiso para agregar un usuario de IAM en el grupo de IAM especificado. Write

group*

AttachGroupPolicy Concede permiso para conectar una política administrada al grupo de IAM especificado. Permissions management

group*

iam:PolicyARN

AttachRolePolicy Concede permiso para asociar una política administrada al rol de IAM especificado. Permissions management

role*

iam:PolicyARN

iam:PermissionsBoundary

AttachUserPolicy Concede permiso para conectar una política administrada al usuario de IAM especificado. Permissions management

user*

iam:PolicyARN

iam:PermissionsBoundary

ChangePassword Concede permiso para que un usuario de IAM cambie su propia contraseña. Write

user*

CreateAccessKey Concede permiso para crear una clave de acceso y una clave de acceso secreta para el usuario de IAM especificado. Write

user*

CreateAccountAlias Concede permiso para crear un alias para su Cuenta de AWS Write
CreateGroup Concede permiso para crear un nuevo grupo. Write

group*

CreateInstanceProfile Concede permiso para crear un nuevo perfil de instancia. Write

instance-profile*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateLoginProfile Concede permiso para crear una contraseña para el usuario de IAM especificado. Write

user*

CreateOpenIDConnectProvider Concede permiso para crear un recurso de IAM que describe un proveedor de identidades (IdP) compatible con OpenID Connect (OIDC). Write

oidc-provider*

aws:TagKeys

aws:RequestTag/${TagKey}

CreatePolicy Concede permiso para crear una política nueva administrada. Permissions management

policy*

aws:TagKeys

aws:RequestTag/${TagKey}

CreatePolicyVersion Concede permiso para crear una nueva versión de la política administrada especificada. Permissions management

policy*

CreateRole Concede permiso para crear un nuevo rol. Write

role*

iam:PermissionsBoundary

aws:TagKeys

aws:RequestTag/${TagKey}

CreateSAMLProvider Concede permiso para crear un recurso de IAM que describe un proveedor de identidades (IdP) compatible con SAML 2.0 Write

saml-provider*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateServiceLinkedRole Concede permiso para crear un rol de IAM que permite a un servicio de AWS realizar acciones en su nombre Write

role*

iam:AWSServiceName

CreateServiceSpecificCredential Concede permiso para crear una nueva credencial específica del servicio para un usuario de IAM. Write

user*

CreateUser Concede permiso para crear un nuevo usuario de IAM. Write

user*

iam:PermissionsBoundary

aws:TagKeys

aws:RequestTag/${TagKey}

CreateVirtualMFADevice Concede permiso para crear un nuevo dispositivo MFA virtual. Write

mfa*

aws:TagKeys

aws:RequestTag/${TagKey}

DeactivateMFADevice Concede permiso para desactivar el dispositivo MFA especificado y eliminar su asociación con el usuario de IAM para el que se habilitó originalmente. Write

user*

DeleteAccessKey Concede permiso para eliminar el par de claves de acceso que está asociado con el usuario de IAM especificado. Write

user*

DeleteAccountAlias Concede permiso para eliminar el alias de la Cuenta de AWS especificada Write
DeleteAccountPasswordPolicy Concede permiso para eliminar la política de contraseñas para la Cuenta de AWS Permissions management
DeleteGroup Concede permiso para eliminar el grupo de IAM especificado. Write

group*

DeleteGroupPolicy Concede permiso para eliminar la política insertada especificada de su grupo. Permissions management

group*

DeleteInstanceProfile Concede permiso para eliminar el perfil de instancia especificado. Write

instance-profile*

DeleteLoginProfile Concede permiso para eliminar la contraseña del usuario de IAM especificado. Write

user*

DeleteOpenIDConnectProvider Concede permiso para eliminar un objeto de recurso de proveedor de identidades (IdP) OpenID Connect en IAM. Write

oidc-provider*

DeletePolicy Concede permiso para borrar la política administrada especificada y eliminarla de todas las entidades de IAM (usuarios, grupos o roles) a las que está asociada. Permissions management

policy*

DeletePolicyVersion Concede permiso para eliminar una versión de la política administrada especificada. Permissions management

policy*

DeleteRole Concede permiso para eliminar el rol especificado. Write

role*

DeleteRolePermissionsBoundary Concede permiso para eliminar los límites de permisos de un rol. Permissions management

