# Recursos de AWS para administración de acceso
<a name="access"></a>

AWS Identity and Access Management (IAM) es un servicio web que lo ayuda a controlar de forma segura el acceso a los recursos de AWS. Cuando una [entidad principal](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#principal) realiza una solicitud en AWS, el código de aplicación de AWS comprueba si la entidad principal está autenticada (ha iniciado sesión) y autorizada (tiene permisos). Para administrar el acceso en AWS cree políticas y asócielas a identidades de IAM o recursos de AWS. Las políticas son documentos JSON de AWS que, cuando se asocian a una identidad o un recurso, definen sus permisos. Para obtener más información sobre los tipos de políticas y sus usos, consulte [Políticas y permisos en AWS Identity and Access Management](access_policies.md).

Para obtener más información sobre el resto del proceso de autenticación y autorización, consulte [Cómo funciona IAM](intro-structure.md).

![\[AccessManagement_Diagram\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/access-diagram_800.png)


Durante la autorización, el código de aplicación de AWS utiliza los valores del [contexto de la solicitud](intro-structure.md#intro-structure-request) para buscar políticas coincidentes y determinar si se debe permitir o denegar la solicitud. 

AWS comprueba cada política que se aplica al contexto de la solicitud. Si una sola política deniega la solicitud, AWS deniega toda la solicitud y deja de evaluar las políticas. Esto se denomina una *denegación explícita*. Dado que las solicitudes se *deniegan de forma predeterminada*, IAM autoriza una solicitud únicamente si las políticas aplicables permiten todas las partes de la solicitud. La [lógica de evaluación](reference_policies_evaluation-logic.md) de una solicitud para una cuenta individual se rige por las siguientes normas:
+ De forma predeterminada, todas las solicitudes se deniegan implícitamente. (Como alternativa, de forma predeterminada, Usuario raíz de la cuenta de AWS tiene acceso completo). 
+ Un permiso explícito en una política basada en identidad o en recursos anula esta opción predeterminada.
+ Si existe un límite de permisos, una SCP de AWS Organizations o una política de sesión, es posible que anule el permiso con una denegación implícita.
+ Una denegación explícita en cualquier política invalida cualquier permiso concedido.

Una vez que la solicitud se ha autenticado y se ha autorizado, AWS aprueba la solicitud. Si necesita realizar una solicitud en otra cuenta, una política de la otra cuenta debe permitirle el acceso al recurso. Además, la entidad de IAM que utilice para realizar la solicitud debe tener una política basada en identidad que permita la solicitud.

## Recursos de administración de acceso
<a name="access_resources"></a>

Para obtener más información acerca de los permisos y la creación de políticas, consulte los recursos siguientes:

Las siguientes entradas en el blog de seguridad de AWS tratan las formas habituales de escribir políticas para obtener acceso a buckets y objetos de Amazon S3.
+ [Escritura de políticas de IAM: Cómo conceder acceso a un bucket de Amazon S](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/)
+ [Escritura de políticas de IAM: Conceder acceso a carpetas específicas de usuarios en un bucket de Amazon S](https://aws.amazon.com/blogs/security/writing-iam-policies-grant-access-to-user-specific-folders-in-an-amazon-s3-bucket/)
+ [Políticas de IAM y políticas de bucket y ACLs\$1 Oh My\$1 (Control del acceso a los recursos de S)](https://aws.amazon.com/blogs/security/iam-policies-and-bucket-policies-and-acls-oh-my-controlling-access-to-s3-resources/)
+ [A Primer on RDS Resource-Level Permissions](https://aws.amazon.com/blogs/security/a-primer-on-rds-resource-level-permissions)
+ [Demystifying EC2 Resource-Level Permissions](https://aws.amazon.com/blogs/security/demystifying-ec2-resource-level-permissions/)

# Políticas y permisos en AWS Identity and Access Management
<a name="access_policies"></a>

Administre el acceso a AWS mediante la creación de políticas y su asociación a identidades de IAM (usuarios, grupos de usuarios o roles) o a recursos de AWS. Una política es un objeto de AWS que, cuando se asocia a una identidad o un recurso, define sus permisos. AWS evalúa estas políticas cuando una entidad principal de IAM (usuario o rol) realiza una solicitud. Los permisos en las políticas determinan si la solicitud se permite o se deniega. La mayoría de las políticas se almacenan en AWS como documentos JSON. AWSadmite siete tipos de políticas: basadas en identidad, basadas en recursos, límites de permisos, políticas de control de servicio (SCP) de AWS Organizations, políticas de control de recursos (RCP) de AWS Organizations, listas de control de acceso (ACL) y políticas de sesión.

Las políticas de IAM definen permisos para una acción independientemente del método que se utiliza para realizar la operación. Por ejemplo, si una política permite la acción [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html), un usuario con dicha política puede obtener información de los usuarios desde la Consola de administración de AWS, la AWS CLI o la API de AWS. Cuando se crea un usuario de IAM, se le puede permitir el acceso a la consola o el acceso mediante programación. Si se permite el acceso a la consola, el usuario de IAM puede iniciar sesión en la consola con sus credenciales de inicio de sesión. Si se permite el acceso programático, el usuario puede utilizar claves de acceso para trabajar con la CLI o la API.

## Tipos de políticas
<a name="access_policy-types"></a>

Los tipos de políticas siguientes, que se muestran por orden desde los que se utilizan con más frecuencia hasta los que se utilizan con menos frecuencia, están disponibles para su uso en AWS. Para obtener más información, consulte las secciones siguientes para cada tipo de política.
+ **[Identity-based policies](#policies_id-based)** (Políticas basadas en identidad): asocie políticas [administradas](#managedpolicy) e [insertadas](#inline) a identidades de IAM (usuarios, grupos a los que pertenecen los usuarios o roles). Las políticas basadas en identidad, conceder permisos a una identidad.
+ **[Políticas basadas en recursos](#policies_resource-based)** – Asocie políticas insertadas a los recursos. Los ejemplos más comunes de políticas basadas en recursos son las políticas de bucket de Amazon S3 y las políticas de confianza de roles de IAM. Las políticas basadas en recursos conceden permisos a la entidad principal que se especifica en la política. Las entidades principales pueden estar en la misma cuenta que el recurso o en cuentas distintas.
+ **[Límites de permisos](#policies_bound)** – Puede utilizar políticas administradas para definir el límite de permisos de una entidad de IAM (usuario o rol). Esa política define los permisos máximos que las políticas basadas en identidad pueden conceder a una entidad, pero no concede permisos por sí misma. Los límites de permisos no definen los permisos máximos que una política basada en recursos puede conceder a una entidad.
+ **[SCP de AWS Organizations](#policies_scp)**: utilice una política de control de servicio (SCP) de AWS Organizations para definir los permisos máximos para los usuarios de IAM y los roles de IAM en las cuentas de una organización o unidad organizativa (OU). Las SCP limitan los permisos que las políticas basadas en la identidad o en recursos conceden a los usuarios de IAM y los roles de IAM dentro de la cuenta. Las SCP no conceden permisos.
+ **[RCP de AWS Organizations](#policies_rcp)**: utilice una política de control de recursos (RCP) de AWS Organizations a fin definir los permisos máximos para los recursos en las cuentas de una organización o unidad organizativa (OU). Las RCP limitan los permisos que las políticas basadas en la identidad o en recursos pueden conceder a los recursos de las cuentas de la organización. Las RCP no conceden permisos.
+ **[Listas de control de acceso (ACL)](#policies_acl)** - Utilice ACL para controlar qué entidades principales de otras cuentas pueden tener acceso al recurso al que la ACL está asociada. Las ACL son similares a las políticas basadas en recursos, aunque son el único tipo de política que no utiliza la estructura de los documentos de política JSON. Las ACL son políticas de permisos para varias cuentas que conceden permisos a la entidad principal especificada. Las ACL no pueden conceder permisos a entidades dentro de una misma cuenta.
+ **[Políticas de sesión](#policies_session)** — Pase las políticas de sesión avanzadas cuando utilice el AWS CLI o la API de AWS para asumir un rol o un usuario federado. Las políticas de sesión limitan los permisos que las políticas basadas en identidad aplicadas al rol o al usuario conceden a la sesión. Las políticas de sesión limitan los permisos para una sesión creada, pero no conceden permisos por sí mismas. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session).

### Políticas basadas en identidades
<a name="policies_id-based"></a>

Las políticas basadas en identidad son documentos de políticas de permisos JSON que controlan qué acciones puede realizar una identidad (usuarios, grupos de usuarios y roles), en qué recursos y en qué condiciones. Las políticas basadas en la identidad pueden clasificarse así:
+ **Políticas administradas**: políticas independientes basadas en la identidad que puede adjuntar a varios usuarios, grupos y roles en su Cuenta de AWS. Existen dos tipos de políticas administradas:
  + **Políticas administradas de AWS** – Políticas administradas creadas y administradas por AWS.
  + **Políticas administradas por el cliente**: políticas administradas que crea y administra en su Cuenta de AWS. Las políticas administradas por el cliente ofrecen un control más preciso sobre las políticas que las políticas administradas por AWS.
+ **Políticas insertadas**: políticas que agrega directamente a un único usuario, grupo o rol. Las políticas insertadas mantienen una relación estricta de uno a uno entre una política y una identidad. Se eliminan cuando se elimina la identidad.

Para obtener información sobre cómo elegir entre una política administrada o una insertada, consulte [Elegir entre políticas administradas y políticas insertadas](access_policies-choosing-managed-or-inline.md).

### Políticas basadas en recursos
<a name="policies_resource-based"></a>

Las políticas basadas en recursos son documentos de política JSON que puede asociar a un recurso como, por ejemplo, un bucket de Amazon S3. Estas políticas conceden a la entidad principal especificada permiso para ejecutar acciones concretas en el recurso y definen en qué condiciones son aplicables. Las políticas basadas en recursos son políticas insertadas. No existen políticas basadas en recursos que sean administradas. 

Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Añadir a una política en función de recursos una entidad principal entre cuentas es solo una parte del establecimiento de una relación de confianza. Cuando la entidad principal y el recurso se encuentran en cuentas de Cuentas de AWS distintas, también debe utilizar una política basada en identidades para conceder a la entidad principal el acceso al recurso. Sin embargo, si la política basada en recursos concede acceso a una entidad principal de la misma cuenta, no es necesaria una política basada en identidad adicional. Para obtener instrucciones paso a paso para conceder acceso entre servicios, consulte [Tutorial de IAM: delegación del acceso entre cuentas de AWS mediante roles de IAM](tutorial_cross-account-with-roles.md).

El servicio de IAM solo admite un tipo de política basada en recursos, el llamado *política de confianza* de rol, que se asocia a un rol de IAM. Un rol de IAM es tanto una identidad como un recurso que admite políticas basadas en recursos. Por este motivo, debe asociar una política de confianza y una política basada en identidades al rol de IAM. Las políticas de confianza definen qué entidades principales (cuentas, usuarios, roles y usuarios federados) puede asumir el rol. Para obtener información sobre cómo difieren los roles de IAM con respecto a otras políticas basadas en recursos, consulte [Acceso a recursos entre cuentas en IAM](access_policies-cross-account-resource-access.md).

Para saber qué otros servicios admiten políticas basadas en recursos, consulte [Servicios de AWS que funcionan con IAM](reference_aws-services-that-work-with-iam.md). Para obtener más información sobre las políticas basadas en recursos, consulte [Políticas basadas en identidad y políticas basadas en recursos](access_policies_identity-vs-resource.md). Consulte [¿Qué es Analizador de acceso de IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) para saber si las entidades principales de las cuentas fuera de su zona de confianza (cuenta u organización de confianza) tienen acceso para asumir sus roles.

### Límites de permisos de IAM
<a name="policies_bound"></a>

Un límite de permisos es una característica avanzada que le permite definir los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Al establecer un límite de permisos para una entidad, esta solo puede realizar las acciones que le permitan tanto sus políticas basadas en identidad como sus límites de permisos. Si especifica un rol, sesión o usuario en el elemento principal de una política basada en recursos, no se requiere un permiso explícito en el límite de permisos. Sin embargo, si especifica un ARN de rol en el elemento principal de una política basada en recursos, sí se requiere un permiso explícito en el límite de permisos. En ambos casos, entra en vigor una denegación explícita en el límite de permisos. Una denegación explícita en cualquiera de estas políticas anulará el permiso. Para obtener más información sobre los límites de permisos, consulte [Límites de permisos para las entidades de IAM](access_policies_boundaries.md).

### Políticas de control de servicios (SCP) de AWS Organizations
<a name="policies_scp"></a>

Si habilita todas las características en una organización, entonces podrá aplicar políticas de control de servicio (SCP) a una o a todas sus cuentas. Las SCP son políticas JSON que especifican los permisos máximos para los usuarios de IAM y los roles de IAM dentro de las cuentas de una organización o unidad organizativa (OU). Una SCP limita los permisos para las entidades principales de las cuentas de miembros, incluido cada Usuario raíz de la cuenta de AWS. Una denegación explícita en cualquiera de estas políticas anulará el permiso en las demás políticas.

Para obtener más información acerca de AWS Organizations y las SCP, consulte [Políticas de control de servicio (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations*.

### Políticas de control de recursos (RCP) de AWS Organizations
<a name="policies_rcp"></a>

Si habilita todas las características en una organización, entonces podrá usar políticas de control de recurso (RCP) para aplicar centralmente los controles de acceso a los recursos en varias Cuentas de AWS. Las RCP son políticas JSON que permiten establecer los permisos máximos disponibles para los recursos de las cuentas sin actualizar las políticas de IAM asociadas a cada recurso que posea. La RCP limita los permisos de los recursos en las cuentas de miembros y puede afectar a los permisos efectivos de las identidades, incluidos los Usuario raíz de la cuenta de AWS, independientemente de si pertenecen a su organización. Una denegación explícita en cualquier RCP aplicable anula permisos en otras políticas que puedan estar asociadas a identidades o recursos individuales.

Para obtener más información sobre AWS Organizations y las RCP, incluida una lista de los Servicios de AWS que admiten RCP, consulte [Políticas de control de recursos (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del usuario de AWS Organizations*.

### Listas de control de acceso (ACL)
<a name="policies_acl"></a>

Las listas de control de acceso (ACL) son políticas de servicio que le permiten controlar qué entidades principales de otra cuenta pueden obtener acceso a un recurso. Las ACL no se pueden utilizar para controlar el acceso de una entidad principal de la misma cuenta. Las ACL son similares a las políticas basadas en recursos, aunque son el único tipo de política que no utiliza el formato de documento de política JSON. Amazon S3, AWS WAF y Amazon VPC son ejemplos de servicios que admiten las ACL. Para obtener más información sobre las ACL, consulte [Información general sobre la Lista de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) en la *Guía para desarrolladores de Amazon Simple Storage Service*.

### Políticas de sesión
<a name="policies_session"></a>

Las políticas de sesión son políticas avanzadas que se pasan como parámetro al crear una sesión temporal mediante programación para un rol o una entidad principal de usuario federado de AWS STS. Los permisos de una sesión son la intersección de las políticas basadas en identidades aplicadas a la entidad de IAM (usuario o rol) utilizada para crear la sesión y las políticas de sesión. Los permisos también pueden proceder de una política en función de recursos. Una denegación explícita en cualquiera de estas políticas anulará el permiso.

Puede crear una sesión de rol y pasar políticas de sesión mediante programación con las operaciones de API `AssumeRole`, `AssumeRoleWithSAML` o `AssumeRoleWithWebIdentity`. Puede transferir un único documento de política de sesión insertada JSON utilizando el parámetro `Policy`. Puede utilizar el parámetro `PolicyArns` para especificar hasta 10 políticas de sesión administrada. Para obtener más información sobre cómo crear una sesión de un rol, consulte [Permisos para credenciales de seguridad temporales](id_credentials_temp_control-access.md).

Al crear una sesión para una entidad principal de usuario federado de AWS STS, se utilizan las claves de acceso del usuario de IAM para invocar la operación de API `GetFederationToken` mediante programación. Asimismo, debe transferir las políticas de sesión. Los permisos de la sesión resultantes son la intersección de la política basada en identidades y la política de sesión. Para obtener más información sobre cómo crear una sesión de un usuario federado, consulte [Solicitud de credenciales a través de un agente de identidades personalizado](id_credentials_temp_request.md#api_getfederationtoken).

