Ações, recursos e chaves de condição para o AWS Identity and Access Management (IAM)

AWS O Identity and Access Management (IAM) (prefixo do serviçoiam:) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso nas políticas de permissão do IAM.

Referências:

• Saiba como configurar este serviço.

• Visualize uma lista das operações de API disponíveis para este serviço.

• Saiba como proteger este serviço e seus recursos usando políticas de permissão do IAM.

Ações definidas pelo AWS Identity and Access Management (IAM)

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma instrução com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o elemento Resource em uma política do IAM, deverá incluir um ARN ou padrão para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.

A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.

nota

As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações	Descrição	Nível de acesso	Tipos de recursos (*necessários)	Chaves de condição	Ações dependentes
AddClientIDToOpenIDConnectProvider	Concede permissão para adicionar um novo ID de cliente (público) à lista de IDs registrados do recurso de provedor OpenID Connect (OIDC) do IAM	Write	oidc-provider*
AddRoleToInstanceProfile	Concede permissão para adicionar uma função do IAM ao perfil de instância especificado	Write	instance-profile*		iam:PassRole
AddUserToGroup	Concede permissão para adicionar um usuário do IAM ao grupo do IAM especificado	Write	group*
AttachGroupPolicy	Concede permissão para anexar uma política gerenciada a um grupo do IAM especificado	Permissions management	group*
				iam:PolicyARN
AttachRolePolicy	Concede permissão para anexar uma política gerenciada à função do IAM especificada	Permissions management	role*
				iam:PolicyARN iam:PermissionsBoundary
AttachUserPolicy	Concede permissão para anexar uma política gerenciada ao usuário do IAM especificado	Gerenciamento de permissões	user*
				iam:PolicyARN iam:PermissionsBoundary
ChangePassword	Concede permissão para um usuário do IAM alterar a própria senha	Escrever	user*
CreateAccessKey	Concede permissão para criar uma chave de acesso e uma chave de acesso secreta para o usuário do IAM especificado	Escrever	user*
CreateAccountAlias	Concede permissão para criar um alias para seu Conta da AWS	Escrever
CreateGroup	Concede permissão para criar um grupo	Write	group*
CreateInstanceProfile	Concede permissão para criar um perfil de instância	Write	instance-profile*
				aws:TagKeys aws:RequestTag/${TagKey}
CreateLoginProfile	Concede permissão para criar uma senha para o usuário do IAM especificado	Write	user*
CreateOpenIDConnectProvider	Concede permissão para criar um recurso do IAM que descreve um provedor de identidade (IdP) compatível com OpenID Connect (OIDC)	Write	oidc-provider*
				aws:TagKeys aws:RequestTag/${TagKey}
CreatePolicy	Concede permissão para criar uma política gerenciada	Permissions management	policy*
				aws:TagKeys aws:RequestTag/${TagKey}
CreatePolicyVersion	Concede permissão para criar uma versão da política gerenciada especificada	Permissions management	policy*
CreateRole	Concede permissão para criar uma função	Write	role*
				iam:PermissionsBoundary aws:TagKeys aws:RequestTag/${TagKey}
CreateSAMLProvider	Concede permissão para criar um recurso do IAM que descreve um provedor de identidade (IdP) compatível com SAML 2.0	Escrever	saml-provider*
				aws:TagKeys aws:RequestTag/${TagKey}
CreateServiceLinkedRole	Concede permissão para criar uma função do IAM que permite que um AWS serviço execute ações em seu nome	Escrever	role*
				iam:AWSServiceName
CreateServiceSpecificCredential	Concede permissão para criar uma credencial específica do serviço para um usuário do IAM	Write	user*
CreateUser	Concede permissão para criar um usuário do IAM	Write	user*
				iam:PermissionsBoundary aws:TagKeys aws:RequestTag/${TagKey}
CreateVirtualMFADevice	Concede permissão para criar um dispositivo MFA virtual	Write	mfa*
				aws:TagKeys aws:RequestTag/${TagKey}
DeactivateMFADevice	Concede permissão para desativar o dispositivo MFA especificado e remover sua associação com o usuário do IAM para o qual ele foi originalmente habilitado	Write	user*
DeleteAccessKey	Concede permissão para excluir o par de chaves de acesso associado ao usuário do IAM especificado	Escrever	user*
DeleteAccountAlias	Concede permissão para excluir o Conta da AWS alias especificado	Escrever
DeleteAccountPasswordPolicy	Concede permissão para excluir a política de senha do Conta da AWS	Gerenciamento de permissões
DeleteCloudFrontPublicKey	Concede permissão para excluir uma chave CloudFront pública existente	Escrever
DeleteGroup	Concede permissão para excluir o grupo especificado do IAM	Write	group*
DeleteGroupPolicy	Concede permissão para excluir a política em linha especificada do grupo	Permissions management	group*
DeleteInstanceProfile	Concede permissão para excluir o perfil de instância especificado	Write	instance-profile*
DeleteLoginProfile	Concede permissão para excluir a senha do usuário do IAM especificado	Write	user*