role*

iam:PermissionsBoundary

DeleteRolePolicy Concede permiso para eliminar la política insertada especificada del rol especificado. Permissions management

role*

iam:PermissionsBoundary

DeleteSAMLProvider Concede permiso para eliminar un recurso de proveedor de SAML en IAM. Write

saml-provider*

DeleteSSHPublicKey Concede permiso para eliminar la clave pública SSH especificada. Write

user*

DeleteServerCertificate Concede permiso para eliminar el certificado de servidor especificado. Write

server-certificate*

DeleteServiceLinkedRole Concede permiso para eliminar un rol de IAM vinculado a un servicio de AWS específico, si el servicio ya no lo utiliza Write

role*

DeleteServiceSpecificCredential Concede permiso para eliminar una credencial específica del servicio para un usuario de IAM. Write

user*

DeleteSigningCertificate Concede permiso para eliminar un certificado de firma que está asociado al usuario de IAM especificado. Write

user*

DeleteUser Concede permiso para eliminar el usuario de IAM especificado. Write

user*

DeleteUserPermissionsBoundary Concede permiso para eliminar los límites de permisos del usuario de IAM especificado. Permissions management

user*

iam:PermissionsBoundary

DeleteUserPolicy Concede permiso para eliminar la política insertada especificada de un usuario de IAM. Permissions management

user*

iam:PermissionsBoundary

DeleteVirtualMFADevice Concede permiso para eliminar un dispositivo MFA virtual. Write

mfa

sms-mfa

DetachGroupPolicy Concede permiso para desasociar una política administrada del grupo de IAM especificado. Permissions management

group*

iam:PolicyARN

DetachRolePolicy Concede permiso para desasociar una política administrada del rol especificado. Permissions management

role*

iam:PolicyARN

iam:PermissionsBoundary

DetachUserPolicy Concede permiso para desasociar una política administrada del usuario de IAM especificado. Permissions management

user*

iam:PolicyARN

iam:PermissionsBoundary

EnableMFADevice Concede permiso para habilitar un dispositivo MFA y asociarla a la usuario de IAM especificado. Write

user*

GenerateCredentialReport Concede permiso para generar un informe de credenciales para la Cuenta de AWS Read
GenerateOrganizationsAccessReport Concede permiso para generar un informe de acceso para una entidad de AWS Organizations Read

access-report*

organizations:DescribePolicy

organizations:ListChildren

organizations:ListParents

organizations:ListPoliciesForTarget

organizations:ListRoots

organizations:ListTargetsForPolicy

iam:OrganizationsPolicyId

GenerateServiceLastAccessedDetails Concede permiso para generar un informe de datos de los últimos servicios a los que se ha accedido para un recurso de IAM. Read

group*

policy*

role*

user*

GetAccessKeyLastUsed Concede permiso para recuperar información acerca de cuándo se utilizó por última vez la clave de acceso especificada. Read

user*

GetAccountAuthorizationDetails Concede permiso para recuperar información sobre todos los usuarios, grupos, roles y políticas de IAM en su Cuenta de AWS, incluidas las relaciones entre ellos Read
GetAccountPasswordPolicy Concede permiso para recuperar la política de contraseñas para la Cuenta de AWS Read
GetAccountSummary Concede permiso para recuperar información sobre el uso de entidades y cuotas de IAM en la Cuenta de AWS List
GetContextKeysForCustomPolicy Concede permiso para recuperar una lista de todas las claves de contexto a las que se hace referencia en la política especificada. Read
GetContextKeysForPrincipalPolicy Concede permiso para recuperar una lista de todas las claves de contexto a los que se hace referencia en todas las políticas de IAM que se han asociado a la identidad de IAM especificada (usuario, grupo o rol). Read

group

role

user

GetCredentialReport Concede permiso para recuperar un informe de credenciales para la Cuenta de AWS Read
GetGroup Concede permiso para recuperar una lista de usuarios de IAM en el grupo de IAM especificado. Read

group*

GetGroupPolicy Concede permiso para recuperar un documento de política insertada que está integrada en el grupo de IAM especificado. Read

group*

GetInstanceProfile Concede permiso para recuperar información sobre el perfil de instancia especificado, incluidos la ruta del perfil de instancia, GUID, ARN y rol. Read