Una política basada en recursos puede especificar el ARN del usuario o el rol como una entidad principal. En ese caso, los permisos de la política basada en recursos se añaden a la política basada en identidades del usuario o rol antes de crear la sesión. La política de sesión limita los permisos totales concedidos por la política basada en recursos y la política basada en identidad. Los permisos de la sesión resultantes son la intersección de las políticas de sesión y las políticas basadas en recursos más la intersección de las políticas de sesión y las políticas basadas en identidades.

![\[Evaluación de la política de sesión con una política basada en recursos que especifica el ARN de la entidad\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/EffectivePermissions-session-rbp-id.png)


Una política basada en recursos puede especificar el ARN de la sesión como una entidad principal. En ese caso, los permisos de la política basada en recursos se añaden después de crear la sesión. Los permisos de la política basada en recursos no están limitados por la política de sesión. La sesión resultante tiene todos los permisos de la política basada en recursos *más* la intersección de la política basada en identidades y la política de sesión.

![\[Evaluación de la política de sesión con una política basada en recursos que especifica el ARN de la sesión\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/EffectivePermissions-session-rbpsession-id.png)


Un límite de permisos puede establecer el número de permisos máximo de un usuario o un rol que se utiliza para crear una sesión. En ese caso, los permisos de la sesión resultantes son la intersección de la política de sesión, el límite de permisos y la política basada en identidades. Sin embargo, un límite de permisos no restringe los permisos concedidos por una política basada en recursos que especifica el ARN de la sesión resultante.

![\[Evaluación de la política de sesión con un límite de permisos\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/EffectivePermissions-session-boundary-id.png)


## Las políticas y el usuario raíz
<a name="access_policies-root"></a>

A la Usuario raíz de la cuenta de AWS le afectan algunos tipos de políticas, pero no todos. No se pueden asociar políticas basadas en identidad al usuario raíz así como tampoco establecer el límite de permisos para el mismo. Sin embargo, es posible especificar el usuario raíz como la entidad principal en un política basada en identidad o una ACL. Un usuario raíz aún sigue siendo miembro de una cuenta. Si una cuenta es miembro de una organización en AWS Organizations, el usuario raíz se ve afectado por las SCP y RCP definidas para la cuenta.

## Información general de políticas de JSON
<a name="access_policies-json"></a>

La mayoría de las políticas se almacenan en AWS como documentos JSON. Las políticas basadas en identidad y las políticas que se utilizan para establecer límites de permisos son documentos de política JSON que se asocian a un usuario o un rol. Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Las SCP y las RCP son documentos de política JSON con sintaxis restringida que se asocian al usuario raíz de la organización, a la unidad organizativa (OU) o a una cuenta de AWS Organizations. Las ACL también se asocian a un recurso, pero se debe utilizar una sintaxis diferente. Las políticas de sesión son políticas JSON que se proporcionan al asumir una sesión de rol o usuario federado.

No es necesario que comprenda la sintaxis JSON. Puede utilizar el editor visual en la Consola de administración de AWS para crear y editar políticas administradas por el cliente sin utilizar JSON. No obstante, si decide utilizar las políticas insertadas para grupos o las políticas complejas, seguirá siendo necesario crear y editar esas políticas en el editor de JSON mediante la consola. Para obtener información sobre cómo utilizar el editor visual, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](access_policies_create.md) y [Edición de políticas de IAM](access_policies_manage-edit.md).

 Al crear o editar una política JSON, IAM puede llevar a cabo la validación de políticas para poder crear una política eficaz. IAM identifica errores de sintaxis JSON, mientras que Analizador de acceso de IAM proporciona verificaciones de políticas adicionales con recomendaciones para poder perfeccionar aún más las políticas. Para obtener más información acerca la validación de políticas, consulte [Validación de la política de IAM](access_policies_policy-validator.md). Para obtener más información acerca de las verificaciones de políticas de Analizador de acceso de IAM y las recomendaciones procesables, consulte [Validación de políticas de Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html). 

### Estructura de los documentos de política JSON
<a name="policies-introduction"></a>

Tal y como se muestra en la siguiente figura, un documento de política JSON incluye estos elementos:
+ Información opcional aplicable a toda la política en la parte superior del documento
+ Una o varias instrucciones individuales**

Cada instrucción incluye información sobre un único permiso. Si una política incluye varias instrucciones, AWS aplica un `OR` lógico a todas las instrucciones al evaluarlas. Si varias políticas son aplicables a una solicitud, AWS aplica un `OR` lógico a todas esas políticas al evaluarlas. 

![\[Estructura de los documentos de política JSON\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/AccessPolicyLanguage_General_Policy_Structure.diagram.png)


La información de una instrucción se incluye en una serie de elementos.
+ **Version** – Especifica la versión del idioma de la política que desea utilizar. Le recomendamos que utilice la última versión de `2012-10-17 `. Para obtener más información, consulte [Elementos de política JSON de IAM: Version](reference_policies_elements_version.md)
+ **Statement** – Utilice este elemento de política principal como contenedor de los siguientes elementos. Puede incluir varias instrucciones en una política.
+ **Sid** (Opcional) – Incluye un ID de instrucción opcional para diferenciar entre las instrucciones.
+ **Effect** – Utilice `Allow` o `Deny` para indicar si la política permite o deniega el acceso.
+ **Principal** (obligatoria en algunas circunstancias): si crea una política basada en recursos, debe indicar la cuenta, el usuario, el rol o la entidad principal de usuario federado de AWS STS a la que desea permitir o denegar el acceso. Si va a crear una política de permisos de IAM para asociarla a un usuario o un rol, no puede incluir este elemento. La entidad principal está implícita como ese usuario o rol.
+ **Action** – Incluye una lista de acciones que la política permite o deniega.
+ **Resource** (Obligatorio en algunas circunstancias): si crea una política de permisos de IAM, debe especificar una lista de recursos a los que se aplican las acciones. Si crea una política basada en recursos, depende del recurso que utilice si este elemento es obligatorio o no.
+ **Condition** (Opcional) - Especifica las circunstancias bajo las cuales la política concede permisos.

Para obtener más información sobre estos y otros elementos más avanzados de las políticas, consulte [Referencia de los elementos de la política de JSON de IAM](reference_policies_elements.md). 

### Varias instrucciones y varias políticas
<a name="policies-syntax-multiples"></a>

Si desea definir varios permisos para una entidad principal (usuario o rol), puede utilizar varias instrucciones en una única política. También puede asociar varias políticas. Si intenta definir varios permisos en una única instrucción, es posible que la política no conceda el acceso previsto. Le recomendamos que separe las políticas por tipo de recurso. 

Debido al [tamaño limitado de las políticas](reference_iam-quotas.md), podría ser necesario utilizar varias políticas para permisos más complejos. También es buena idea crear agrupaciones funcionales de permisos en una política independiente administrada por el cliente. Por ejemplo, crear una política para la administración de usuarios de IAM, una para la autoadministración y otra para la administración de buckets de S3. Independientemente de la combinación de varias instrucciones y varias políticas, AWS [evalúa](reference_policies_evaluation-logic.md) las políticas de la misma manera.

Por ejemplo, la siguiente política tiene tres instrucciones, cada una de las cuales define un conjunto de permisos independiente dentro de una única cuenta. Las instrucciones definen lo siguiente:
+ La primera instrucción, con un `Sid` (ID de instrucción) `FirstStatement`, permite al usuario que tiene la política asociada cambiar su propia contraseña. El elemento `Resource` de esta instrucción es "`*`" (lo que significa "todos los recursos"). Sin embargo, en la práctica, la operación de la API `ChangePassword` (o el comando de la CLI equivalente `change-password`) solo afecta a la contraseña del usuario que realiza la solicitud. 
+ La segunda instrucción permite al usuario obtener una lista de todos los buckets de Amazon S3 en su cuenta de Cuenta de AWS. El elemento `Resource` de esta instrucción es `"*"` (lo que significa "todos los recursos"). Pero debido a que las políticas no conceden acceso a los recursos de otras cuentas, el usuario puede obtener únicamente la lista de los buckets de su propia cuenta de Cuenta de AWS. 
+ La tercera instrucción permite al usuario enumerar y recuperar cualquier objeto que se encuentre en un bucket denominado `amzn-s3-demo-bucket-confidential-data`, pero solo cuando el usuario se autentica con la autenticación multifactor (MFA). El elemento `Condition` de la política aplica la autenticación MFA.

  Si la instrucción de una política incluye un elemento `Condition`, la instrucción solo entra en vigor cuando el elemento `Condition` se evalúa como true. En este caso, la `Condition` se evalúa como true cuando el usuario se autentica mediante MFA. Si el usuario no se autentica mediante MFA, esta `Condition` se evalúa como false. En ese caso, la tercera instrucción de esta política no se aplica y el usuario no tendrá acceso al bucket `amzn-s3-demo-bucket-confidential-data`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "FirstStatement",
      "Effect": "Allow",
      "Action": ["iam:ChangePassword"],
      "Resource": "*"
    },
    {
      "Sid": "SecondStatement",
      "Effect": "Allow",
      "Action": "s3:ListAllMyBuckets",
      "Resource": "*"
    },
    {
      "Sid": "ThirdStatement",
      "Effect": "Allow",
      "Action": [
        "s3:List*",
        "s3:Get*"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket-confidential-data",
        "arn:aws:s3:::amzn-s3-demo-bucket-confidential-data/*"
      ],
      "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
    }
  ]
}
```

------

### Ejemplos de sintaxis de las políticas JSON
<a name="policies-syntax-examples"></a>

La política basada en identidad siguiente permite a la entidad principal enumerar un único bucket de Amazon S3 denominado `amzn-s3-demo-bucket`: 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "s3:ListBucket",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
  }
}
```