DeleteOpenIDConnectProvider	Concede permissão para excluir um objeto de recurso do provedor de identidade OpenID Connect (IdP) no IAM	Write	oidc-provider*
DeletePolicy	Concede permissão para excluir a política gerenciada especificada e removê-la de todas as entidades do IAM (usuários, grupos ou funções) às quais ela está anexada	Permissions management	policy*
DeletePolicyVersion	Concede permissão para excluir uma versão da política gerenciada especificada	Permissions management	policy*
DeleteRole	Concede permissão para excluir a função especificada	Write	role*
DeleteRolePermissionsBoundary	Concede permissão para remover o limite de permissões de uma função	Permissions management	role*
				iam:PermissionsBoundary
DeleteRolePolicy	Concede permissão para excluir a política em linha especificada da função especificada	Permissions management	role*
				iam:PermissionsBoundary
DeleteSAMLProvider	Concede permissão para excluir um recurso de provedor SAML no IAM	Write	saml-provider*
DeleteSSHPublicKey	Concede permissão para excluir a chave pública SSH especificada	Write	user*
DeleteServerCertificate	Concede permissão para excluir o certificado de servidor especificado	Escrever	server-certificate*
DeleteServiceLinkedRole	Concede permissão para excluir uma função do IAM vinculada a um AWS serviço específico, se o serviço não a estiver mais usando	Escrever	role*
DeleteServiceSpecificCredential	Concede permissão para excluir a credencial específica do serviço especificada para um usuário do IAM	Write	user*
DeleteSigningCertificate	Concede permissão para excluir um certificado de assinatura associado ao usuário do IAM especificado	Write	user*
DeleteUser	Concede permissão para excluir o usuário do IAM especificado	Write	user*
DeleteUserPermissionsBoundary	Concede permissão para remover o limite de permissões do usuário do IAM especificado	Permissions management	user*
				iam:PermissionsBoundary
DeleteUserPolicy	Concede permissão para excluir a política em linha especificada de um usuário do IAM	Permissions management	user*
				iam:PermissionsBoundary
DeleteVirtualMFADevice	Concede permissão para excluir um dispositivo MFA virtual	Write	mfa
			sms-mfa
DetachGroupPolicy	Concede permissão para desanexar uma política gerenciada do grupo do IAM especificado	Permissions management	group*
				iam:PolicyARN
DetachRolePolicy	Concede permissão para desanexar uma política gerenciada da função especificada	Permissions management	role*
				iam:PolicyARN iam:PermissionsBoundary
DetachUserPolicy	Concede permissão para desanexar uma política gerenciada do usuário do IAM especificado	Permissions management	user*
				iam:PolicyARN iam:PermissionsBoundary
EnableMFADevice	Concede permissão para habilitar um dispositivo MFA e associá-lo ao usuário do IAM especificado	Escrever	user*
				iam:RegisterSecurityKey iam:FIDO-FIPS-140-2-certification iam:FIDO-FIPS-140-3-certification iam:FIDO-certification
GenerateCredentialReport	Concede permissão para gerar um relatório de credenciais para o Conta da AWS	Leitura
GenerateOrganizationsAccessReport	Concede permissão para gerar um relatório de acesso para uma entidade AWS Organizations	Leitura	access-report*		organizations:DescribePolicy organizations:ListChildren organizations:ListParents organizations:ListPoliciesForTarget organizations:ListRoots organizations:ListTargetsForPolicy
				iam:OrganizationsPolicyId
GenerateServiceLastAccessedDetails	Concede permissão para gerar um relatório de dados de serviços acessados mais recentemente de um recurso do IAM	Read	group*
			policy*
			role*
			user*
GetAccessKeyLastUsed	Concede permissão para recuperar informações sobre quando a chave de acesso foi usada pela última vez	Leitura	user*
GetAccountAuthorizationDetails	Concede permissão para recuperar informações sobre todos os usuários, grupos, funções e políticas do IAM em seu Conta da AWS, incluindo seus relacionamentos entre si	Leitura
GetAccountEmailAddress	Concede permissão para recuperar o endereço de e-mail associado à conta	Leitura
GetAccountName	Concede permissão para recuperar o nome de conta associado à conta	Leitura
GetAccountPasswordPolicy	Concede permissão para recuperar a política de senha do Conta da AWS	Leitura
GetAccountSummary	Concede permissão para recuperar informações sobre o uso da entidade do IAM e as cotas do IAM no Conta da AWS	Lista
GetCloudFrontPublicKey	Concede permissão para recuperar informações sobre a chave CloudFront pública especificada	Leitura
GetContextKeysForCustomPolicy	Concede permissão para recuperar uma lista de todas as chaves de contexto referenciadas na política especificada	Read
GetContextKeysForPrincipalPolicy	Concede permissão para recuperar uma lista de todas as chaves de contexto referenciadas em todas as políticas do IAM anexadas à identidade do IAM (usuário, grupo ou função)	Leitura	group
			role
			user
GetCredentialReport	Concede permissão para recuperar um relatório de credenciais para o Conta da AWS	Leitura
GetGroup	Concede permissão para recuperar uma lista de usuários do IAM no grupo do IAM especificado	Read	group*