instance-profile*

GetLoginProfile Concede permiso para recuperar la fecha de creación de la contraseña y el nombre de usuario del usuario de IAM especificado. List

user*

GetOpenIDConnectProvider Concede permiso para recuperar información sobre el recurso de proveedor OpenID Connect (OIDC) especificado en IAM. Read

oidc-provider*

GetOrganizationsAccessReport Concede permiso para recuperar un informe de acceso de AWS Organizations Read
GetPolicy Concede permiso para recuperar información sobre la política administrada especificada, incluida la versión predeterminada de la política y el número total de usuarios, grupos y roles de IAM a los que se asocia dicha política. Read

policy*

GetPolicyVersion Concede permiso para recuperar información sobre una versión de la política administrada especificada, incluido el documento de política. Read

policy*

GetRole Concede permiso para recuperar información sobre el rol especificado, incluidos la ruta del rol, GUID, ARN y la política de confianza del rol. Read

role*

GetRolePolicy Concede permiso para recuperar un documento de política insertada que está integrada con el rol de IAM especificado. Read

role*

GetSAMLProvider Concede permiso para devolver el metadocumento del proveedor de SAML que se cargó cuando se cargó o actualizó el recurso de proveedor de SAML de IAM. Read

saml-provider*

GetSSHPublicKey Concede permiso para recuperar la clave pública SSH especificada, incluidos los metadatos de la clave. Read

user*

GetServerCertificate Concede permiso para recuperar información sobre el certificado de servidor especificado almacenado en IAM. Read

server-certificate*

GetServiceLastAccessedDetails Concede permiso para recuperar información sobre el informe de datos de los últimos servicios a los que se ha accedido. Read
GetServiceLastAccessedDetailsWithEntities Concede permiso para recuperar información sobre las entidades del informe de datos de los últimos servicios a los que se ha accedido. Read
GetServiceLinkedRoleDeletionStatus Concede permiso para recuperar un estado de eliminación de rol vinculado a servicio de IAM. Read

role*

GetUser En este ejemplo se muestra cómo recuperar información acerca del usuario de IAM especificado, incluidos la fecha de creación, la ruta, el ID exclusivo y el ARN del usuario. Read

user*

GetUserPolicy Concede permiso para recuperar un documento de política insertada que está integrada en el usuario de IAM especificado. Read

user*

ListAccessKeys Concede permiso para mostrar información acerca de los ID de clave de acceso que están asociados al usuario de IAM especificado. List

user*

ListAccountAliases Concede permiso para obtener una lista de los alias de cuenta asociados a la Cuenta de AWS List
ListAttachedGroupPolicies Concede permiso para obtener una lista de todas las políticas administradas que se han asociado al grupo de IAM especificado. List

group*

ListAttachedRolePolicies Concede permiso para obtener una lista de todas las políticas administradas que se asocian al rol de IAM especificado. List

role*

ListAttachedUserPolicies Concede permiso para obtener una lista de todas las políticas administradas que se asocian al usuario de IAM especificado. List

user*

ListEntitiesForPolicy Concede permiso para obtener una lista de todas las identidades de IAM a la que se asocia la política administrada especificada. List

policy*

ListGroupPolicies Concede permiso para mostrar los nombres de las políticas insertadas que están integradas en el grupo de IAM especificado. List

group*

ListGroups Concede permiso para obtener una lista de grupos de IAM con el prefijo de ruta especificado. List
ListGroupsForUser Concede permiso para obtener una lista de grupos de IAM a los que pertenece el usuario de IAM especificado. List

user*

ListInstanceProfileTags Concede permiso para obtener una lista de las etiquetas que se asocian al perfil de instancia especificado. List

instance-profile*

ListInstanceProfiles Concede permiso para obtener una lista de los perfiles de instancia con el prefijo de ruta especificado. List

instance-profile*

ListInstanceProfilesForRole Concede permiso para obtener una lista de los perfiles de instancia que tienen el rol de IAM asociado especificado. List

role*

ListMFADeviceTags Concede permiso para obtener una lista de las etiquetas que se asocian al dispositivo MFA especificado. List

mfa*

ListMFADevices Concede permiso para obtener una lista de los dispositivos MFA para un usuario de IAM. List

user

ListOpenIDConnectProviderTags Concede permiso para enumerar las etiquetas que están adjuntas al proveedor OpenID Connect especificado List