------

La política basada en recursos siguiente se puede asociar a un bucket de Amazon S3. La política permite a los miembros de una cuenta de Cuenta de AWS específica realizar cualquier acción de Amazon S3 en el bucket denominado `amzn-s3-demo-bucket`. Permite realizar cualquier acción que pueda llevarse a cabo en un bucket o en los objetos que contiene. (dado que la política concede confianza únicamente a la cuenta, se debe seguir concediendo permisos a los usuarios individuales de la cuenta para realizar las acciones especificadas de Amazon S3). 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:root"
                ]
            },
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
```

------

Para ver políticas de ejemplo que contemplan situaciones comunes, consulte [Ejemplos de políticas basadas en identidad de IAM](access_policies_examples.md).

## Conceder privilegios mínimos
<a name="grant-least-priv"></a>

Al crear políticas de IAM, siga los consejos de seguridad estándar de concesión de *privilegios mínimos* o garantizando solo los permisos necesarios para realizar una tarea. Determine las tareas que tienen que realizar los usuarios y roles, y luego elabore políticas que les permitan realizar *solo* esas tareas. 

Comience con un conjunto mínimo de permisos y conceda permisos adicionales según sea necesario. Por lo general, es más seguro que comenzar con permisos demasiado tolerantes e intentar hacerlos más estrictos más adelante.

Como alternativa a los privilegios mínimos, puede utilizar las [políticas administradas de AWS](access_policies_managed-vs-inline.md#aws-managed-policies) o las políticas con comodín de permisos de `*` para empezar a utilizar políticas. Considere el riesgo de seguridad de conceder a sus entidades principales más permisos de los que necesitan para realizar su trabajo. Supervise esas entidades principales para saber qué permisos están utilizando. A continuación, escriba políticas de privilegios mínimos.

IAM proporciona varias opciones para perfeccionar los permisos que concede.
+ **Comprender las agrupaciones a nivel de acceso** - Puede utilizar las agrupaciones de nivel de acceso para conocer el nivel de acceso que concede una política. Las [acciones de política](reference_policies_elements_action.md) se clasifican como `List`, `Read`, `Write`, `Permissions management` o `Tagging`. Por ejemplo, puede elegir acciones de los niveles de acceso `List` y `Read` para a conceder acceso de solo lectura a los usuarios. Para obtener información sobre cómo utilizar los resúmenes de políticas para entender los permisos de nivel de acceso, consulte [Niveles de acceso en los resúmenes de políticas](access_policies_understand-policy-summary-access-level-summaries.md).
+ **Valide las políticas**: puede realizar la validación de políticas mediante Analizador de acceso de IAM cuando cree y edite políticas JSON. Le recomendamos que revise y valide todas las políticas existentes. Analizador de acceso de IAM proporciona más de 100 verificaciones de políticas para validar sus políticas. Genera advertencias de seguridad cuando una declaración de su política permite el acceso que consideramos excesivamente permisivo. Puede utilizar las recomendaciones procesables que se proporcionan a través de las advertencias de seguridad mientras trabaja para conceder privilegios mínimos. Para obtener más información sobre las verificaciones de políticas proporcionadas por Analizador de acceso de IAM, consulte [Validación de políticas de Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html).
+ **Generar una política basada en la actividad de acceso**: para poder refinar los permisos que concede, puede generar una política de IAM que esté basada en la actividad de acceso de una entidad de IAM (usuario o rol). El analizador de acceso de IAM revisa los registros de AWS CloudTrail y genera una plantilla de política que contiene los permisos que ha utilizado la entidad en el intervalo de tiempo especificado. Puede utilizar la plantilla para crear una política administrada con permisos detallados y, a continuación, adjuntarla a la entidad de IAM. De esta forma, solo concede los permisos que el usuario o rol necesita para interactuar con los recursos de AWS para su caso de uso específico. Para obtener más información, consulte [Generación de políticas del Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).
+ **Utilizar la información de acceso reciente** — Otra característica que puede ayudarle con menos privilegios es *Información de acceso reciente*. Encontrará esta información en la pestaña **Asesor de acceso** de la página de detalles de la consola de IAM de un usuario, grupo, rol o política de IAM. La información del último acceso también incluye información sobre algunas acciones a las que se accedió por última vez para algunos servicios como Amazon EC2, IAM, Lambda y Amazon S3. Si inicia sesión con las credenciales de cuenta administración de AWS Organizations, podrá ver la información de acceso reciente del servicio en la sección **AWS Organizations** de la consola de IAM. También puede utilizar AWS CLI o la API de AWS para recuperar un informe con información de acceso reciente de las entidades o políticas de IAM o AWS Organizations. Puede utilizar esta información para identificar permisos innecesarios, de modo que pueda perfeccionar sus políticas de IAM o AWS Organizations para que cumplan mejor con el principio de privilegio mínimo. Para obtener más información, consulte [Ajuste de permisos en AWS con información sobre los últimos accesos](access_policies_last-accessed.md).
+ **Revisar eventos de cuenta en AWS CloudTrail**: para reducir aún más los permisos, puede observar los eventos de su cuenta en el **Historial de eventos** de AWS CloudTrail. Los registros de eventos de CloudTrail de incluyen información detallada que usted puede utilizar para reducir los permisos de la política. Los registros solo incluyen las acciones y los recursos que sus entidades de IAM necesitan. Para obtener más información, consulte [Ver eventos de CloudTrail en la consola de CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) en la *Guía del usuario de AWS CloudTrail*.



Para obtener más información, consulte los siguientes temas de políticas para servicios individuales, en los que se ofrecen ejemplos sobre cómo redactar políticas para recursos específicos de servicios.
+ [Uso de políticas basadas en recursos para DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/access-control-resource-based.html) en la *Guía para desarrolladores de Amazon DynamoDB*
+ [Políticas de buckets de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) en la *Guía del usuario de Amazon Simple Storage Service*
+ [Información general sobre la lista de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) en la *Guía del usuario de Amazon Simple Storage Service*

# Políticas administradas y políticas insertadas
<a name="access_policies_managed-vs-inline"></a>

Cuando establezca los permisos para una identidad en IAM, debe decidir si desea utilizar una política administrada por AWS, una política administrada por el cliente o una política insertada. En las siguientes secciones, se brinda más información sobre cada uno de los tipos de políticas basadas en identidad y cuándo utilizarlas.

En la siguiente tabla se describen estas políticas:


| Tipo de política | Descripción | ¿Quién administra la política? | ¿Modifica los permisos? | ¿Número de entidades principales aplicadas a la política? | 
| --- | --- | --- | --- | --- | 
| [AWSPolíticas administradas por](#aws-managed-policies) | Política independiente creada y administrada por AWS. | AWS | No | Muchos | 
| [Políticas administradas por el cliente](#customer-managed-policies) | Política que crea para casos de uso específicos y que puede cambiar y actualizar con la frecuencia que desee. | You | Sí | Muchos | 
| [Políticas insertadas](#inline-policies) | Política creada para una única identidad de IAM (usuario, grupo o rol) que mantiene una relación estricta de uno a uno entre una política y una identidad. | You | Sí | One | 

**Topics**
+ [AWSPolíticas administradas por](#aws-managed-policies)
+ [Políticas administradas por el cliente](#customer-managed-policies)
+ [Políticas insertadas](#inline-policies)
+ [Elegir entre políticas administradas y políticas insertadas](access_policies-choosing-managed-or-inline.md)
+ [Convierta una política en línea en una política administrada](access_policies-convert-inline-to-managed.md)
+ [Políticas obsoletas administradas por AWS](access_policies_managed-deprecated.md)

## AWSPolíticas administradas por
<a name="aws-managed-policies"></a>

Una *política administrada por AWS* es una política independiente creada y administrada por AWS. Una *política independiente* es una política que tiene su propio nombre de recurso de Amazon (ARN) que incluye el nombre de la política. Por ejemplo, `arn:aws:iam::aws:policy/IAMReadOnlyAccess` es una política administrada por AWS. Para obtener más información sobre los ARN de , consulte [ARN de IAM](reference_identifiers.md#identifiers-arns). Para obtener una lista de políticas administradas de AWS para los Servicios de AWS, consulte [Políticas administradas de AWS](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html).

Las políticas administradas por AWS le permiten asignar los permisos adecuados a los usuarios, grupos de IAM y roles. Es más rápido que escribir las políticas uno mismo e incluye permisos para muchos casos de uso comunes.

No puede cambiar los permisos definidos en las políticas administradas por AWS. De vez en cuando, AWS actualiza los permisos definidos en una política administrada por AWS. Cuando AWS hace esto, la actualización afecta a todas las entidades principales (usuarios de IAM, grupos de IAM y roles de IAM) a las que la política está asociada. Es más probable que AWS actualice una política administrada por AWS cuando se lanza un nuevo servicio de AWS o hay nuevas llamadas a la API para los servicios existentes. Por ejemplo, la política administrada de AWS denominada **ReadOnlyAccess** ofrece acceso de solo lectura a todos los recursos y Servicios de AWS. Cuando AWS lanza un nuevo servicio, AWS actualiza la política **ReadOnlyAccess** para añadir permisos de solo lectura para el nuevo servicio. Los permisos actualizados se aplican a todas las entidades principales a las que la política está asociada.

*Políticas administradas de AWS de acceso completo*: estas definen los permisos para los administradores de servicios al otorgar acceso completo a un servicio. Entre los ejemplos se incluyen:
+ [AmazonDynamoDBFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDynamoDBFullAccess.html)
+ [IAMFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/IAMFullAccess.html)

*Políticas administradas de AWS de usuarios avanzados*: estas proporcionan acceso completo a los recursos y Servicios de AWS, pero no permiten administrar usuarios y grupos de IAM. Entre los ejemplos se incluyen:
+ [AWSCodeCommitPowerUser](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeCommitPowerUser.html) 
+ [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)

*Políticas administradas de AWS de acceso parcial*: estas proporcionan niveles específicos de acceso a los Servicios de AWS sin los permisos de nivel de acceso de [administración de permisos](access_policies_understand-policy-summary-access-level-summaries.md#access_policies_access-level). Entre los ejemplos se incluyen:
+ [AmazonMobileAnalyticsWriteOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonMobileAnalyticsWriteOnlyAccess.html)
+ [AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html) 

*Políticas administradas de AWS de funciones de trabajo*: estas políticas se alinean estrechamente con funciones de trabajo del sector de la TI y facilitan la concesión de permisos para estas funciones de trabajo. Una ventaja clave del uso de las políticas de la función de trabajo es que se mantienen y actualizan AWS como nuevos servicios y operaciones del API. Por ejemplo, la función de trabajo [AdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html) proporciona acceso completo y delegación de permisos a cada servicio y recurso de AWS. Le recomendamos que utilice esta política únicamente para el administrador de la cuenta. Para los usuarios avanzados que requieran acceso completo a todos los servicios excepto acceso limitado a IAM y AWS Organizations, utilice la función de trabajo [PowerUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/PowerUserAccess.html). Para obtener una lista y las descripciones de la función de políticas, consulte [AWSPolíticas administradas de para funciones de trabajo](access_policies_job-functions.md).

El siguiente diagrama ilustra las políticas administradas por AWS. Este diagrama muestra tres políticas administradas de AWS: **AdministratorAccess**, **PowerUserAccess**, y **AWSCloudTrail\$1ReadOnlyAccess**. Tenga en cuenta que una única política administrada por AWS puede asociarse a las entidades principales de diferentes cuentas de Cuentas de AWS y a diferentes entidades principales de una única cuenta de Cuenta de AWS.

![\[Diagrama de políticas administradas por AWS\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-aws-managed-policies.diagram.png)


## Políticas administradas por el cliente
<a name="customer-managed-policies"></a>

Puede crear políticas independientes en su propia Cuenta de AWS, y asociarlas a las entidades principales (usuarios de IAM, grupos de IAM y roles de IAM). Puede crear estas *políticas administradas por el cliente* para sus casos de uso específicos y puede cambiarlas y actualizarlas con la frecuencia que desee. Al igual que con las políticas administradas de AWS, al asociar una política a una entidad principal, concederá a la entidad los permisos que están definidos en la política. Al actualizar permisos en la política, los cambios se aplican a todas las entidades principales a las que la política está asociada.

Una forma ideal para crear una política administrada por el cliente es comenzar copiando una política administrada por AWS existente. De esta forma sabrá que la política es correcta desde el principio y lo único que necesita hacer es personalizarla según su entorno.

El siguiente diagrama ilustra las políticas administradas por el cliente. Cada política es una entidad de IAM con su propio [Nombre de recurso de Amazon (ARN)](reference_identifiers.md#identifiers-arns) que incluye el nombre de la política. Tenga en cuenta que la misma política puede asociarse a varias entidades principales por ejemplo, la misma **política DynamoDB-books-app** se asocia a dos roles diferentes de IAM.

Para obtener más información, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](access_policies_create.md)

![\[Diagrama de políticas administradas por el cliente\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-customer-managed-policies.diagram.png)


## Políticas insertadas
<a name="inline-policies"></a>

Una política insertada es una política creada para una única identidad de IAM (un usuario, grupo de usuarios o rol). Las políticas insertadas mantienen una relación estricta de uno a uno entre una política y una identidad. Se eliminan cuando se elimina la identidad. Puede crear una política e incluirla en una identidad, ya sea al momento de crear la identidad o posteriormente. Si una política puede aplicarse a más de una entidad, es mejor utilizar una política administrada.

El siguiente diagrama ilustra las políticas insertadas. Cada política forma parte integrante del usuario, grupo o rol. Observe que dos roles incluyen la misma política (la política **DynamoDB-books-app**), pero no la comparten. Cada rol tiene su propia copia de la política.

![\[Diagrama de políticas insertadas\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-inline-policies.diagram.png)


# Elegir entre políticas administradas y políticas insertadas
<a name="access_policies-choosing-managed-or-inline"></a>

Tenga en cuenta sus casos de uso al decidir entre políticas insertadas o políticas administradas. En la mayoría de los casos, le recomendamos que utilice políticas administradas en lugar de políticas insertadas.

**nota**  
Puede usar políticas administradas e insertadas juntas para definir permisos comunes y únicos para una entidad principal.

Las políticas administradas proporcionan las siguientes características:

**Poder reutilizarlas**  
Una única política administrada puede asociarse a varias entidades principales (usuarios, grupos y roles). Puede crear una biblioteca de políticas que definan los permisos útiles para su cuenta de Cuenta de AWS y, a continuación, asociar dichas políticas a las entidades principales según sea necesario.

**Administración centralizada de los cambios**  
Al cambiar una política administrada, el cambio se aplica a todas las entidades principales a las que la política está asociada. Por ejemplo, si desea añadir un permiso para una nueva API de AWS, puede actualizar la política administrada por el cliente o asociar una política administrada de AWS para añadir el permiso. Si utiliza una política administrada por AWS, AWS actualiza la política. Al actualizar una política administrada, los cambios se aplican a todas las entidades principales a las que la política está asociada. En cambio, para cambiar una política insertada, se debe editar individualmente cada identidad insertada que incluya la política. Por ejemplo, si un grupo y un rol incluyen la misma política insertada, debe editar individualmente ambas entidades principales para poder cambiar dicha política. 

**Control de versiones y restauración**  
Al cambiar una política administrada por el cliente, la política cambiada no sobrescribe la política existente. En cambio, IAM crea una nueva versión de la política administrada. IAM almacena hasta cinco versiones de las políticas administradas por el cliente. Puede utilizar las versiones de políticas para revertir una política a una versión anterior en caso de que sea necesario.   
Una versión de política es diferente de un elemento de política `Version`. El elemento de política `Version` se utiliza en una política y define la versión del lenguaje de la política. Para obtener más información sobre las versiones de política, consulte [Control de versiones de políticas de IAM](access_policies_managed-versioning.md). Para obtener más información sobre el elemento de política `Version`, consulte [Elementos de política JSON de IAM: Version](reference_policies_elements_version.md).

**Delegar la administración de permisos**  
Puede permitir a los usuarios de su cuenta de Cuenta de AWS asociar y desasociar políticas a la vez que mantiene el control de los permisos definidos en dichas políticas. Para ello, designe algunos usuarios como administradores completos, es decir, administradores que pueden crear, actualizar y eliminar políticas. A continuación, puede designar otros usuarios como administradores limitados. Esos administradores limitados pueden asociar políticas a otras entidades principales, pero solo las políticas que les ha permitido asociar.  
Para obtener más información acerca de cómo delegar la administración de permisos, consulte [Control del acceso a políticas](access_controlling.md#access_controlling-policies). 

**Límites de caracteres de política más amplios**  
El límite máximo de tamaño de caracteres para las políticas administradas es superior al límite de caracteres para las políticas de grupo en línea. Si alcanza el límite de tamaño de caracteres de la política integrada, puede crear más grupos de IAM y adjuntar la política administrada al grupo.  
Para obtener más información sobre las cuotas y los límites, consulte [IAM y cuotas de AWS STS](reference_iam-quotas.md). 

**Actualizaciones automáticas para las políticas administradas por AWS**  
AWS mantiene políticas administradas por AWS y las actualiza según sea necesario, por ejemplo, para agregar permisos para nuevos servicios de AWS, sin que usted tenga que realizar cambios. Las actualizaciones se aplican automáticamente a las entidades principales a las que haya asociado la política administrada por AWS. 

## Comience a utilizar políticas administradas
<a name="access_policies-get-started-managed-policy"></a>

Recomendamos utilizar políticas que [otorguen el menor privilegio](access_policies.md#grant-least-priv), o que concedan solo los permisos necesarios para realizar una tarea. La forma más segura de conceder un privilegio mínimo es redactar una política administrada por el cliente que conceda únicamente los permisos que necesite el equipo. Debe crear un proceso para permitir que su equipo solicite más permisos cuando sea necesario. Se necesita tiempo y experiencia para [crear políticas administradas por el cliente de IAM](access_policies_create-console.md) que proporcionen a su equipo solo los permisos necesarios.

Para comenzar a agregar permisos a las identidades de IAM (usuarios, grupos de usuarios y roles), puede utilizar [AWSPolíticas administradas por](access_policies_managed-vs-inline.md#aws-managed-policies). Las políticas administradas de AWS no conceden permisos de privilegios mínimos. Considere el riesgo de seguridad de conceder a sus entidades principales más permisos de los que necesitan para realizar su trabajo.

Puede adjuntar políticas administradas de AWS, incluidas las funciones de trabajo, a cualquier identidad de IAM. Para obtener más información, consulte [Adición y eliminación de permisos de identidad de IAM](access_policies_manage-attach-detach.md).

Para cambiar a permisos de privilegios mínimos, puede ejecutar AWS Identity and Access Management y Access Analyzer para supervisar las entidades principales con las políticas administradas de AWS. Después de saber qué permisos están utilizando, puede escribir o generar una política administrada por el cliente con solo los permisos necesarios para su equipo. Esto es menos seguro, pero proporciona más flexibilidad a medida que aprende cómo usa su equipo AWS. Para obtener más información, consulte [Generación de políticas del Analizador de acceso de IAM](access-analyzer-policy-generation.md).

AWSLas políticas administradas por se han concebido para ofrecer permisos para muchos casos de uso comunes. Para obtener más información acerca de las políticas administradas AWS que están diseñadas para funciones de trabajo específicas, consulte [AWSPolíticas administradas de para funciones de trabajo](access_policies_job-functions.md).

Para obtener una lista de políticas administradas por AWS, consulte la [Guía de referencia de políticas administradas por AWS](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).

## Uso de políticas insertadas
<a name="policies-using-inline-policies"></a>

Las políticas insertadas son útiles si desea mantener una relación estricta de uno a uno entre una política y la identidad a la cual se aplica. Por ejemplo, si desea asegurarse de que los permisos en una política no se asignen por error a una identidad que no sea la prevista. Al utilizar una política insertada, los permisos de la política no se pueden asociar por error a la identidad incorrecta. Además, si utiliza la Consola de administración de AWS para eliminar dicha identidad, las políticas insertadas en la identidad también se eliminan, ya que son parte de la entidad principal.

# Convierta una política en línea en una política administrada
<a name="access_policies-convert-inline-to-managed"></a>