GetGroupPolicy	Concede permissão para recuperar um documento de política em linha incorporado no grupo do IAM especificado	Read	group*
GetInstanceProfile	Concede permissão para recuperar informações sobre o perfil da instância especificada, incluindo o caminho, o GUID, o ARN e a função do perfil da instância	Read	instance-profile*
GetLoginProfile	Concede permissão para recuperar o nome de usuário e a data de criação da senha do usuário do IAM especificado	Lista	user*
GetMFADevice	Concede permissão para recuperar informações sobre um dispositivo com MFA para o usuário especificado	Leitura	user*
GetOpenIDConnectProvider	Concede permissão para recuperar informações sobre o recurso de provedor OpenID Connect (OIDC) no IAM	Leitura	oidc-provider*
GetOrganizationsAccessReport	Concede permissão para recuperar um relatório de acesso do AWS Organizations	Leitura
GetPolicy	Concede permissões para recuperar informações sobre a política gerenciada especificada, incluindo a versão padrão da política e o número total de identidades às quais a política está anexada	Read	policy*
GetPolicyVersion	Concede permissão para recuperar informações sobre uma versão da política gerenciada especificada, incluindo o documento de política	Read	policy*
GetRole	Concede permissão para recuperar informações sobre a função especificada incluindo o caminho, o GUID, o ARN e a política de confiança da função	Read	role*
GetRolePolicy	Concede permissão para recuperar um documento de política em linha incorporado à função do IAM especificada	Read	role*
GetSAMLProvider	Concede permissão para recuperar o metadocumento do provedor SAML que foi obtido por upload quando o objeto do recurso do provedor SAML do IAM foi criado ou atualizado	Read	saml-provider*
GetSSHPublicKey	Concede permissão para recuperar a chave pública SSH especificada, incluindo metadados sobre a chave	Read	user*
GetServerCertificate	Concede permissão para recuperar informações sobre o certificado de servidor especificado, armazenado no IAM	Read	server-certificate*
GetServiceLastAccessedDetails	Concede permissão para recuperar informações sobre o relatório de dados de serviços acessados mais recentemente	Read
GetServiceLastAccessedDetailsWithEntities	Concede permissão para recuperar informações sobre as entidades do relatório de dados de serviços acessados mais recentemente	Read
GetServiceLinkedRoleDeletionStatus	Concede permissão para recuperar o status de exclusão de uma função vinculada ao serviço do IAM	Read	role*
GetUser	Concede permissão para recuperar informações sobre o usuário do IAM especificado, incluindo a data de criação do usuário, o caminho, o ID exclusivo e o ARN	Read	user*
GetUserPolicy	Concede permissão para recuperar um documento de política em linha incorporado no usuário do IAM especificado	Read	user*
ListAccessKeys	Concede permissão para listar informações sobre os IDs de chaves de acesso associadas ao usuário do IAM especificado	Lista	user*
ListAccountAliases	Concede permissão para listar o alias da conta que está associado ao Conta da AWS	Lista
ListAttachedGroupPolicies	Concede permissão para listar todas as políticas gerenciadas anexadas ao grupo do IAM especificado	List	group*
ListAttachedRolePolicies	Concede permissão para listar todas as políticas gerenciadas anexadas à função do IAM especificada	List	role*
ListAttachedUserPolicies	Concede permissão para listar todas as políticas gerenciadas anexadas ao usuário do IAM especificado	Lista	user*
ListCloudFrontPublicKeys	Concede permissão para listar todas as chaves CloudFront públicas atuais da conta	Lista
ListEntitiesForPolicy	Concede permissão para listar todas as identidades do IAM às quais a política gerenciada especificada está anexada	List	policy*
ListGroupPolicies	Concede permissão para listar os nomes das políticas em linha incorporadas no grupo do IAM especificado	List	group*
ListGroups	Concede permissão para listar os grupos do IAM que possuem o prefixo do caminho especificado	List
ListGroupsForUser	Concede permissão para listar os grupos do IAM aos quais o usuário do IAM especificado pertence	List	user*
ListInstanceProfileTags	Concede permissão para listar as etiquetas anexadas ao perfil de instância especificado	List	instance-profile*
ListInstanceProfiles	Concede permissão para listar os perfis de instância que possuem o prefixo do caminho especificado	List
ListInstanceProfilesForRole	Concede permissão para listar os perfis de instância que têm a função do IAM especificada	List	role*
ListMFADeviceTags	Concede permissão para listar as etiquetas anexadas ao dispositivo MFA virtual especificado.	List	mfa*
ListMFADevices	Concede permissão para listar os dispositivos MFA de um usuário do IAM	List	user
ListOpenIDConnectProviderTags	Concede permissão para listar as etiquetas anexadas ao provedor OpenID Connect especificado	Lista	oidc-provider*
ListOpenIDConnectProviders	Concede permissão para listar informações sobre os objetos de recursos do provedor do IAM OpenID Connect (OIDC) que estão definidos no Conta da AWS	Lista