oidc-provider*

ListOpenIDConnectProviders Concede permiso para crear una lista con información sobre los objetos del recurso del proveedor de OpenID Connect (OIDC) de IAM que se definen en la Cuenta de AWS List
ListPolicies Concede permiso para obtener una lista de todas las políticas administradas. List
ListPoliciesGrantingServiceAccess Concede permiso para mostrar información acerca de las políticas que conceden a una entidad acceso a un servicio específico. List

group*

role*

user*

ListPolicyTags Concede permiso para obtener una lista de las etiquetas que se asocian a la política administrada especificada. List

policy*

ListPolicyVersions Concede permiso para mostrar información acerca de las versiones de la política administrada especificada, incluida la versión que actualmente está establecida como la versión predeterminada de la política. List

policy*

ListRolePolicies Concede permiso para mostrar los nombres de las políticas insertadas que están integradas en el rol de IAM especificado. List

role*

ListRoleTags Concede permiso para obtener una lista de las etiquetas que se asocian al rol de IAM especificado. List

role*

ListRoles Concede permiso para obtener una lista de los roles de IAM con el prefijo de ruta especificado. List
ListSAMLProviderTags Concede permiso para obtener una lista de las etiquetas que se asocian proveedor SAML especificado. List

saml-provider*

ListSAMLProviders Concede permiso para obtener una lista de recursos del proveedor de SAML en IAM. List
ListSSHPublicKeys Concede permiso para mostrar información acerca de las claves públicas SSH que están asociadas al usuario de IAM especificado. List

user*

ListServerCertificateTags Concede permiso para obtener una lista de las etiquetas que se asocian al certificado de servidor especificado. List

server-certificate*

ListServerCertificates Concede permiso para obtener una lista de los certificados de servidor que tienen el prefijo de ruta especificado. List
ListServiceSpecificCredentials Concede permiso para obtener una lista de credenciales específicas del servicio que están asociadas con el usuario de IAM especificado. List

user*

ListSigningCertificates Concede permiso para mostrar información acerca de los certificados de firma que están asociadas al usuario de IAM especificado. List

user*

ListUserPolicies Concede permiso para obtener una lista de los nombres de las políticas insertadas que están integradas en el usuario de IAM especificado. List

user*

ListUserTags Concede permiso para obtener una lista de las etiquetas que se asocian al usuario de IAM especificado. List

user*

ListUsers Concede permiso para obtener una lista de los usuarios de IAM con el prefijo de ruta especificado. List
ListVirtualMFADevices Concede permiso para obtener una lista de dispositivos MFA virtuales por estado de asignación. List
PassRole [solo permiso] Concede permiso para transferir un rol a un servicio. Write

role*

iam:AssociatedResourceArn

iam:PassedToService

PutGroupPolicy Concede permiso para crear o actualizar un documento de política insertada que está integrada en el grupo de IAM especificado. Permissions management

group*

PutRolePermissionsBoundary Concede permiso para establecer una política administrada como un límite de permisos para un rol. Permissions management

role*

iam:PermissionsBoundary

PutRolePolicy Concede permiso para crear o actualizar un documento de política insertada que está integrada en el rol de IAM especificado. Permissions management

role*

iam:PermissionsBoundary

PutUserPermissionsBoundary Concede permiso para establecer una política administrada como un límite de permisos para un usuario de IAM. Permissions management

user*

iam:PermissionsBoundary

PutUserPolicy Concede permiso para crear o actualizar un documento de política insertada que está integrada en el usuario de IAM especificado. Permissions management

user*

iam:PermissionsBoundary

RemoveClientIDFromOpenIDConnectProvider Concede permiso para eliminar el ID de cliente (público) de la lista de ID de cliente en el recurso de proveedor OpenID Connect (OIDC) de IAM especificado. Write

oidc-provider*

RemoveRoleFromInstanceProfile Concede permiso para eliminar un rol de IAM del perfil de instancia EC2 especificado. Write

instance-profile*

RemoveUserFromGroup Concede permiso para eliminar un usuario de IAM del grupo especificado. Write

group*

ResetServiceSpecificCredential Concede permiso para restablecer la contraseña de una credencial existente específica del servicio para un usuario de IAM. Write