Si tiene políticas insertadas en su cuenta, puede convertirlas en políticas administradas. Para ello, copie la política en una nueva política administrada. A continuación, asocie la nueva política a la identidad que tiene la política insertada. A continuación, elimine la política insertada. 

## Cómo convertir una política insertada en una política administrada
<a name="access_policies-convert-inline-to-managed-procedure"></a>

**Para convertir una política insertada en una política administrada**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, elija **Grupos de usuarios**, **Usuarios** o **Roles**.

1. En la lista, elija el nombre del grupo de usuarios, usuario o rol que tiene la política que desea quitar.

1. Elija la pestaña **Permisos**.

1. Para grupos de IAM, seleccione el nombre de la política insertada que desea eliminar. Para usuarios y roles, seleccione **Mostrar *n* más**, si es necesario, y luego amplíe la política insertada que desee eliminar.

1. Seleccione **Copiar** para copiar el documento de política de JSON correspondiente a la política.

1. En el panel de navegación, seleccione **Políticas**.

1. Seleccione **Crear política** y, a continuación, la opción **JSON**.

1. Reemplace el texto existente con el texto de la política de JSON, y luego seleccione **Siguiente**.

1. Ingrese un nombre y una descripción opcional para la política y, a continuación, seleccione **Crear política**.

1. En el panel de navegación, seleccione **Grupos**, **Usuarios** o **Roles** y vuelva a seleccionar el nombre del grupo de usuario, usuario o rol que tenga la política que desea quitar.

1. Seleccione la pestaña **Permisos** y, a continuación, **Agregar permisos**.

1. Para grupos de IAM, seleccione la casilla que se encuentra junto al nombre de la nueva política, elija **Agregar permisos** y, a continuación, elija **Adjuntar política**. Para usuarios o roles, elija **Add permissions (Agregar permisos)**. En la página siguiente, seleccione **Asociar políticas existentes directamente**, después la casilla de verificación situada junto al nombre de la nueva política, a continuación **Siguiente**, y por último **Agregar permisos**.

   Volverá a la página **Resumen** de su usuario, grupo de usuarios o rol.

1. Seleccione la casilla de verificación situada junto a la política insertada que desee eliminar, y luego **Eliminar**.

# Políticas obsoletas administradas por AWS
<a name="access_policies_managed-deprecated"></a>

Para simplificar la asignación de permisos, AWS proporciona [políticas administradas](access_policies_managed-vs-inline.md), es decir, políticas predefinidas listas para asociarlas a usuarios, grupos y roles de IAM.

A veces, AWS necesita añadir un permiso nuevo a una política existente, como, por ejemplo, cuando se introduce un servicio nuevo. Añadir un permiso nuevo a una política no altera ni elimina ninguna característica o capacidad.

Sin embargo, AWS puede optar por crear una política *nueva* cuando los cambios necesarios pueden repercutir sobre los clientes si se aplican a una política ya existente. Por ejemplo, eliminar permisos de una política ya existente podría acabar con los permisos de cualquier entidad o aplicación de IAM que dependiera de dicha política e incluso podría llegar a interrumpir una operación de importancia vital.

Por lo tanto, cuando se requiere un cambio de este tipo, AWS crea una política totalmente nueva con los cambios necesarios y la pone a disposición de los clientes. Después, la política antigua se marca como *descartada*. Para obtener más información, consulte [Políticas obsoletas administradas de AWS](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/about-managed-policy-reference.html#deprecated-managed-policies) en la * Guía de referencia de la política administrada de AWS*.

# Establecimiento de barreras de protección de permisos mediante perímetros de datos
<a name="access_policies_data-perimeters"></a>

Las barreras de protección de perímetros de datos están diseñadas para servir como límites permanentes para ayudar a proteger los datos en un amplio conjunto de cuentas y recursos de AWS. Los perímetros de datos siguen las prácticas recomendadas de seguridad de IAM para [establecer barreras de protección de permisos en varias cuentas](best-practices.md#bp-permissions-guardrails). Estas barreras de protección de permisos para toda la organización no sustituyen a los estrictos controles de acceso existentes. En cambio, funcionan como **controles de acceso detallados** que ayudan a mejorar su estrategia de seguridad al garantizar que los usuarios, los roles y los recursos cumplan con un conjunto de estándares de seguridad definidos. 

Un perímetro de datos es un conjunto de barreras de permisos en su entorno de AWS que ayudan a garantizar que solo sus identidades de confianza accedan a los recursos de confianza desde las redes esperadas. 
+ Identidades de confianza: entidades principales (roles o usuarios de IAM) de sus cuentas de AWS y servicios de AWS que actúan en su nombre.
+ Recursos de confianza: recursos que son propiedad de sus cuentas de AWS o de servicios de AWS que actúan en su nombre.
+ Redes esperadas: sus centros de datos en las instalaciones y nubes privadas virtuales (VPC), o redes de servicios de AWS que actúan en su nombre.

**nota**  
En algunos casos, es posible que necesite ampliar el perímetro de datos para incluir también el acceso de sus socios comerciales de confianza. Debe tener en cuenta todos los patrones de acceso a los datos previstos al crear una definición de identidades de confianza, recursos de confianza y redes esperadas específicas para su empresa y su uso de Servicios de AWS.

Los controles de perímetros de datos deben tratarse como cualquier otro control de seguridad del programa de seguridad de la información y gestión de riesgos. Esto significa que debe realizar un análisis de amenazas para identificar los posibles riesgos en su entorno en la nube y, a continuación, en función de sus propios criterios de aceptación del riesgo, seleccionar e implementar los controles de perímetros de datos adecuados. Para fundamentar mejor el enfoque iterativo basado en el riesgo para la implementación del perímetro de datos, debe comprender qué riesgos de seguridad y vectores de amenazas abordan los controles de perímetros de datos, así como cuáles son sus prioridades de seguridad.

## Controles del perímetro de datos
<a name="access_policies_data-perimeters-controls"></a>

Los controles detallados del perímetro de datos le permiten lograr seis objetivos de seguridad distintos en tres perímetros de datos mediante la implementación de diferentes combinaciones de [Tipos de políticas](access_policies.md#access_policy-types) y [claves de condiciones](reference_policies_condition-keys.md).

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/access_policies_data-perimeters.html)

Puede pensar que los perímetros de datos crean un límite firme alrededor de sus datos para evitar patrones de acceso no deseados. Si bien los perímetros de los datos pueden impedir un acceso no deseado a nivel general, aún debe tomar decisiones sobre el control de acceso detallado. El establecimiento de un perímetro de datos no reduce la necesidad de ajustar continuamente los permisos mediante el uso de herramientas como el [Analizador de acceso de IAM](what-is-access-analyzer.md) como parte de su traspaso a los [privilegios mínimos](best-practices.md#grant-least-privilege).

Para aplicar controles perimetrales de datos a los recursos que actualmente no son compatibles con las RCP, puede utilizar políticas basadas en recursos que se adjunten directamente a los recursos. Para obtener una lista de los servicios que admiten las RCP y las políticas basadas en recursos, consulte [Resource control policies (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) y [Servicios de AWS que funcionan con IAM](reference_aws-services-that-work-with-iam.md).

Para aplicar los controles perimetrales de la red, le recomendamos que utilice `aws:VpceOrgID`, `aws:VpceOrgPaths` y `aws:VpceAccount` solo si todos los servicios a los que desea restringir el acceso son compatibles actualmente. El uso de estas claves de condición con servicios no compatibles puede provocar resultados de autorización no deseados. Para obtener una lista de los servicios compatibles con las claves, consulte [Claves de contexto de condición globales de AWS](reference_policies_condition-keys.md). Si necesita aplicar los controles a una gama más amplia de servicios, considere la posibilidad de utilizar `aws:SourceVpc` y `aws:SourceVpce` en su lugar.

## Perímetro de identidad
<a name="access_policies_data-perimeters-identity"></a>

Un perímetro de identidad es un conjunto de controles de acceso preventivos detallados que ayudan a garantizar que solo las identidades de confianza puedan acceder a sus recursos y que solo las identidades de confianza puedan acceder a su red. Las identidades de confianza por lo general incluyen las entidades principales (roles o usuarios) de sus cuentas de AWS y servicios de AWS que actúan en su nombre. Se considera que todas las demás identidades no son de confianza y el perímetro de identidad las bloquea, a menos que se conceda una excepción explícita.

Las siguientes claves de condiciones globales ayudan a aplicar los controles del perímetro de identidad según su definición de identidades de confianza. Use estas claves en las políticas de control de recursos para restringir el acceso a los recursos, o en las políticas de [puntos de conexión de VPC](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html) para restringir el acceso a sus redes.

### Identidades de su propiedad
<a name="data-perimeters-identity-owned-by-you"></a>

Puede usar las siguientes claves de condición para definir las entidades principales de IAM que cree y administre en su Cuentas de AWS.
+ [aws:PrincipalOrgID](reference_policies_condition-keys.md#condition-keys-principalorgid): puede usar esta clave de condición para asegurarse de que las entidades principales de IAM que realizan la solicitud pertenezcan a la organización especificada en AWS Organizations.
+ [aws:PrincipalOrgPaths](reference_policies_condition-keys.md#condition-keys-principalorgpaths): puede usar esta clave de condición para asegurarse de que el usuario de IAM, el rol de IAM, la entidad principal de usuario federado de AWS STS, la entidad principal federada de SAML, la entidad principal federada de OIDC o el Usuario raíz de la cuenta de AWS que realiza la solicitud pertenezca a la unidad organizativa (OU) especificada enAWS Organizations .
+ [aws:PrincipalAccount](reference_policies_condition-keys.md#condition-keys-principalaccount): puede usar esta clave de condición para garantizar que solo la cuenta de la entidad principal que especifique en la política pueda acceder a los recursos.

### Identidades de los servicios de AWS que actúan en su nombre
<a name="data-perimeters-identity-owned-by-service"></a>

Puede usar las siguientes claves de condición para permitir que los servicios de AWS utilicen sus propias identidades para acceder a sus recursos cuando actúen en su nombre.
+ [aws:PrincipalIsAWSService](reference_policies_condition-keys.md#condition-keys-principalisawsservice) y [aws:SourceOrgID](reference_policies_condition-keys.md#condition-keys-sourceorgid) (o alternativa, [aws:SourceOrgPaths](reference_policies_condition-keys.md#condition-keys-sourceorgpaths) y [aws:SourceAccount](reference_policies_condition-keys.md#condition-keys-sourceaccount)): puede usar estas claves de condición para asegurarse de que, cuando las [entidades principales de Servicio de AWS](reference_policies_elements_principal.md#principal-services) accedan a sus recursos, lo hagan únicamente en nombre de un recurso de la organización, unidad organizativa o cuenta especificadas en AWS Organizations.

Para obtener más información, consulte [Establishing a data perimeter on AWS: Allow only trusted identities to access company data](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-identities-to-access-company-data/).

## Perímetro de recursos
<a name="access_policies_data-perimeters-resource"></a>

Un perímetro de recursos es un conjunto de controles de acceso preventivos detallados que ayudan a garantizar que sus identidades puedan acceder solo a recursos de confianza y que solo se pueda acceder a recursos de confianza desde su red. Los recursos de confianza por lo general incluyen los recursos que son propiedad de sus cuentas de AWS o de servicios de AWS que actúan en su nombre.

Las siguientes claves de condiciones globales ayudan a aplicar los controles del perímetro de recurso según su definición de recursos de confianza. Use estas claves en las [políticas de control de servicio (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) para restringir a qué recursos pueden acceder sus identidades, o en las [políticas de puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) para restringir los recursos a los que se puede acceder desde sus redes.

### Recursos de su propiedad
<a name="data-perimeters-resource-owned-by-you"></a>

Puede usar las siguientes claves de condición para definir los recursos de AWS que cree y administre en su Cuentas de AWS.
+ [aws:ResourceOrgID](reference_policies_condition-keys.md#condition-keys-resourceorgid): puede usar esta clave de condición para asegurarse de que el recurso al que se accede pertenezca a la organización especificada en AWS Organizations.
+ [aws:ResourceOrgPaths](reference_policies_condition-keys.md#condition-keys-resourceorgpaths): puede usar esta clave de condición para asegurarse de que el recurso al que se accede pertenezca a la unidad organizativa especificada en AWS Organizations.
+ [aws:ResourceAccount](reference_policies_condition-keys.md#condition-keys-resourceaccount): puede usar esta clave de condición para asegurarse de que el recurso al que se accede pertenezca a la Cuenta de AWS especificada.

### Recursos de los servicios de AWS que actúan en su nombre
<a name="data-perimeters-resource-owned-by-service"></a>

En algunos casos, es posible que necesite permitir el acceso a los recursos propiedad de AWS, a los recursos que no pertenecen a su organización y a los que acceden sus entidades principales o los servicios de AWS que actúan en su nombre. Para obtener más información sobre estos escenarios, consulte [Establishing a data perimeter on AWS: Allow only trusted resources from my organization](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-resources-from-my-organization/).

## Perímetro de red
<a name="access_policies_data-perimeters-network"></a>

Un perímetro de red es un conjunto de controles de acceso preventivos detallados que ayudan a garantizar que sus identidades puedan acceder solo a recursos de las redes esperadas y que solo se pueda acceder a sus recursos desde las redes esperadas. Las redes esperadas por lo general incluyen sus centros de datos en las instalaciones y nubes privadas virtuales (VPC), o redes de servicios de AWS que actúan en su nombre. 

Las siguientes claves de condiciones globales ayudan a aplicar los controles del perímetro de red según su definición de las redes esperadas. Use estas claves en las [políticas de control de servicios (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) para restringir las redes desde las que se pueden comunicar sus identidades, o en las [políticas de control de recursos](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) para restringir el acceso de los recursos a las redes esperadas.

### Redes de su propiedad
<a name="data-perimeters-network-owned-by-you"></a>

Puede usar las siguientes claves de condición para definir las redes que sus empleados y aplicaciones deben usar para acceder a sus recursos, como el rango de direcciones IP CIDR corporativas y sus VPC.
+ [aws:SourceIp](reference_policies_condition-keys.md#condition-keys-sourceip): puede usar esta clave de condición para asegurarse de que la dirección IP del solicitante esté dentro de un rango de IP específico.
+ [aws:SourceVpc](reference_policies_condition-keys.md#condition-keys-sourcevpc): puede usar esta clave de condición para garantizar que el punto de conexión de VPC por el que pasa la solicitud pertenezca a la VPC especificada.
+ [aws:SourceVpce](reference_policies_condition-keys.md#condition-keys-sourcevpce): puede usar esta clave de condición para garantizar que la solicitud pasa por el punto de conexión de VPC especificado.
+ [aws:VpceAccount](reference_policies_condition-keys.md#condition-keys-vpceaccount): puede usar esta clave de condición para garantizar que las solicitudes pasan por los puntos de conexión de VPC que son propiedad de la cuenta de AWS especificada.
+ [aws:VpceOrgPaths](reference_policies_condition-keys.md#condition-keys-vpceorgpaths): puede usar esta clave de condición para asegurarse de que las entidades principales de IAM que realizan la solicitud pertenezcan a la unidad organizativa (UO) especificada en AWS Organizations.
+ [aws:VpceOrgID](reference_policies_condition-keys.md#condition-keys-vpceorgid): puede usar esta clave de condición para asegurarse de que las solicitudes pasan por los puntos de conexión de VPC que son propiedad de las cuentas de la organización especificada en AWS Organizations.

`aws:VpceAccount`, `aws:VpceOrgPaths` y `aws:VpceOrgID` son particularmente útiles para implementar controles perimetrales de red que se escalan automáticamente con el uso de los puntos de conexión de VPC, sin necesidad de actualizar las políticas durante la creación de nuevos puntos de conexión. Consulte [Claves de contexto de condición globales de AWS](reference_policies_condition-keys.md) para obtener una lista de los Servicios de AWS compatibles con estas claves.

### Redes de los servicios de AWS que actúan en su nombre
<a name="data-perimeters-network-owned-by-service"></a>

Puede usar las siguientes claves de condición para permitir que los servicios de AWS accedan a los recursos desde sus redes cuando actúen en su nombre.
+ [aws:ViaAWSService](reference_policies_condition-keys.md#condition-keys-viaawsservice): puede usar esta clave de condición para asegurarse de que Servicios de AWS pueda realizar solicitudes en nombre de su entidad principal mediante [Sesiones de acceso directo](access_forward_access_sessions.md) (FAS).
+ [aws:PrincipalIsAWSService](reference_policies_condition-keys.md#condition-keys-principalisawsservice): puede usar esta clave de condición para asegurarse de que Servicios de AWS pueda acceder a sus recursos mediante [AWSEntidad principal del servicio de](reference_policies_elements_principal.md#principal-services).

 Existen otros escenarios en los que es necesario permitir el acceso a los Servicios de AWS que acceden a sus recursos desde fuera de la red. Para obtener más información, consulte [Establishing a data perimeter on AWS: Allow access to company data only from expected networks](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-access-to-company-data-only-from-expected-networks/).

## Recursos para obtener más información sobre los perímetros de datos
<a name="access_policies_data-perimeters-resources"></a>

Los siguientes recursos pueden ser de ayuda para obtener más información acerca de los perímetros de datos en AWS.
+ [Perímetros de datos en AWS](https://aws.amazon.com/identity/data-perimeters-on-aws/): obtenga información sobre los perímetros de datos y sus ventajas y casos de uso.
+  [Blog Post Series: Establishing a Data Perimeter on AWS](https://aws.amazon.com/identity/data-perimeters-blog-post-series/): estas publicaciones de blog incluyen una guía prescriptiva sobre cómo establecer un perímetro de datos a escala, incluidas las principales consideraciones de seguridad e implementación.
+  [Data Perimeter Policy Examples](https://github.com/aws-samples/data-perimeter-policy-examples/tree/ce06665ca8b2f07debee7bed5153c3be0f31c73c): este repositorio de GitHub contiene políticas de ejemplo que cubren algunos patrones comunes para poder implementar un perímetro de datos en AWS.
+ [Data perimeter helper](https://github.com/aws-samples/data-perimeter-helper/tree/main?tab=readme-ov-file): esta herramienta le permite diseñar y anticipar el impacto de sus controles de perímetros de datos mediante el análisis de la actividad de acceso en sus registros de [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).

# Límites de permisos para las entidades de IAM
<a name="access_policies_boundaries"></a>

AWS admite *límites de permisos* para las entidades de IAM (usuarios o roles). Un límite de permisos es una característica avanzada para utilizar una política administrada con el fin de definir los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Un límite de permisos para una entidad le posibilita realizar las acciones que le permitan tanto sus políticas basadas en identidad como sus límites de permisos.

Para obtener más información acerca de los tipos de políticas, consulte [Tipos de políticas](access_policies.md#access_policy-types).

**importante**  
No utilice instrucciones de política basadas en recursos que incluyan un elemento de política `NotPrincipal` con un efecto `Deny` para los usuarios o roles de IAM que tengan una política de límite de permisos adjunta. El elemento `NotPrincipal` con efecto `Deny` siempre denegará cualquier entidad principal de IAM que tenga una política de límite de permisos adjunta, independientemente de los valores especificados en el elemento `NotPrincipal`. Esto provoca que algunos usuarios o roles de IAM que de otro modo tendrían acceso al recurso pierdan dicho acceso. Recomendamos cambiar las instrucciones de política basadas en recursos y utilizar el operador de condición [`ArnNotEquals`](reference_policies_elements_condition_operators.md#Conditions_ARN) con la clave de contexto [`aws:PrincipalArn`](reference_policies_condition-keys.md#condition-keys-principalarn) para limitar el acceso en lugar del elemento `NotPrincipal`. Para obtener más información sobre el elemento `NotPrincipal`, consulte [AWS Elemento de la política de JSON de: NotPrincipal](reference_policies_elements_notprincipal.md).

Puede utilizar una política administrada de AWS o una política administrada por el cliente para configurar el límite para una entidad de IAM (usuario o rol). Esa política limita los permisos que puede tener el usuario o rol como máximo.

Por ejemplo, suponga que el usuario de IAM llamado `Shirley` debe poder administrar únicamente Amazon S3, Amazon CloudWatch y Amazon EC2. Para aplicar esta regla, puede utilizar la siguiente política para configurar el límite de permisos para la usuaria `Shirley`:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "cloudwatch:*",
                "ec2:*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Cuando se utiliza una política para configurar el límite de permisos para un usuario, limita los permisos del usuario, pero no proporciona permisos por sí misma. En este ejemplo, la política establece como permisos máximos de `Shirley` todas las operaciones en Amazon S3, CloudWatch y Amazon EC2. Shirley nunca podrá realizar operaciones en ningún otro servicio, tampoco IAM, aunque tenga una política de permisos que lo permita. Por ejemplo, puede añadir la siguiente política a la usuaria `Shirley`:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:CreateUser",
    "Resource": "*"
  }
}
```