ListPolicies	Concede permissão para listar todas as políticas gerenciadas	List
ListPoliciesGrantingServiceAccess	Concede permissão para listar informações sobre as políticas que concedem à entidade o acesso a um serviço específico	List	group*
			role*
			user*
ListPolicyTags	Concede permissão para listar as etiquetas anexadas à política gerenciada especificada.	List	policy*
ListPolicyVersions	Concede permissão para listar informações sobre as versões da política gerenciada especificada, incluindo a versão que está definida atualmente como a versão padrão da política	List	policy*
ListRolePolicies	Concede permissão para listar os nomes das políticas em linha incorporadas na função do IAM especificada	List	role*
ListRoleTags	Concede permissão para listar as etiquetas anexadas à função do IAM especificada	List	role*
ListRoles	Concede permissão para listar as funções do IAM que têm o prefixo do caminho especificado	List
ListSAMLProviderTags	Concede permissão para listar as etiquetas anexadas ao usuário do provedor SAML especificado	List	saml-provider*
ListSAMLProviders	Concede permissão para listar os recursos de provedor SAML no IAM	List
ListSSHPublicKeys	Concede permissão para listar informações sobre as chaves públicas SSH associadas ao usuário do IAM especificado	Lista	user*
ListSTSRegionalEndpointsStatus	Concede permissão para listar o status de todos os endpoints regionais ativos do STS	Lista
ListServerCertificateTags	Concede permissão para listar as etiquetas anexadas ao certificado do servidor especificado	List	server-certificate*
ListServerCertificates	Concede permissão para listar os certificados de servidor que têm o prefixo do caminho especificado	List
ListServiceSpecificCredentials	Concede permissão para listar as credenciais específicas do serviço associadas ao usuário do IAM especificado	List	user*
ListSigningCertificates	Concede permissão para listar informações sobre os certificados de assinatura associados ao usuário do IAM especificado	List	user*
ListUserPolicies	Concede permissão para listar os nomes das políticas em linha incorporadas no usuário do IAM especificado	List	user*
ListUserTags	Concede permissão para listar as etiquetas anexadas ao usuário do IAM especificado	List	user*
ListUsers	Concede permissão para listar os usuários do IAM que têm o prefixo do caminho especificado	List
ListVirtualMFADevices	Concede permissão para listar dispositivos MFA virtuais por status de atribuição	List
PassRole [somente permissão]	Concede permissão para transmitir uma função para um serviço	Write	role*
				iam:AssociatedResourceArn iam:PassedToService
PutGroupPolicy	Concede permissão para criar ou atualizar um documento de política em linha incorporado no grupo do IAM especificado	Permissions management	group*
PutRolePermissionsBoundary	Concede permissão para definir uma política gerenciada como um limite de permissões para uma função	Permissions management	role*
				iam:PermissionsBoundary
PutRolePolicy	Concede permissão para criar ou atualizar um documento de política em linha incorporado na função do IAM especificada	Permissions management	role*
				iam:PermissionsBoundary
PutUserPermissionsBoundary	Concede permissão para definir uma política gerenciada como um limite de permissões para um usuário do IAM	Permissions management	user*
				iam:PermissionsBoundary
PutUserPolicy	Concede permissão para criar ou atualizar um documento de política em linha incorporado no usuário do IAM especificado	Permissions management	user*
				iam:PermissionsBoundary
RemoveClientIDFromOpenIDConnectProvider	Concede permissão para remover o ID de cliente (público) da lista de IDs de clientes no recurso de provedor OpenID Connect (OIDC) do IAM	Write	oidc-provider*
RemoveRoleFromInstanceProfile	Concede permissão para remover uma função do IAM do perfil de instância do EC2 especificado	Write	instance-profile*
RemoveUserFromGroup	Concede permissão para remover um usuário do IAM do grupo especificado	Write	group*
ResetServiceSpecificCredential	Concede permissão para redefinir a senha de uma credencial existente específica do serviço de um usuário do IAM	Write	user*
ResyncMFADevice	Concede permissão para sincronizar o dispositivo MFA especificado com a entidade do IAM (usuário ou função)	Write	user*
SetDefaultPolicyVersion	Concede permissão para definir a versão da política especificada como a versão padrão da política	Gerenciamento de permissões	policy*
SetSTSRegionalEndpointStatus	Concede permissão para ativar ou desativar um endpoint regional do STS	Escrever
SetSecurityTokenServicePreferences	Concede permissão para definir a versão do token do endpoint global do STS	Write
SimulateCustomPolicy	Concede permissão para simular se uma política baseada em identidade ou uma política baseada em recurso fornece permissões para operações e recursos de API específicos	Read
SimulatePrincipalPolicy	Concede permissão para simular se uma política baseada em identidade anexada a uma entidade do IAM (usuário ou função) especificada fornece permissões para recursos e operações de API específicos	Read	group
			role