user*

ResyncMFADevice Concede permiso para sincronizar el dispositivo MFA especificado con su entidad de IAM (usuario o rol). Write

user*

SetDefaultPolicyVersion Concede permiso para establecer la versión de la política especificada como la versión predeterminada de la política. Permissions management

policy*

SetSecurityTokenServicePreferences Concede permiso para establecer la versión de token de punto de enlace global de STS. Write
SimulateCustomPolicy Concede permiso para simular si una política basada en identidades o una política basada en recursos proporciona permisos para recursos y operaciones específicas de la API. Read
SimulatePrincipalPolicy Concede permiso para simular si una política basada en identidades que está asociado a una entidad de IAM especificada (usuario o rol) proporciona permisos para recursos y operaciones específicas de la API. Read

group

role

user

TagInstanceProfile Concede permiso para agregar etiquetas a un perfil de instancia Etiquetado

instance-profile*

aws:TagKeys

aws:RequestTag/${TagKey}

TagMFADevice Concede permiso para agregar etiquetas a un dispositivo MFA virtual Etiquetado

mfa*

aws:TagKeys

aws:RequestTag/${TagKey}

TagOpenIDConnectProvider Concede permiso para agregar etiquetas a un proveedor de OpenID Connect Etiquetado

oidc-provider*

aws:TagKeys

aws:RequestTag/${TagKey}

TagPolicy Concede permiso para agregar etiquetas a una política administrada Etiquetado

policy*

aws:TagKeys

aws:RequestTag/${TagKey}

TagRole Concede permiso para agregar etiquetas a un rol de IAM Etiquetado

role*

aws:TagKeys

aws:RequestTag/${TagKey}

TagSAMLProvider Concede permiso para agregar etiquetas a un proveedor SAML Etiquetado

saml-provider*

aws:TagKeys

aws:RequestTag/${TagKey}

TagServerCertificate Concede permiso para agregar etiquetas a un certificado de servidor Etiquetado

server-certificate*

aws:TagKeys

aws:RequestTag/${TagKey}

TagUser Concede permiso para agregar etiquetas a un usuario de IAM Etiquetado

user*

aws:TagKeys

aws:RequestTag/${TagKey}

UntagInstanceProfile Concede permiso para eliminar las etiquetas especificadas del perfil de instancia Etiquetado

instance-profile*

aws:TagKeys

UntagMFADevice Concede permiso para eliminar las etiquetas especificadas del dispositivo MFA virtual. Etiquetado

mfa*

aws:TagKeys

UntagOpenIDConnectProvider Concede permiso para quitar las etiquetas especificadas del proveedor OpenID Connect Etiquetado

oidc-provider*

aws:TagKeys

UntagPolicy Concede permiso para eliminar las etiquetas especificadas de la política administrada Etiquetado

policy*

aws:TagKeys

UntagRole Concede permiso para eliminar las etiquetas especificadas del rol Etiquetado

role*

aws:TagKeys

UntagSAMLProvider Concede permiso para eliminar las etiquetas especificadas del proveedor SAML Etiquetado

saml-provider*

aws:TagKeys

UntagServerCertificate Concede permiso para eliminar las etiquetas especificadas del certificado de servidor Etiquetado

server-certificate*

aws:TagKeys

UntagUser Concede permiso para eliminar las etiquetas especificadas del usuario Etiquetado

user*

aws:TagKeys

UpdateAccessKey Concede permiso para actualizar el estado de la clave de acceso especificada como activo o inactivo. Write

user*

UpdateAccountPasswordPolicy Concede permiso para actualizar la configuración de la política de contraseñas de la Cuenta de AWS Write
UpdateAssumeRolePolicy Concede permiso para actualizar la política que concede permiso a una entidad de IAM para asumir un rol. Permissions management

role*

UpdateGroup Concede permiso para actualizar el nombre o la ruta del grupo de IAM especificado. Write

group*

UpdateLoginProfile Concede permiso para cambiar la contraseña del usuario de IAM especificado. Write

user*

UpdateOpenIDConnectProviderThumbprint Concede permiso para actualizar toda la lista de huellas digitales de certificado de servidor que están asociadas con un proveedor de proveedor OpenID Connect (OIDC). Write

oidc-provider*

UpdateRole Concede permiso para actualizar la descripción o la configuración de duración máxima de la sesión de un rol. Write