------

Esta política permite crear un usuario en IAM. Si asocia esta política de permisos a la usuaria `Shirley` y Shirley intenta crear un usuario, se produce un error en la operación. Se produce un error porque el límite de permisos no permite la operación `iam:CreateUser`. Dadas estas dos políticas, Shirley no tiene permisos para realizar ninguna operación en AWS. Debe agregar una política de permisos diferente para permitir acciones en otros servicios, como Amazon S3. También puede actualizar el límite de permisos para que pueda crear un usuario en IAM.

## Evaluación de los permisos efectivos cuando se usan límites
<a name="access_policies_boundaries-eval-logic"></a>

El límite de permisos de una entidad de IAM (usuario o rol) establece los permisos máximos que esa entidad puede tener. Esto puede cambiar los permisos efectivos para ese usuario o rol. Los permisos efectivos de una entidad son los permisos que le conceden todas las políticas que afectan al usuario o rol. Dentro de una cuenta, los permisos de una entidad pueden verse afectados por políticas basadas en identidad, políticas basadas en recursos, los límites de permisos, SCP de AWS Organizations o políticas de sesión. Para obtener más información sobre los distintos tipos de políticas, consulte [Políticas y permisos en AWS Identity and Access Management](access_policies.md).

Si cualquiera de estos tipos de políticas deniega de forma explícita el acceso para realizar una operación, la solicitud se deniega. Los permisos concedidos a una entidad por varios tipos de permisos son más complejos. Para obtener más información sobre el modo en que AWS evalúa las políticas, consulte [Lógica de evaluación de políticas](reference_policies_evaluation-logic.md).

**Políticas basadas en identidad con límites**: las políticas basadas en identidad son políticas insertadas o administradas asociadas a un usuario, a un grupo de usuarios o a un rol. Las políticas basadas en identidad conceden permisos a la entidad, mientras que los límites de permisos restringen esos permisos. Los permisos efectivos son la intersección de ambos tipos de políticas. Una denegación explícita en una de estas políticas anulará el permiso.

![\[Evaluación de políticas basadas en identidad y límites de permisos\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/permissions_boundary.png)


**Políticas basadas en recursos**: las políticas basadas en recursos controlan la forma en que la entidad principal especificada tiene acceso al recurso al que la política está asociada.

*Políticas basadas en recursos para los usuarios de IAM*  
Dentro de la misma cuenta, las políticas basadas en recursos que otorgan permisos a un ARN de usuario de IAM (que no sea una sesión de entidad principal de usuario federado de AWS STS) no están limitadas por una denegación implícita en una política basada en identidades ni por un límite de permisos.  

![\[Evaluación de una política basada en recursos, un límite de permisos y una política basada en identidad\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/EffectivePermissions-rbp-boundary-id.png)


*Políticas basadas en recursos para los roles de IAM *  
**Rol de IAM**: las políticas basadas en recursos que otorgan permisos a un ARN de rol de IAM están limitadas por una denegación implícita en un límite de permisos o una política de sesión.  
**Sesión de rol de IAM**: dentro de la misma cuenta, las políticas basadas en recursos que otorgan permisos a un ARN de sesión de rol de IAM otorgan permisos directamente a la sesión de rol asumida. Los permisos otorgados directamente a una sesión no están limitados por una denegación implícita en una política basada en la identidad, un límite de permisos ni una política de sesión. Cuando asume un rol y realiza una solicitud, la entidad principal que realiza la solicitud es el ARN de sesión de rol de IAM y no el ARN del rol en sí.

*Políticas basadas en recursos para sesiones de entidad principal de usuario federado de AWS STS*  
**Sesiones de entidad principal de usuario federado de AWS STS**: una sesión de entidad principal de usuario federado de AWS STS es una sesión creada mediante una llamada a[`GetFederationToken`](id_credentials_temp_request.md#api_getfederationtoken). Cuando un usuario federado realiza una solicitud, la entidad principal que realiza la solicitud es el ARN de usuario federado y no el ARN del usuario de IAM que se federó. En la misma cuenta, las políticas basadas en recursos que otorgan permisos a un ARN de usuario federado otorgan permisos directamente a la sesión. Los permisos otorgados directamente a una sesión no están limitados por una denegación implícita en una política basada en la identidad, un límite de permisos ni una política de sesión.  
Sin embargo, si una política basada en recursos otorga permisos al ARN del usuario de IAM que se federó, entonces las solicitudes realizadas por la entidad principal de usuario federado de AWS STS durante la sesión están limitadas por una denegación implícita en un límite de permisos o en una política de sesión.

**SCP de AWS Organizations**: las SCP se aplican a toda una cuenta de Cuenta de AWS. Limitan los permisos de todas las solicitudes que realice alguna entidad principal dentro de la cuenta. Una entidad de IAM (usuario o rol) puede realizar una solicitud que se ve afectada por una SCP, un límite de permisos y una política basada en identidad. En este caso, la solicitud se permite solo si los tres tipos de políticas lo permiten. Los permisos efectivos son la intersección de los tres tipos de políticas. Una denegación explícita en cualquiera de estas políticas anulará el permiso.

![\[Evaluación de una SCP, un límite de permisos y una política basada en identidad\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/EffectivePermissions-scp-boundary-id.png)


Puede saber [si su cuenta es miembro de una organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_details.html#orgs_view_account) en AWS Organizations. Los miembros de la organización podrían verse afectados por una SCP. Para ver estos datos a través del comando AWS CLI u operación de la API de AWS, debe tener permisos para la acción `organizations:DescribeOrganization` para su entidad AWS Organizations. Debe tener permisos adicionales para realizar la operación en la consola AWS Organizations. Para saber si una SCP deniega el acceso a una solicitud específica o para cambiar los permisos efectivos, póngase en contacto con su administrador de AWS Organizations.

**Políticas de sesión**: las políticas de sesión son políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal mediante programación para un rol o un usuario federado. Los permisos de una sesión proceden de la entidad de IAM (usuario o rol) usada para crear la sesión y de la política de sesión. Los permisos que concede la política basada en identidad de la entidad están limitados por la política de sesión y por el límite de permisos. Los permisos efectivos para este conjunto de tipos de políticas son la intersección de los tres tipos de políticas. Una denegación explícita en cualquiera de estas políticas anulará el permiso. Para obtener más información sobre las políticas de sesión, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session).

![\[Evaluación de una política de sesión, un límite de permisos y una política basada en identidad\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/EffectivePermissions-session-boundary-id.png)


## Delegación de responsabilidades en otras personas mediante el uso de límites de permisos
<a name="access_policies_boundaries-delegate"></a>

Puede utilizar los límites de permisos para delegar tareas de administración de permisos, como, por ejemplo, la creación de usuarios, en los usuarios de IAM de su cuenta. Esto permite que otros puedan realizar tareas en su nombre dentro de un límite de permisos específico.

Por ejemplo, supongamos que María es la administradora de la cuenta de Cuenta de AWS de la empresa X. María quiere delegar las tareas de creación de usuarios en Zhang. Sin embargo, debe asegurarse de que Zhang crea los usuarios ateniéndose a las siguientes reglas de la empresa:
+ Los usuarios no pueden utilizar IAM para crear ni administrar usuarios, grupos, roles ni políticas.
+ A los usuarios se les deniega el acceso al bucket `logs` de Amazon S3 y no pueden tener acceso a la instancia de Amazon EC2 `i-1234567890abcdef0`.
+ Los usuarios no pueden eliminar sus propias políticas de límites.

Para aplicar estas reglas, María realiza las tareas siguientes, cuyos detalles se incluyen a continuación:

1. María crea la política administrada `XCompanyBoundaries` para utilizarla como límite de permisos para todos los usuarios nuevos de la cuenta.

1. María crea la política administrada `DelegatedUserBoundary` y se la asigna a Zhang como límite de permisos. Maria toma nota del ARN del usuario administrador de y lo usa en la política para evitar que Zhang obtenga acceso a él.

1. María crea la política administrada `DelegatedUserPermissions` y se la asocia a Zhang como política de permisos.

1. María informa a Zhang sobre sus nuevas responsabilidades y limitaciones.

**Tarea 1:** María primero debe crear una política administrada para definir los límites para los nuevos usuarios. María permitirá a Zhang que proporcione a los usuarios las políticas de permisos que necesitan, pero desea que los usuarios estén restringidos. Para ello, crea la siguiente política administrada por el cliente denominada `XCompanyBoundaries`. Esta política hace lo siguiente:
+ Otorga a los usuarios acceso completo a varios servicios
+ Permite acceso de autoadministración limitado en la consola de IAM. Esto significa que pueden cambiar su contraseña después de iniciar sesión en la consola. No pueden establecer su contraseña inicial. Si desea permitirlo, añada la acción `"*LoginProfile"` a la instrucción `AllowManageOwnPasswordAndAccessKeys`.
+ Deniega a los usuarios el acceso al bucket de registros de Amazon S3 o a la Instancia de Amazon EC2 de `i-1234567890abcdef0`

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ServiceBoundaries",
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "cloudwatch:*",
                "ec2:*",
                "dynamodb:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIAMConsoleForCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswordAndAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:*AccessKey*",
                "iam:ChangePassword",
                "iam:GetUser",
                "iam:*ServiceSpecificCredential*",
                "iam:*SigningCertificate*"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "DenyS3Logs",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::logs",
                "arn:aws:s3:::logs/*"
            ]
        },
        {
            "Sid": "DenyEC2Production",
            "Effect": "Deny",
            "Action": "ec2:*",
            "Resource": "arn:aws:ec2:*:*:instance/i-1234567890abcdef0"
        }
    ]
}
```

------

Cada instrucción tiene una finalidad específica:

1. La instrucción `ServiceBoundaries` de esta política permite acceso completo a los servicios de AWS especificados. Esto significa que las acciones de un usuario nuevo en estos servicios solamente están limitadas por las políticas de permisos que se han asociado al usuario.

1. La instrucción `AllowIAMConsoleForCredentials` permite el acceso para obtener una lista de todos los usuarios de IAM. Este acceso es necesario para recorrer la página **Users (Usuarios)** de la Consola de administración de AWS. También permite ver los requisitos de la contraseña de la cuenta, lo que es necesario para cambiar su propia contraseña.

1. La instrucción `AllowManageOwnPasswordAndAccessKeys` les permite a los usuarios administrar únicamente su propia contraseña de la consola y las claves de acceso mediante programación. Esto es importante si Zhang u otro administrador le asigna a un usuario nuevo una política de permisos con acceso completo a IAM. En tal caso, este usuario podría cambiar sus propios permisos o los de otros usuarios. Esta instrucción impide que eso ocurra.

1. La instrucción `DenyS3Logs` deniega explícitamente el acceso al bucket `logs`.

1. La instrucción `DenyEC2Production` deniega explícitamente el acceso a la instancia `i-1234567890abcdef0`.

**Tarea 2:** María desea permitir que Zhang cree todos los usuarios de X-Company, pero solo con el límite de permisos `XCompanyBoundaries`. Crea la siguiente política administrada por el cliente denominada `DelegatedUserBoundary`. Esta política define los permisos que Zhang puede tener como máximo.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateOrChangeOnlyWithBoundary",
            "Effect": "Allow",
            "Action": [
                "iam:AttachUserPolicy",
                "iam:CreateUser",
                "iam:DeleteUserPolicy",
                "iam:DetachUserPolicy",
                "iam:PutUserPermissionsBoundary",
                "iam:PutUserPolicy"
            ],
            "Resource": "*",
            "Condition": {
               "StringEquals": {
                 "iam:PermissionsBoundary": "arn:aws:iam::123456789012:policy/XCompanyBoundaries"
                }
            }
        },
        {
            "Sid": "CloudWatchAndOtherIAMTasks",
            "Effect": "Allow",
            "Action": [
              "cloudwatch:*",
              "iam:CreateAccessKey",
              "iam:CreateGroup",
              "iam:CreateLoginProfile",
              "iam:CreatePolicy",
              "iam:DeleteGroup",
              "iam:DeletePolicy",
              "iam:DeletePolicyVersion",
              "iam:DeleteUser",
              "iam:GetAccountPasswordPolicy",
              "iam:GetGroup",
              "iam:GetLoginProfile",
              "iam:GetPolicy",
              "iam:GetPolicyVersion",
              "iam:GetRolePolicy",
              "iam:GetUser",
              "iam:GetUserPolicy",
              "iam:ListAccessKeys",
              "iam:ListAttachedRolePolicies",
              "iam:ListAttachedUserPolicies",
              "iam:ListEntitiesForPolicy",
              "iam:ListGroups",
              "iam:ListGroupsForUser",
              "iam:ListMFADevices",
              "iam:ListPolicies",
              "iam:ListPolicyVersions",
              "iam:ListRolePolicies",
              "iam:ListSSHPublicKeys",
              "iam:ListServiceSpecificCredentials",
              "iam:ListSigningCertificates",
              "iam:ListUserPolicies",
              "iam:ListUsers",
              "iam:SetDefaultPolicyVersion",
              "iam:SimulateCustomPolicy",
              "iam:SimulatePrincipalPolicy",
              "iam:UpdateGroup",
              "iam:UpdateLoginProfile",
              "iam:UpdateUser"
            ],
            "NotResource": "arn:aws:iam::123456789012:user/Maria"
        },
        {
            "Sid": "NoBoundaryPolicyEdit",
            "Effect": "Deny",
            "Action": [
                "iam:CreatePolicyVersion",
                "iam:DeletePolicy",
                "iam:DeletePolicyVersion",
                "iam:SetDefaultPolicyVersion"
            ],
            "Resource": [
                "arn:aws:iam::123456789012:policy/XCompanyBoundaries",
                "arn:aws:iam::123456789012:policy/DelegatedUserBoundary"
            ]
        },
        {
            "Sid": "NoBoundaryUserDelete",
            "Effect": "Deny",
            "Action": "iam:DeleteUserPermissionsBoundary",
            "Resource": "*"
        }
    ]
}
```

------

Cada instrucción tiene una finalidad específica:

1. La instrucción `CreateOrChangeOnlyWithBoundary` permite a Zhang crear usuarios de IAM pero solo si utiliza la política `XCompanyBoundaries` para establecer el límite de permisos. Esta instrucción también le permite configurar el límite de permisos de los usuarios existentes, pero únicamente si utiliza esa misma política. Por último, esta instrucción permite a Zhang administrar las políticas de permisos de los usuarios que tienen configurado este límite de permisos.

1. La instrucción `CloudWatchAndOtherIAMTasks` permite a Zhang realizar otras tareas de administración de usuarios, grupos y políticas. Él tiene permisos para restablecer contraseñas y crear claves de acceso para cualquier usuario de IAM que no aparezca en el elemento de política `NotResource`. Esto le permite ayudar a los usuarios con problemas de inicio de sesión.