			user
TagInstanceProfile	Concede permissão para adicionar etiquetas a um perfil de instância	Marcação	instance-profile*
				aws:TagKeys aws:RequestTag/${TagKey}
TagMFADevice	Concede permissão para adicionar etiquetas a um dispositivo MFA virtual	Marcação	mfa*
				aws:TagKeys aws:RequestTag/${TagKey}
TagOpenIDConnectProvider	Concede permissão para adicionar etiquetas a um provedor OpenID Connect	Marcação	oidc-provider*
				aws:TagKeys aws:RequestTag/${TagKey}
TagPolicy	Concede permissão para adicionar etiquetas a uma política gerenciada	Marcação	policy*
				aws:TagKeys aws:RequestTag/${TagKey}
TagRole	Concede permissão para adicionar etiquetas a uma função do IAM	Marcação	role*
				aws:TagKeys aws:RequestTag/${TagKey}
TagSAMLProvider	Concede permissão para adicionar etiquetas a um provedor SAML	Marcação	saml-provider*
				aws:TagKeys aws:RequestTag/${TagKey}
TagServerCertificate	Concede permissão para adicionar etiquetas a um certificado do servidor	Marcação	server-certificate*
				aws:TagKeys aws:RequestTag/${TagKey}
TagUser	Concede permissão para adicionar etiquetas a um usuário do IAM	Marcação	user*
				aws:TagKeys aws:RequestTag/${TagKey}
UntagInstanceProfile	Concede permissão para remover as etiquetas especificadas do perfil de instância	Marcação	instance-profile*
				aws:TagKeys
UntagMFADevice	Concede permissão para remover as etiquetas especificadas do dispositivo MFA virtual	Marcação	mfa*
				aws:TagKeys
UntagOpenIDConnectProvider	Concede permissão para remover as etiquetas especificadas do provedor OpenID Connect	Marcação	oidc-provider*
				aws:TagKeys
UntagPolicy	Concede permissão para remover as etiquetas especificadas da política gerenciada	Marcação	policy*
				aws:TagKeys
UntagRole	Concede permissão para remover as etiquetas especificadas da função	Marcação	role*
				aws:TagKeys
UntagSAMLProvider	Concede permissão para remover as etiquetas especificadas do provedor SAML	Marcação	saml-provider*
				aws:TagKeys
UntagServerCertificate	Concede permissão para remover as etiquetas especificadas do certificado do servidor	Marcação	server-certificate*
				aws:TagKeys
UntagUser	Concede permissão para remover as etiquetas especificadas do usuário	Marcação	user*
				aws:TagKeys
UpdateAccessKey	Concede permissão para atualizar o status da chave de acesso especificada como ativa ou inativa	Escrever	user*
UpdateAccountEmailAddress	Concede permissão para atualizar o endereço de e-mail associado à conta	Escrever
UpdateAccountName	Concede permissão para atualizar o nome de conta associado à conta	Escrever
UpdateAccountPasswordPolicy	Concede permissão para atualizar as configurações da política de senha do Conta da AWS	Escrever
UpdateAssumeRolePolicy	Concede permissão para atualizar a política que concede a uma entidade do IAM permissão para assumir uma função	Gerenciamento de permissões	role*
UpdateCloudFrontPublicKey	Concede permissão para atualizar uma chave CloudFront pública existente	Escrever
UpdateGroup	Concede permissão para atualizar o nome ou o caminho do grupo do IAM especificado	Write	group*
UpdateLoginProfile	Concede permissão para alterar a senha do usuário do IAM especificado	Write	user*
UpdateOpenIDConnectProviderThumbprint	Concede permissão para atualizar toda a lista de thumbprints de certificado de servidor associados a um recurso de provedor OpenID Connect (OIDC)	Write	oidc-provider*
UpdateRole	Concede permissão para atualizar a descrição ou configuração de duração máxima da sessão de uma função	Write	role*
UpdateRoleDescription	Concede permissão para atualizar somente a descrição de uma função	Write	role*
UpdateSAMLProvider	Concede permissão para atualizar o documento de metadados de um recurso de provedor SAML existente	Write	saml-provider*
UpdateSSHPublicKey	Concede permissão para atualizar o status de uma chave pública SSH do usuário do IAM para ativo ou inativo	Write	user*
UpdateServerCertificate	Concede permissão para atualizar o nome ou o caminho do certificado de servidor especificado, armazenado no IAM	Write	server-certificate*
UpdateServiceSpecificCredential	Concede permissão para atualizar o status de uma credencial específica do serviço como ativo ou inativo para um usuário do IAM	Write	user*
UpdateSigningCertificate	Concede permissão para atualizar o status do certificado de assinatura do usuário especificado para ativo ou desativado	Write	user*
UpdateUser	Concede permissão para atualizar o nome ou o caminho do usuário do IAM especificado	Escrever	user*
UploadCloudFrontPublicKey	Concede permissão para fazer upload de uma chave CloudFront pública	Escrever
UploadSSHPublicKey	Concede permissão para fazer upload de uma chave pública SSH e associá-la ao usuário do IAM especificado	Escrever	user*
UploadServerCertificate	Concede permissão para carregar uma entidade certificada de servidor para o Conta da AWS	Escrever	server-certificate*
				aws:TagKeys aws:RequestTag/${TagKey}
UploadSigningCertificate	Concede permissão para fazer upload de um certificado de assinatura X.509 e associá-lo ao usuário do IAM especificado	Escrever	user*