role*

UpdateRoleDescription Concede permiso para actualizar solo la descripción de un rol. Write

role*

UpdateSAMLProvider Concede permiso para actualizar el documento de metadatos para un recurso de proveedor de SAML existente. Write

saml-provider*

UpdateSSHPublicKey Concede permiso para actualizar el estado de la clave pública SSH del usuario de IAM como activa o inactiva. Write

user*

UpdateServerCertificate Concede permiso para actualizar el nombre o la ruta del certificado de servidor especificado almacenado en IAM. Write

server-certificate*

UpdateServiceSpecificCredential Concede permiso para actualizar el estado de una credencial específica del servicio como activa o inactiva para un usuario de IAM. Write

user*

UpdateSigningCertificate Concede permiso para actualizar el estado del certificado de firma del usuario especificado como activo o inactivo. Write

user*

UpdateUser Concede permiso para actualizar el nombre o la ruta del usuario de IAM especificado. Write

user*

UploadSSHPublicKey Concede permiso para cargar una clave pública SSH y asociarla al usuario de IAM especificado. Write

user*

UploadServerCertificate Concede permiso para cargar una entidad de certificado de servidor para la . Cuenta de AWS Write

server-certificate*

aws:TagKeys

aws:RequestTag/${TagKey}

UploadSigningCertificate Concede permiso para cargar un certificado de firma X.509 y asociarlo al usuario de IAM especificado. Write

user*

Tipos de recurso definidos por Identity And Access Management

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
access-report arn:${Partition}:iam::${Account}:access-report/${EntityPath}
assumed-role arn:${Partition}:iam::${Account}:assumed-role/${RoleName}/${RoleSessionName}
federated-user arn:${Partition}:iam::${Account}:federated-user/${UserName}
group arn:${Partition}:iam::${Account}:group/${GroupNameWithPath}
instance-profile arn:${Partition}:iam::${Account}:instance-profile/${InstanceProfileNameWithPath}

aws:ResourceTag/${TagKey}

mfa arn:${Partition}:iam::${Account}:mfa/${MfaTokenIdWithPath}

aws:ResourceTag/${TagKey}

oidc-provider arn:${Partition}:iam::${Account}:oidc-provider/${OidcProviderName}

aws:ResourceTag/${TagKey}

policy arn:${Partition}:iam::${Account}:policy/${PolicyNameWithPath}

aws:ResourceTag/${TagKey}

role arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}

aws:ResourceTag/${TagKey}

iam:ResourceTag/${TagKey}

saml-provider arn:${Partition}:iam::${Account}:saml-provider/${SamlProviderName}

aws:ResourceTag/${TagKey}

server-certificate arn:${Partition}:iam::${Account}:server-certificate/${CertificateNameWithPath}

aws:ResourceTag/${TagKey}

sms-mfa arn:${Partition}:iam::${Account}:sms-mfa/${MfaTokenIdWithPath}
user arn:${Partition}:iam::${Account}:user/${UserNameWithPath}

aws:ResourceTag/${TagKey}

iam:ResourceTag/${TagKey}

Claves de condición de Identity and Access Management

Identity And Access Management define las siguientes claves de condiciones que se puede utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra acciones basadas en las etiquetas que se aprueban en la solicitud Cadena
aws:ResourceTag/${TagKey} Filtra acciones en función de la etiqueta asociada con el recurso Cadena
aws:TagKeys Filtra acciones basadas en las claves de etiqueta que se aprueban en la solicitud ArrayOfString
iam:AWSServiceName Filtra el acceso según el servicio de AWS al que se adjunta este rol. Cadena
iam:AssociatedResourceArn Filtra por el recurso en nombre del cual se usará el rol ARN
iam:OrganizationsPolicyId Filtra el acceso según el ID de una política de AWS Organizations Cadena
iam:PassedToService Filtra el acceso según el servicio de AWS al que se transfiere este rol Cadena
iam:PermissionsBoundary Filtra el acceso si la política especificada se establece como el límite de permisos en la entidad de IAM (usuario o rol). Cadena
iam:PolicyARN Filtra el acceso por el ARN de una política de IAM. ARN
iam:ResourceTag/${TagKey} Filtra el acceso por las etiquetas asociadas a una entidad de IAM (usuario o rol). Cadena