1. La instrucción `NoBoundaryPolicyEdit` deniega a Zhang el acceso para actualizar la política `XCompanyBoundaries`. No se le permite modificar ninguna política que se utilice para configurar el límite de permisos para sí mismo ni para los demás usuarios.

1. La instrucción `NoBoundaryUserDelete` deniega a Zhang acceso de eliminación del límite de permisos para sí mismo y para los demás usuarios.

A continuación, María asigna la política `DelegatedUserBoundary` [como límite de permisos](id_users_change-permissions.md#users_change_permissions-set-boundary-console) para el usuario `Zhang`. 

**Tarea 3:** debido a que el límite de permisos limita los permisos máximos, pero no concede acceso por sí solo, María debe crear una política de permisos para Zhang. Crea la siguiente política denominada `DelegatedUserPermissions`. Esta política define las operaciones que Zhang puede realizar, dentro del límite definido.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "IAM",
            "Effect": "Allow",
            "Action": "iam:*",
            "Resource": "*"
        },
        {
            "Sid": "CloudWatchLimited",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetDashboard",
                "cloudwatch:GetMetricData",
                "cloudwatch:ListDashboards",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics"
            ],
            "Resource": "*"
        },
        {
            "Sid": "S3BucketContents",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::ZhangBucket"
        }
    ]
}
```

------

Cada instrucción tiene una finalidad específica:

1. La instrucción `IAM` de la política permite a Zhang acceso completo a IAM. No obstante, puesto que su límite de permisos permite únicamente algunas operaciones de IAM, sus permisos efectivos de IAM solamente se ven limitados por dicho límite de permisos.

1. La instrucción `CloudWatchLimited` permite a Zhang realizar cinco acciones en CloudWatch. Su límite de permisos permite todas las acciones de CloudWatch, por lo que sus permisos efectivos de CloudWatch solamente se ven limitados por su política de permisos.

1. La instrucción `S3BucketContents` permite a Zhang mostrar el bucket de Amazon S3 `ZhangBucket`. Sin embargo, como su límite de permisos no permite realizar ninguna acción de Amazon S3, no puede realizar operaciones de S3, independientemente de su política de permisos.
**nota**  
Las políticas de Zhang le permiten crear un usuario que pueda obtener acceso a recursos de Amazon S3 a los que él no tiene acceso. Al delegar estas acciones administrativas, Maria establece una relación de confianza con Zhang con acceso a Amazon S3. 

A continuación, María asocia la política `DelegatedUserPermissions` como política de permisos para el usuario `Zhang`. 

**Tarea 4:** proporciona a Zhang instrucciones para crear usuarios. Le indica que puede crear usuarios con los permisos que necesiten, pero que debe asignarles la política `XCompanyBoundaries` como límite de permisos.

Zhang realiza las tareas siguientes:

1. Zhang crea un usuario con la Consola de administración de AWS. Escribe el nombre de usuario `Nikhil` y le concede acceso a la consola. Desmarque la casilla de verificación situada junto a **Requiere restablecimiento de contraseña**, ya que las políticas anteriores solo permiten cambiar las contraseñas a los usuarios después de haber iniciado sesión en la consola de IAM.

1. En la página **Set permissions (Establecer permisos)**, Zhang elige las políticas de permisos **IAMFullAccess** y **AmazonS3ReadOnlyAccess** que permiten a Nikhil hacer su trabajo. 

1. Zhang omite la sección **Set permissions boundary (Configurar límite de permisos)**, olvidando las instrucciones de María.

1. Zhang revisa los detalles del usuario y elige **Create user (Crear usuario)**.

   Se produce un error en la operación y se deniega el acceso. El límite de permisos `DelegatedUserBoundary` de Zhang requiere que cualquier usuario que cree utilice la política `XCompanyBoundaries` como límite de permisos.

1. Zhang vuelve a la página anterior. En la sección, **Set permissions boundary (Configurar límite de permisos)** elige la política `XCompanyBoundaries`. 

1. Zhang revisa los detalles del usuario y elige **Create user (Crear usuario)**.

   El usuario se crea. 

Cuando Nikhil inicia sesión, tiene acceso a IAM y a Amazon S3, salvo para las operaciones denegadas por el límite de permisos. Por ejemplo, puede cambiar su propia contraseña en IAM, pero no puede crear otro usuario ni editar sus políticas. Nikhil tiene acceso de solo lectura a Amazon S3.

Si alguien añade una política basada en recursos al bucket de `logs` que permite que Nikhil coloque un objeto en el bucket, aun así no puede obtener acceso al bucket. El motivo es que el límite de permisos deniega explícitamente cualquier acción sobre el bucket de `logs`. Una denegación explícita en cualquier tipo de política hace que la solicitud se deniegue. Sin embargo, si una política basada en recursos asociada a un secreto de Secrets Manager permite a Nikhil ejecutar la acción `secretsmanager:GetSecretValue`, entonces Nikhil podrá obtener y descifrar el secreto. Esto se debe a que el límite de permisos no deniega explícitamente las operaciones de Secrets Manager, y las denegaciones implícitas de los límites de permisos no restringen las políticas basadas en recursos.

# Políticas basadas en identidad y políticas basadas en recursos
<a name="access_policies_identity-vs-resource"></a>

Una política es un objeto de AWS que, cuando se asocia a una identidad o un recurso, define sus permisos. Al crear una política de permisos para restringir el acceso a un recurso, puede elegir una *política basada en identidad* o una *política basada en recursos*.

Las **políticas basadas en identidad** se asocian a un usuario, grupo o rol de IAM. Estas políticas le permiten especificar lo que esa identidad puede hacer (sus permisos). Por ejemplo, puede asociar la política a un usuario de IAM llamado John, indicando que tiene permiso para utilizar la acción `RunInstances` de Amazon EC2. La política podría indicar también que John tiene permiso para obtener elementos de una tabla de Amazon DynamoDB denominada `MyCompany`. También puede permitir a John administrar sus propias credenciales de seguridad de IAM. Las políticas basadas en la identidad pueden ser [administradas o insertadas](access_policies_managed-vs-inline.md).

Las **políticas basadas en recursos** se asocian a un recurso. Por ejemplo, puede asociar políticas basadas en recursos a buckets de Amazon S3, colas de Amazon SQS, puntos de conexión de VPC, claves de cifrado de AWS Key Management Service y tablas y secuencias de Amazon DynamoDB. Para obtener una lista de las políticas que admiten los permisos basados en recursos, consulte [Servicios de AWS que funcionan con IAM](reference_aws-services-that-work-with-iam.md).

Con las políticas basadas en recursos, puede especificar quién tiene acceso al recurso y qué acciones puede realizar en él. Consulte [¿Qué es IAM Access Analyzer?](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) para saber si las entidades principales de las cuentas fuera de su zona de confianza (cuenta u organización de confianza) tienen acceso para asumir sus roles. Las políticas basadas en recursos solo son insertadas, no se administran.

**nota**  
Las políticas *basadas en recursos* difieren de los permisos *en el nivel de recursos*. Puede asociar políticas basadas en recursos directamente a un recurso, tal y como se describe en este tema. Los permisos de nivel de recursos se refieren a la capacidad de utilizar [ARN](reference_identifiers.md#identifiers-arns) para especificar recursos individuales en una política. Las políticas basadas en recursos solo se admiten en algunos servicios de AWS. Para obtener una lista de los servicios que admiten las políticas basadas en recursos y de nivel de recursos, consulte [Servicios de AWS que funcionan con IAM](reference_aws-services-that-work-with-iam.md).

Para obtener información sobre cómo interactúan las políticas basadas en identidad y las políticas basadas en recursos dentro de la misma cuenta, consulte [Evaluación de políticas para solicitudes dentro de una misma cuenta](reference_policies_evaluation-logic_policy-eval-basics.md).

Para obtener información sobre cómo interactúan las políticas entre las cuentas, consulte [Lógica de evaluación de políticas entre cuentas](reference_policies_evaluation-logic-cross-account.md).

Para comprender mejor estos conceptos, vea la siguiente ilustración. El administrador de la cuenta `123456789012` asociada a las *políticas basadas en identidad* a los usuarios `John`, `Carlos` y `Mary`. Algunas de las acciones de estas políticas pueden realizarse en recursos específicos. Por ejemplo, el usuario `John` puede realizar algunas acciones en `Resource X`. Se trata de un *permiso de nivel de recursos* en una política basada en la identidad. El administrador también ha añadido *políticas basadas en recursos* a `Resource X`, `Resource Y` y `Resource Z`. Las políticas basadas en recursos le permiten especificar quién puede acceder a ese recurso. Por ejemplo, la política basada en recursos en `Resource X` permite a la lista de usuarios `John` y `Mary` acceso de lectura al recurso.

![\[Políticas basadas en identidad y políticas basadas en recursos\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/Types_of_Permissions.diagram.png)


El ejemplo de cuenta `123456789012` permite a los siguientes usuarios realizar las acciones indicadas:
+ **John**: John puede realizar acciones de lista y lectura en `Resource X`. Se le concede este permiso mediante la política basada en la identidad en su usuario y la política basada en recursos en `Resource X`.
+ **Carlos**: Carlos puede realizar acciones de lista, lectura y escritura en `Resource Y`, pero se deniega el acceso a `Resource Z`. La política basada en la identidad en Carlos le permite realizar acciones de lista y lectura en `Resource Y`. La política basada en recursos `Resource Y` le permite también permisos de escritura. Sin embargo, aunque su política basada en la identidad le permite el acceso a `Resource Z`, la política basada en recursos `Resource Z` deniega ese tipo de acceso. Una denegación `Deny` explícita anula un permiso `Allow`, lo que le impide el acceso a `Resource Z`. Para obtener más información, consulte [Lógica de evaluación de políticas](reference_policies_evaluation-logic.md). 
+ **Mary**: Mary puede realizar operaciones de lista, lectura y escritura en `Resource X`, `Resource Y` y `Resource Z`. Su política basada en la identidad le permite más acciones en más recursos de las políticas basadas en recursos, pero ninguno de ellos deniega el acceso.
+ **Zhang**: Zhang tiene acceso total a `Resource Z`. Zhang no tiene políticas basadas en la identidad, pero la política basada en recursos `Resource Z` le permite el acceso completo al recurso. Zhang también puede realizar acciones de lista y lectura en `Resource Y`.

Las políticas basadas en la identidad y las políticas basadas en recursos son políticas de permisos y se evalúan juntas. Para una solicitud a la que se aplican solo políticas de permisos, AWS en primer lugar comprueba todas las políticas de `Deny`. Si existe, se deniega la solicitud. A continuación, AWS comprueba cada permiso `Allow`. Si al menos una instrucción de la política permite la acción en la solicitud, la solicitud se permite. No importa si el permiso `Allow` se encuentra en la política basada en identidad o en la política basada en recursos.

**importante**  
Esta lógica solo se aplica cuando la solicitud se realiza dentro de una cuenta única de Cuenta de AWS. Para las solicitudes realizadas de una cuenta a otra, el solicitante de la cuenta `Account A` debe tener una política basada en identidad que le permita realizar una solicitud al recurso en la cuenta `Account B`. Además, la política basada en recursos en `Account B` debe permitir al solicitante en `Account A` obtener acceso al recurso. Debe haber políticas en ambas cuentas que permitan la operación; de lo contrario, la solicitud producirá un error. Para obtener más información acerca del uso de políticas basadas en recursos para acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](access_policies-cross-account-resource-access.md).

Un usuario que tenga permisos específicos puede solicitar un recurso que también tenga una política de permisos asociada. En ese caso, AWS evalúa ambos conjuntos de permisos al determinar si debe conceder acceso al recurso. Para obtener información sobre cómo se evalúan las políticas, consulte [Lógica de evaluación de políticas](reference_policies_evaluation-logic.md). 

**nota**  
Amazon S3 admite las políticas basadas en identidad y las políticas basadas en recursos (a las que se denomina *políticas de bucket*). Además, Amazon S3 es compatible con un mecanismo de permiso conocido como una *lista de control de acceso (ACL)* independiente de las políticas y los permisos de IAM. Puede utilizar políticas de IAM combinadas con ACL de Amazon S3. Para obtener más información, consulte [Control de acceso ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingAuthAccess.html) en la *Guía del usuario de Amazon Simple Storage Service*. 

# Control del acceso a los recursos de AWS mediante políticas
<a name="access_controlling"></a>

Puede utilizar una política para controlar el acceso a los recursos de IAM o de todo AWS.

Para utilizar una [política](access_policies.md) para controlar el acceso en AWS, debe entender cómo AWS otorga acceso. AWS se compone de colecciones de *recursos*. Un usuario de IAM es un recurso. Un bucket de Amazon S3 es un recurso. Cuando se utiliza la API de AWS, la AWS CLI o la Consola de administración de AWS para realizar una operación (como, por ejemplo, crear un usuario), se envía una *solicitud* para dicha operación. La solicitud especifica una acción, un recurso, una *entidad principal* (usuario o rol), una *cuenta principal* y toda la información de la solicitud necesaria. Toda esta información proporciona el *contexto*.

AWS comprueba entonces que usted (la entidad principal) se ha autenticado (ha iniciado sesión) y está autorizado (tiene permiso) para realizar la acción especificada en el recurso especificado. Durante la autorización, AWS comprueba todas las políticas aplicables al contexto de la solicitud. La mayoría de las políticas se almacenan en AWS como [documentos JSON](access_policies.md#access_policies-json) y especifican los permisos de las entidades principales. Para obtener más información sobre los tipos de políticas y sus usos, consulte [Políticas y permisos en AWS Identity and Access Management](access_policies.md).

AWS autoriza la solicitud únicamente si cada parte de la solicitud está permitida por las políticas. Para ver un diagrama de este proceso, consulte [Cómo funciona IAM](intro-structure.md). Para obtener información detallada acerca de cómo AWS determina si una solicitud está permitida, consulte [Lógica de evaluación de políticas](reference_policies_evaluation-logic.md). 

Cuando crea una política de IAM, puede controlar el acceso a lo siguiente:
+ **[Entidades principales](#access_controlling-principals)** – Controle qué puede hacer la persona que realiza la solicitud (la entidad [principal](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#principal)). 
+ **[Identidades de IAM](#access_controlling-identities)** – Controle a qué identidades de IAM (grupos de IAM, usuarios y roles) se puede tener acceso y cómo.
+ **[Políticas de IAM](#access_controlling-policies)** – Controle quién puede crear, editar y eliminar políticas administradas por el cliente y quién puede asociar y desasociar todas las políticas administradas.
+ **[Recursos de AWS](#access_controlling-resources)** – Controle quién tiene acceso a los recursos a través de una política basada en identidad o una política basada en recursos.
+ **[Cuentas de AWS](#access_controlling-principal-accounts)** – Controle si una solicitud se permite únicamente para los miembros de una cuenta determinada.

Las políticas le permiten especificar quién tiene acceso a recursos de AWS y qué acciones pueden realizar en dichos recursos. Todos los usuarios de IAM empiezan sin permisos. En otras palabras, de forma predeterminada, los usuarios no pueden hacer nada, ni siquiera consultar sus propias claves de acceso. Para proporcionar a un usuario permiso para hacer algo, puede añadir el permiso al usuario (es decir, asociar una política al usuario). También puede agregar el usuario a un grupo de usuarios que tenga el permiso necesario.

Por ejemplo, puede conceder a un usuario permiso para generar una lista de sus propias claves de acceso. También puede ampliar ese permiso y permitir que cada usuario cree, actualice y elimine sus propias claves. 

Cuando concede permisos a un grupo de usuarios, todos los usuarios de ese grupo de usuarios obtienen los permisos. Por ejemplo, puede dar permiso al grupo de usuarios Administrators para que realice cualquiera de las acciones de IAM con cualquiera de los recursos de la cuenta de Cuenta de AWS. Otro ejemplo: puede dar permiso al grupo de usuarios de administradores para describir las instancias de Amazon EC2 de la cuenta de Cuenta de AWS.

Para obtener información sobre cómo delegar permisos básicos a sus usuarios, grupos de IAM y roles, consulte [Permisos obligatorios para obtener acceso a recursos de IAM](access_permissions-required.md). Para ver ejemplos de políticas adicionales que ilustran estos permisos básicos, consulte [Ejemplos de políticas para administrar recursos de IAM](id_credentials_delegate-permissions_examples.md).

## Control del acceso para entidades principales de
<a name="access_controlling-principals"></a>

Puede utilizar políticas para controlar qué puede hacer la persona que realiza la solicitud (la entidad principal). Para ello, debe asociar una política basada en identidad a la identidad de esa persona (usuario, grupo de usuarios o rol). También puede utilizar un [límite de permisos](access_policies_boundaries.md) que establezca los permisos máximos que una entidad (usuario o rol) puede tener.

Por ejemplo, suponga que desea que el usuario Zhang Wei tenga acceso completo a CloudWatch, Amazon DynamoDB, Amazon EC2, y Amazon S3. Puede crear dos políticas diferentes para poder dividirlas más adelante si necesita un conjunto de permisos para un usuario distinto. O puede incluir los dos permisos en una única política y, a continuación, asociar dicha política al usuario de IAM llamado Zhang Wei. También podría asociar una política a un grupo de usuarios al que pertenezca Zhang o a un rol que Zhang pueda asumir. Como resultado, cuando Zhang vea el contenido de un bucket de S3, se permitirán sus solicitudes. Si intenta crear un usuario de IAM, se denegará su solicitud porque no tiene permiso. 

Puede utilizar un límite de permisos con Zhang para asegurarse de que nunca se le concede acceso al bucket de S3 `amzn-s3-demo-bucket1`. Para ello, determine los permisos que desea que Zhang tenga *como máximo*. En este caso, puede controlar lo que hace con sus políticas de permisos. Aquí, solo le importa que no tenga acceso al bucket confidencial. Por lo tanto, utilice la siguiente política para definir el límite de Zhang de forma que se le permitan todas las acciones de AWS para Amazon S3 y algunos otros servicios, pero se le deniegue el acceso al bucket de S3 `amzn-s3-demo-bucket1`. Debido a que el límite de permisos no permite ninguna acción de IAM, evita que Zhang elimine su límite (o el de cualquier otra persona).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PermissionsBoundarySomeServices",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:*",
                "dynamodb:*",
                "ec2:*",
                "s3:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PermissionsBoundaryNoConfidentialBucket",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1",
                "arn:aws:s3:::amzn-s3-demo-bucket1/*"
            ]
        }
    ]
}
```

------

Cuando asigne una política de este tipo como un límite de permisos para un usuario, recuerde que no concede ningún permiso. Solo establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. Para obtener más información sobre los límites de permisos, consulte [Límites de permisos para las entidades de IAM](access_policies_boundaries.md).