Tipos de recursos definidos pelo AWS Identity and Access Management (IAM)

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos	ARN	Chaves de condição
access-report	arn:${Partition}:iam::${Account}:access-report/${EntityPath}
assumed-role	arn:${Partition}:iam::${Account}:assumed-role/${RoleName}/${RoleSessionName}
federated-user	arn:${Partition}:iam::${Account}:federated-user/${UserName}
group	arn:${Partition}:iam::${Account}:group/${GroupNameWithPath}
instance-profile	arn:${Partition}:iam::${Account}:instance-profile/${InstanceProfileNameWithPath}	aws:ResourceTag/${TagKey}
mfa	arn:${Partition}:iam::${Account}:mfa/${MfaTokenIdWithPath}	aws:ResourceTag/${TagKey}
oidc-provider	arn:${Partition}:iam::${Account}:oidc-provider/${OidcProviderName}	aws:ResourceTag/${TagKey}
policy	arn:${Partition}:iam::${Account}:policy/${PolicyNameWithPath}	aws:ResourceTag/${TagKey}
role	arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}	aws:ResourceTag/${TagKey} iam:ResourceTag/${TagKey}
saml-provider	arn:${Partition}:iam::${Account}:saml-provider/${SamlProviderName}	aws:ResourceTag/${TagKey}
server-certificate	arn:${Partition}:iam::${Account}:server-certificate/${CertificateNameWithPath}	aws:ResourceTag/${TagKey}
sms-mfa	arn:${Partition}:iam::${Account}:sms-mfa/${MfaTokenIdWithPath}
user	arn:${Partition}:iam::${Account}:user/${UserNameWithPath}	aws:ResourceTag/${TagKey} iam:ResourceTag/${TagKey}