Para obtener información detallada sobre los procedimientos mencionados anteriormente, consulte estos recursos:
+ Para obtener más información sobre cómo crear una política de IAM que pueda asociar a una entidad principal, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](access_policies_create.md).
+ Para obtener información sobre cómo asociar una política de IAM a una entidad principal, consulte [Adición y eliminación de permisos de identidad de IAM](access_policies_manage-attach-detach.md).
+ Para ver una política de ejemplo que concede acceso completo a EC2, consulte [Amazon EC2: permite el acceso completo a EC2 en una región determinada, mediante programación y en la consola](reference_policies_examples_ec2_region.md).
+ Para permitir el acceso de solo lectura a un bucket de S3, utilice las dos primeras instrucciones de la siguiente política de ejemplo: [Amazon S3: permite el acceso de lectura y escritura a objetos en un bucket de S3 mediante programación y en la consola](reference_policies_examples_s3_rw-bucket-console.md).
+ Para ver una política de ejemplo a fin de permitirles a los usuarios definir sus credenciales, como la contraseña de la consola, las claves de acceso mediante programación y los dispositivos MFA, consulte [AWS: permite a los usuarios de IAM autenticados por MFA administrar sus propias credenciales en la página Credenciales de seguridad](reference_policies_examples_aws_my-sec-creds-self-manage.md).

## Control del acceso a identidades
<a name="access_controlling-identities"></a>

Puede utilizar políticas de IAM para controlar lo que los usuarios pueden hacer con una identidad creando una política y asociándola a todos los usuarios mediante un grupo de usuarios. Para ello, cree una política que limite lo que se puede hacer en una identidad o quién puede tener acceso a ella.

Por ejemplo, puede crear un grupo de usuarios llamado **AllUsers** y, a continuación, asociar ese grupo de usuarios a todos los usuarios. Cuando crea el grupo de usuarios, puede otorgarle acceso a todos los usuarios para que definan sus credenciales como se describe en la sección anterior. A continuación, puede crear una política que deniegue el acceso para cambiar el grupo de usuarios a menos que el nombre de usuario se incluya en la condición de la política. Sin embargo, esa parte de la política solo deniega el acceso a todos los usuarios menos a los indicados. También debe incluir permisos para permitir todas las acciones de administración del grupo de usuarios a todos los miembros del grupo de usuarios. Por último, debe asociar esta política al grupo de usuarios de forma que se aplique a todos los usuarios. Como resultado, cuando un usuario no especificado en la política intente realizar cambios en el grupo de usuarios, se denegará la solicitud. 

**Para crear esta política con el editor visual**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación de la izquierda, elija **Políticas**. 

   Si es la primera vez que elige **Políticas**, aparecerá la página **Welcome to Managed Policies** (Bienvenido a políticas administradas). Elija **Get Started** (Comenzar).

1. Elija **Create Policy** (Crear política).

1. En la sección **Editor de políticas**, seleccione la opción **Visual**.

1. En **Seleccionar un servicio**, seleccione **IAM**.

1. En **Acciones permitidas**, escriba **group** en el cuadro de búsqueda. El editor visual muestra todas las acciones de IAM que contienen la palabra `group`. Seleccione todas las casillas de verificación.

1. Elija **Resources (Recursos)** para especificar recursos para su política. En función de las acciones que haya elegido, debería ver los tipos de recursos **grupo** y **usuario**.
   + **grupo**: seleccione **Agregar ARN**. En **Recurso en**, seleccione la opción **Cualquier cuenta**. Seleccione la casilla de verificación **Cualquier nombre de grupo con ruta** y, a continuación, escriba el nombre de grupo de usuarios **AllUsers**. A continuación, seleccione **Agregar ARN**.
   + **usuario**: seleccione la casilla de verificación situada junto a **Cualquiera de esta cuenta**.

   Una de las acciones que ha elegido, `ListGroups`, no permite el uso de recursos específicos. No tiene que elegir **All resources (Todos los recursos)** para esa acción. Cuando guarde la política o la visualice en el editor **JSON**, podrá ver que IAM crea automáticamente un nuevo bloque de permisos que conceden a esta acción permiso en todos los recursos.

1. Para agregar otro bloque de permisos, seleccione **Agregar más permisos**.

1. Seleccione **Seleccionar un servicio**, y luego **IAM**.

1. Seleccione **Acciones permitidas**, y después **Cambiar a denegar permisos**. Cuando termine, se utilizará todo el bloque para denegar permisos.

1. Escriba **group** en el cuadro de búsqueda. El editor visual muestra todas las acciones de IAM que contienen la palabra `group`. Seleccione las casillas situadas junto a las siguientes acciones:
   + **CreateGroup**
   + **DeleteGroup**
   + **RemoveUserFromGroup**
   + **AttachGroupPolicy**
   + **DeleteGroupPolicy**
   + **DetachGroupPolicy**
   + **PutGroupPolicy**
   + **UpdateGroup**

1. Elija **Resources (Recursos)** para especificar los recursos para su política. En función de las acciones que ha elegido, debería ver el tipo de recurso **group (grupo)**. Seleccione **Agregar ARN**. En **Recurso en**, seleccione la opción **Cualquier cuenta**. En **Cualquier nombre de grupo con ruta**, escriba el nombre de grupo de usuarios **AllUsers**. A continuación, seleccione **Agregar ARN**.

1. Seleccione **Solicitar condiciones: *opcional***, y luego **Agregar otra condición**. Complete el formulario con los siguientes valores:
   + **Clave de condición**: seleccione **aws:username**
   + **Calificador** - Elija **Predeterminado**
   + **Operador** - Elija **StringNotEquals**
   + **Valor**: escriba **srodriguez** y después seleccione **Agregar** para agregar otro valor. Escriba **mjackson** y después seleccione **Agregar** para agregar otro valor. Escriba **adesai** y después seleccione **Agregar condición**.

   Esta condición garantiza que se denegará el acceso a las acciones de administración del grupo de usuarios especificadas cuando el usuario que realice la llamada no esté incluido en la lista. Dado que este permiso deniega el permiso de forma explícita, invalida el bloque anterior que permitía a los usuarios llamar a las acciones. A los usuarios de la lista no se les denegará el acceso y se les concederá permiso en el primer bloque de permisos, por lo que podrán administrar totalmente el grupo de usuarios.

1. Cuando haya terminado, elija **Next**.
**nota**  
Puede alternar entre las opciones **Visual** y **JSON** del editor en todo momento. No obstante, si realiza cambios o selecciona **Siguiente** en la opción **Visual** del editor, es posible que IAM reestructure la política con el fin de optimizarla para el editor visual. Para obtener más información, consulte [Reestructuración de políticas](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. En la página **Revisar y crear**, en **Nombre de la política**, escriba **LimitAllUserGroupManagement**. En **Description (Descripción)**, escriba **Allows all users read-only access to a specific user group, and allows only specific users access to make changes to the user group**. Revise los **Permisos definidos en esta política** para asegurarse de que ha concedido los permisos deseados. A continuación, seleccione **Create policy (Crear política)** para guardar la nueva política.

1. Asocie la política al grupo de usuarios. Para obtener más información, consulte [Adición y eliminación de permisos de identidad de IAM](access_policies_manage-attach-detach.md).

También puede crear la misma política utilizando este documento de política JSON de ejemplo. Para consultar esta política de JSON, visite [IAM: permite que usuarios específicos de IAM administren un grupo, mediante programación y en la consola](reference_policies_examples_iam_users-manage-group.md). Para obtener instrucciones detalladas para crear una política utilizando un documento JSON, consulte [Creación de políticas mediante el editor JSON](access_policies_create-console.md#access_policies_create-json-editor).

## Control del acceso a políticas
<a name="access_controlling-policies"></a>

Puede controlar la forma en que los usuarios pueden aplicar políticas administradas por AWS. Para ello, asocie esta política a todos los usuarios. Lo ideal sería hacer esto mediante un grupo de usuarios.

Por ejemplo, podría crear una política que permitiera a los usuarios asociar solo las políticas [IAMUserChangePassword](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/IAMUserChangePassword) y [PowerUserAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/PowerUserAccess) administradas por AWS a un nuevo usuario, grupo de usuarios o rol de IAM.

Para las políticas administradas por el cliente, puede controlar quién puede crear, actualizar y eliminar estas políticas. Puede controlar quién puede asociar y desvincular políticas de entidades principales (grupos de IAM, usuarios y roles). También puede controlar las políticas que un usuario puede asociar a determinadas entidades, o bien desasociarlas.

Por ejemplo, puede conceder permisos a un administrador de la cuenta para crear, actualizar y eliminar políticas. A continuación, puede conceder permisos a un jefe de equipo o a otro administrador con permisos limitados para asociar estas políticas a entidades principales, o bien desvincularlas, que dicho administrador administra.

Para obtener más información, consulte estos recursos:
+ Para obtener más información sobre cómo crear una política de IAM que pueda asociar a una entidad principal, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](access_policies_create.md).
+ Para obtener información sobre cómo asociar una política de IAM a una entidad principal, consulte [Adición y eliminación de permisos de identidad de IAM](access_policies_manage-attach-detach.md).
+ Para ver un ejemplo de política para limitar el uso de las políticas administradas, consulte [IAM: limita las políticas administradas que pueden aplicarse a un usuario, grupo o rol de](reference_policies_examples_iam_limit-managed.md).

### Control de permisos para crear, actualizar y eliminar políticas administradas por el cliente
<a name="policies-controlling-access-create-update-delete"></a>

Puede utilizar las [políticas de IAM](access_policies.md) para controlar quién puede crear, actualizar y eliminar las políticas administradas por el cliente en su cuenta de Cuenta de AWS. En la siguiente lista se incluyen las operaciones de API relacionadas directamente con la creación, actualización y eliminación de políticas o versiones de políticas: 
+ [CreatePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicy.html)
+ [CreatePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicyVersion.html)
+ [DeletePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicy.html)
+ [DeletePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicyVersion.html)
+ [SetDefaultPolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SetDefaultPolicyVersion.html)

Las operaciones de la API de la lista anterior corresponden a acciones que puede permitir o denegar es decir, permisos que puede conceder con una política de IAM. 

Considere la política de ejemplo siguiente. Permite a un usuario crear, actualizar (es decir, crear una nueva versión de la política), eliminar y configurar una versión predeterminada para todas las políticas administradas por el cliente de una cuenta de Cuenta de AWS. El ejemplo de política también permite a los usuarios enumerar políticas y obtener políticas. Para obtener información sobre cómo crear una política mediante este documento de política JSON de ejemplo, consulte [Creación de políticas mediante el editor JSON](access_policies_create-console.md#access_policies_create-json-editor).

**Example Ejemplo de política que permite crear, actualizar, eliminar, enumerar, obtener y configurar la versión predeterminada de todas las políticas**    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "iam:CreatePolicy",
      "iam:CreatePolicyVersion",
      "iam:DeletePolicy",
      "iam:DeletePolicyVersion",
      "iam:GetPolicy",
      "iam:GetPolicyVersion",
      "iam:ListPolicies",
      "iam:ListPolicyVersions",
      "iam:SetDefaultPolicyVersion"
    ],
    "Resource": "*"
  }
}
```

Puede crear políticas que limiten el uso de estas operaciones de API de modo que solo afecten a las políticas administradas que especifique. Por ejemplo, es posible que quiera permitir a un usuario configurar la versión predeterminada y eliminar las versiones de políticas, pero solo para determinadas políticas administradas por el cliente. Para ello, especifique el ARN de la política en el elemento `Resource` de la política que concede dichos permisos. 

En el siguiente ejemplo, se muestra una política que permite a un usuario eliminar versiones de políticas y configurar la versión predeterminada. Sin embargo, estas acciones solo están permitidas para las políticas administradas por el cliente que incluyan la ruta /TEAM-A. El ARN de la política administrada por el cliente se especifica en el elemento `Resource` de la política. (En este ejemplo, el ARN incluye una ruta y un carácter comodín y, por tanto, coincide con todas las políticas administradas por el cliente que incluyan la ruta /TEAM-A/). Para obtener información sobre cómo crear una política mediante este documento de política JSON de ejemplo, consulte [Creación de políticas mediante el editor JSON](access_policies_create-console.md#access_policies_create-json-editor).

Para obtener más información sobre cómo utilizar las rutas de acceso en los nombres de las políticas administradas por el cliente, consulte [Nombres fáciles de recordar y rutas](reference_identifiers.md#identifiers-friendly-names). 

**Example Ejemplo de política que permite eliminar las versiones de políticas y configurar la versión predeterminada únicamente para políticas específicas**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:DeletePolicyVersion",
            "iam:SetDefaultPolicyVersion"
        ],
        "Resource": "arn:aws:iam::111122223333:policy/TEAM-A/*"
    }
}
```

### Control de permisos para asociar políticas administradas y desasociarlas
<a name="policies-controlling-access-attach-detach"></a>

También puede utilizar políticas de IAM para permitir a los usuarios trabajar solo con determinadas políticas administradas. De hecho, puede controlar los permisos que un usuario puede conceder a otras entidades principales. 

En la siguiente lista se muestran las operaciones de API relacionadas directamente con la asociación de políticas administradas a entidades principales y su desvinculación:
+  [AttachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachGroupPolicy.html)
+ [AttachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachRolePolicy.html)
+ [AttachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachUserPolicy.html)
+ [DetachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachGroupPolicy.html)
+ [DetachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachRolePolicy.html)
+ [DetachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html)

Puede crear políticas que limiten el uso de estas operaciones de API de forma que solo afecten a las políticas administradas o entidades principales especificadas. Por ejemplo, es posible que quiera permitir a un usuario asociar políticas administradas, pero solo las que usted especifique. O bien, es posible que quiera permitir a un usuario asociar políticas administradas, pero solo a las entidades principales que usted especifique. 