Chaves de condição para o AWS Identity and Access Management (IAM)

AWS O Identity and Access Management (IAM) define as seguintes chaves de condição que podem ser usadas no elemento de uma Condition política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

Chaves de condição	Descrição	Type
aws:RequestTag/${TagKey}	Filtra ações com base nas etiquetas transmitidas na solicitação	String
aws:ResourceTag/${TagKey}	Filtra as ações com base nas etiquetas associadas ao recurso	String
aws:TagKeys	Filtra ações com base nas chaves da etiqueta transmitidas na solicitação	ArrayOfString
iam:AWSServiceName	Filtra o acesso pelo AWS serviço ao qual essa função está vinculada	String
iam:AssociatedResourceArn	Filtra o acesso pelo recurso em nome do qual o perfil será usado	ARN
iam:FIDO-FIPS-140-2-certification	Filtra o acesso pelo nível de certificação de validação FIPS-140-2 do dispositivo com MFA no momento do registro de uma chave de segurança FIDO	String
iam:FIDO-FIPS-140-3-certification	Filtra o acesso pelo nível de certificação de validação FIPS-140-3 do dispositivo MFA no momento do registro de uma chave de segurança FIDO	String
iam:FIDO-certification	Filtra o acesso pelo nível de certificação FIDO do dispositivo com MFA no momento do registro de uma chave de segurança FIDO	String
iam:OrganizationsPolicyId	Filtra o acesso pelo ID de uma política da AWS Organizations	String
iam:PassedToService	Filtra o acesso pelo AWS serviço para o qual essa função é passada	String
iam:PermissionsBoundary	Filtra o acesso se a política especificada está definida como o limite de permissões na entidade do IAM (usuário ou função)	ARN
iam:PolicyARN	Filtra o acesso pelo ARN de uma política do IAM	ARN
iam:RegisterSecurityKey	Filtra o acesso pelo estado atual da ativação do dispositivo com MFA	String
iam:ResourceTag/${TagKey}	Filtra acesso pelas etiquetas anexadas a uma entidade do IAM (usuário ou função)	String