En el siguiente ejemplo de política se permite a un usuario asociar políticas administradas a únicamente los grupos de IAM y roles que incluyan la ruta de acceso /TEAM-A/. Los ARN del grupo de usuarios y del rol se especifican en el elemento `Resource` de la política. (En este ejemplo, los ARN incluyen una ruta y un carácter comodín y, por lo tanto, coinciden con todos los grupos de IAM y roles que contienen la ruta /TEAM-A/). Para obtener información sobre cómo crear una política mediante este documento de política JSON de ejemplo, consulte [Creación de políticas mediante el editor JSON](access_policies_create-console.md#access_policies_create-json-editor).

**Example Ejemplo de política que permite asociar políticas administradas únicamente a determinados grupos de usuarios o roles**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:AttachGroupPolicy",
            "iam:AttachRolePolicy"
        ],
        "Resource": [
            "arn:aws:iam::111122223333:group/TEAM-A/*",
            "arn:aws:iam::111122223333:role/TEAM-A/*"
        ]
    }
}
```

Puede limitar incluso más las acciones del ejemplo anterior para que afecten únicamente a determinadas políticas. Es decir, puede controlar los permisos que un usuario puede asociar a otras entidades principales mediante la adición de una condición a la política. 

En el siguiente ejemplo, la condición garantiza que los permisos `AttachGroupPolicy` y `AttachRolePolicy` solo están permitidos cuando la política que se asocia coincide con una de las políticas especificadas. La condición utiliza la `iam:PolicyARN` [clave de condición](reference_policies_elements_condition.md) para determinar la política o políticas que pueden asociarse. En la política de ejemplo siguiente, se amplía el ejemplo anterior. Se permite a un usuario asociar únicamente las políticas administradas que incluyen la ruta /TEAM-A/ únicamente a los grupos de IAM y roles que incluyan la ruta /TEAM-A/. Para obtener información sobre cómo crear una política mediante este documento de política JSON de ejemplo, consulte [Creación de políticas mediante el editor JSON](access_policies_create-console.md#access_policies_create-json-editor).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:AttachGroupPolicy",
            "iam:AttachRolePolicy"
        ],
        "Resource": [
            "arn:aws:iam::111122223333:group/TEAM-A/*",
            "arn:aws:iam::111122223333:role/TEAM-A/*"
        ],
        "Condition": {
            "ArnLike": {
                "iam:PolicyARN": "arn:aws:iam::111122223333:policy/TEAM-A/*"
            }
        }
    }
}
```

------

Esta política utiliza el operador de condición `ArnLike`, pero también puede utilizar el operador de condición `ArnEquals` porque estos dos operadores de condición se comportan de forma idéntica. Para obtener más información sobre los tipos de condición `ArnLike` y `ArnEquals`, consulte [Operadores de condición de nombre de recurso de Amazon (ARN)](reference_policies_elements_condition_operators.md#Conditions_ARN) en la sección *Tipos de condición* de la *Referencia de los elementos de la política*. 

Por ejemplo, puede limitar el uso de estas acciones para involucrar únicamente a las políticas administradas que especifique. Para ello, especifique el ARN de la política en el elemento `Condition` de la política que concede dichos permisos. Por ejemplo, para especificar el ARN de una política administrada por el cliente:

```
"Condition": {"ArnEquals": 
  {"iam:PolicyARN": "arn:aws:iam::123456789012:policy/POLICY-NAME"}
}
```

También puede especificar el ARN de una política administrada por AWS en el elemento `Condition` de una política. El ARN de una política administrada por AWS utiliza el alias especial `aws` en el ARN de la política, en lugar de un ID de cuenta, tal y como se indica en este ejemplo:

```
"Condition": {"ArnEquals": 
  {"iam:PolicyARN": "arn:aws:iam::aws:policy/AmazonEC2FullAccess"}
}
```

## Control del acceso a los recursos
<a name="access_controlling-resources"></a>

Puede controlar el acceso a los recursos a través de una política basada en la identidad o una política basada en recursos. En una política basada en la identidad, la política se asocia a una identidad y se especifica a qué recursos tiene acceso dicha identidad. En una política basada en recursos, se asocia una política al recurso que desea controlar. En la política, especifica las entidades principales que pueden tener acceso a dicho recurso. Para obtener más información sobre ambos tipos de políticas, consulte [Políticas basadas en identidad y políticas basadas en recursos](access_policies_identity-vs-resource.md).

Para obtener más información, consulte estos recursos:
+ Para obtener más información sobre cómo crear una política de IAM que pueda asociar a una entidad principal, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](access_policies_create.md).
+ Para obtener información sobre cómo asociar una política de IAM a una entidad principal, consulte [Adición y eliminación de permisos de identidad de IAM](access_policies_manage-attach-detach.md).
+ Amazon S3 admite el uso de políticas basadas en recursos en sus buckets. Para obtener más información, consulte [Ejemplos de política de bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies.html).
<a name="NoDefaultPermissions"></a>
**Los creadores de recursos no tienen automáticamente permisos**  
Si inicia sesión con las credenciales de Usuario raíz de la cuenta de AWS, tendrá permiso para realizar cualquier acción en los recursos que pertenecen a la cuenta. Sin embargo, esto no es cierto en el caso de los usuarios de IAM. Puede que a un usuario de IAM se le haya concedido permiso para obtener acceso a un recurso, pero los permisos de usuario, incluso sobre ese recurso, se limitan a lo que se ha concedido explícitamente. Esto significa que solo por el hecho de crear un recurso, como un rol de IAM, no se le concede automáticamente permiso para editar o eliminar dicho rol. Además, el propietario de la cuenta u otro usuario al que se haya concedido acceso para administrar sus permisos pueden revocar su permiso en cualquier momento.

## Control del acceso a entidades principales en una cuenta específica
<a name="access_controlling-principal-accounts"></a>

Puede conceder directamente a los usuarios de IAM de su propia cuenta acceso a los recursos. Si hay usuarios de otra cuenta que necesitan tener acceso a sus recursos, puede crear un rol de IAM. Un rol es una entidad que incluye permisos, pero que no está asociada a un usuario concreto. Los usuarios de otras cuentas pueden asumir el rol y obtener acceso a recursos en función de los permisos que haya asignado al rol. Para obtener más información, consulte [Acceso para un usuario de IAM en otra Cuenta de AWS propia](id_roles_common-scenarios_aws-accounts.md).

**nota**  
Algunos servicios de admiten políticas basadas en recursos como se describe en [Políticas basadas en identidad y políticas basadas en recursos](access_policies_identity-vs-resource.md) (como Amazon S3, Amazon SNS y Amazon SQS). Para esos servicios, una alternativa al uso de roles es adjuntar una política al recurso (bucket, tema o cola) que desea compartir. La política basada en recursos puede especificar la cuenta de AWS que tenga permisos para obtener acceso al recurso.

# Control de acceso a usuarios y roles de IAM y para ellos mediante etiquetas
<a name="access_iam-tags"></a>

Utilice la información de la siguiente sección para controlar quién puede obtener acceso a los usuarios y roles de IAM y a qué recursos pueden acceder. Para obtener información general y ejemplos sobre el control de acceso a otros recursos de AWS, incluidos otros recursos de IAM, consulte [Etiquetas para recursos de AWS Identity and Access Management](id_tags.md).

**nota**  
Para obtener más información sobre la distinción entre mayúsculas y minúsculas en las claves de etiqueta y los valores de las claves de etiqueta, consulte [Case sensitivity](id_tags.md#case-sensitivity).

Las etiquetas se pueden asociar al *recurso* de IAM, pasar en la *solicitud* o asociar a la entidad *principal* que realiza la solicitud. Un usuario o rol de IAM puede ser tanto un recurso como una entidad principal. Por ejemplo, puede escribir una política que permita a un usuario enumerar los grupos de un usuario. Esta operación solo se permite si el usuario que realiza la solicitud (entidad principal) tiene la misma etiqueta `project=blue` que el usuario que está intentando ver. En este ejemplo, el usuario puede ver la pertenencia a grupos de cualquier usuario, incluidos ellos mismos, siempre y cuando trabajen en el mismo proyecto.

Para controlar el acceso según las etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](reference_policies_elements_condition.md) de una política. Al crear una política de IAM, puede utilizar las etiquetas de IAM y la clave de condición de etiqueta asociada para controlar el acceso a cualquiera de las siguientes operaciones:
+ **[Recurso](access_tags.md#access_tags_control-resources)** – Permite controlar el acceso a los recursos de usuario o rol en función de sus etiquetas. Para ello, utilice la clave de condición **aws:ResourceTag/*key-name*** para especificar qué par de clave-valor de etiqueta debe adjuntarse al recurso. Para obtener más información, consulte [Control del acceso a los recursos de AWS](access_tags.md#access_tags_control-resources).
+ **[Solicitud](access_tags.md#access_tags_control-requests)** – Controla las etiquetas que se pueden pasar en una solicitud de IAM. Para ello, utilice la clave de condición **aws:RequestTag/*key-name*** para especificar qué etiquetas se pueden agregar, cambiar o eliminar de un usuario o rol de IAM. Esta clave se utiliza de la misma forma para los recursos de IAM y otros recursos de AWS. Para obtener más información, consulte [Control del acceso durante solicitudes de AWS](access_tags.md#access_tags_control-requests).
+ **[Entidad principal](#access_iam-tags_control-principals)** - Permite controlar qué puede hacer la persona que realiza la solicitud (entidad principal) en función de las etiquetas que se asocian al usuario o rol de IAM. Para ello, utilice la clave de condición **aws:PrincipalTag/*key-name*** para especificar qué etiquetas se deben asociar al usuario o rol de IAM antes de que se admita la solicitud.
+ **[Cualquier parte del proceso de autorización](#access_iam-tags_control-tag-keys)**: utilice la clave de condición **aws:TagKeys** para controlar si se pueden incluir claves de etiqueta específicas en una solicitud o por una entidad principal. En este caso, el valor de clave no importa. Esta clave funciona de manera similar para IAM y otros servicios de AWS. Sin embargo, al etiquetar a un usuario en IAM, esto también controla si la entidad principal puede realizar la solicitud a cualquier servicio. Para obtener más información, consulte [Control del acceso en función de las claves de etiqueta](access_tags.md#access_tags_control-tag-keys).

Puede crear una política de IAM utilizando el editor visual, con JSON o importando una política administrada existente. Para obtener más información, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](access_policies_create.md).

**nota**  
También puede pasar [etiquetas de sesión](id_session-tags.md) al asumir un rol de IAM o federar un usuario. Son válidas solo para la duración de la sesión.

## Control del acceso para entidades principales de IAM
<a name="access_iam-tags_control-principals"></a>

Puede controlar lo que puede hacer la entidad principal en función de las etiquetas asociadas a la identidad de esa persona. 

Este ejemplo muestra cómo podría crear una política basada en identidad que permita a cualquier usuario de esta cuenta ver la pertenencia al grupo de cualquier usuario, incluido él mismo, siempre que estén trabajando en el mismo proyecto. Esta operación solo se permite cuando la etiqueta del recurso del usuario y la etiqueta de la entidad principal tienen el mismo valor para la clave de la etiqueta `project`. Para utilizar esta política, sustituya el *texto en cursiva del marcador* de la política de ejemplo con su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "iam:ListGroupsForUser",
            "Resource": "arn:aws:iam::111222333444:user/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/project": "${aws:PrincipalTag/project}"}
            }
        }]
}
```

------

## Control del acceso en función de las claves de etiqueta
<a name="access_iam-tags_control-tag-keys"></a>

Puede utilizar etiquetas en sus políticas de IAM para controlar si una solicitud o una entidad principal puede usar determinadas claves de etiqueta.

Este ejemplo muestra cómo podría crear una política basada en identidad que permita eliminar solo la etiqueta con la clave `temporary` de los usuarios. Para utilizar esta política, sustituya el *texto en cursiva del marcador* de la política de ejemplo por su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Action": "iam:UntagUser",
        "Resource": "*",
        "Condition": {"ForAllValues:StringEquals": {"aws:TagKeys": ["temporary"]}}
    }]
}
```

------

# Control de acceso a los recursos de AWS mediante etiquetas
<a name="access_tags"></a>

Puede utilizar etiquetas para controlar el acceso a los recursos de AWS que admiten el etiquetado, incluidos los recursos de IAM. Puede etiquetar usuarios y roles de IAM para controlar a qué pueden tener acceso. Para obtener información sobre cómo etiquetar usuarios y roles de IAM, consulte [Etiquetas para recursos de AWS Identity and Access Management](id_tags.md). Además, puede controlar el acceso a los siguientes recursos de IAM: políticas administradas por el cliente, proveedores de identidad de IAM, perfiles de instancia, certificados de servidor y dispositivos MFA virtuales. Para ver un tutorial sobre cómo crear y probar una política que permita a los roles de IAM con etiquetas de entidades principales obtener acceso a los recursos con etiquetas coincidentes, consulte [Tutorial de IAM: definición de permisos para acceder a los recursos de AWS en función de etiquetas](tutorial_attribute-based-access-control.md). Utilice la información de la siguiente sección para controlar el acceso a otros recursos de AWS, incluidos los recursos de IAM, sin etiquetar usuarios o roles de IAM.

Para utilizar etiquetas para controlar el acceso a sus recursos de AWS, debe entender cómo AWS otorga el acceso. AWS se compone de colecciones de *recursos*. Una instancia de Amazon EC2 es un recurso. Un bucket de Amazon S3 es un recurso. Puede utilizar la API de AWS, la AWS CLI o la Consola de administración de AWS para realizar una operación, como crear un bucket en Amazon S3. Cuando lo haga, envíe una *solicitud* para dicha operación. La solicitud especifica una acción, un recurso, una *entidad principal* (usuario o rol), una *cuenta principal* y toda la información de la solicitud necesaria. Toda esta información proporciona el *contexto*.

AWS comprueba entonces que usted (la entidad principal) se ha autenticado (ha iniciado sesión) y está autorizado (tiene permiso) para realizar la acción especificada en el recurso especificado. Durante la autorización, AWS comprueba todas las políticas aplicables al contexto de la solicitud. La mayoría de las políticas se almacenan en AWS como [documentos JSON](access_policies.md#access_policies-json) y especifican los permisos de las entidades principales. Para obtener más información sobre los tipos de políticas y sus usos, consulte [Políticas y permisos en AWS Identity and Access Management](access_policies.md).

AWS autoriza la solicitud únicamente si cada parte de la solicitud está permitida por las políticas. Para ver un diagrama y obtener más información sobre la infraestructura de IAM, consulte [Cómo funciona IAM](intro-structure.md). Para obtener información detallada acerca de cómo IAM determina si una solicitud está permitida, consulte [Lógica de evaluación de políticas](reference_policies_evaluation-logic.md).

Las etiquetas son otro elemento que se deben considerar, ya que se pueden adjuntar al *recurso* o pasarse en la *solicitud* a servicios que admitan etiquetado. Para controlar el acceso según las etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](reference_policies_elements_condition.md) de una política. Para saber si un servicio de AWS admite el acceso de control utilizando etiquetas, consulte [Servicios de AWS que funcionan con IAM](reference_aws-services-that-work-with-iam.md) y busque los servicios que tengan **Sí **en la columna **Autorización basada en etiquetas**. Elija el nombre del servicio para ver la documentación sobre la autorización y el control de acceso para dicho servicio.

A continuación, puede crear una política de IAM que permita o deniegue el acceso a un recurso en función de la etiqueta de dicho recurso. En dicha política, puede utilizar las claves de condición de etiqueta para controlar el acceso a cualquiera de las siguientes operaciones:
+ **[Recurso](#access_tags_control-resources)** – Controla el acceso a los recursos de servicio de AWS basado en las etiquetas de esos recursos. Para ello, utilice la clave de condición **aws:ResourceTag/*key-name*** para determinar si se permite o no el acceso al recurso en función de las etiquetas asociadas al recurso.
+ **[Solicitud](#access_tags_control-requests)** – Controla las etiquetas que se pueden pasar en una solicitud. Para ello, utilice la clave de condición **aws:RequestTag/*nombre-clave*** a fin de especificar qué pares de clave-valor de etiqueta se pueden aprobar en una solicitud para etiquetar un recurso de AWS.
+ **[Cualquier parte del proceso de autorización](#access_tags_control-tag-keys)**: utilice la clave de condición **aws:TagKeys** para controlar si claves de etiqueta específicas pueden estar en una solicitud. 

Puede crear visualmente una política de IAM utilizando JSON o importando una política administrada existente. Para obtener más información, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](access_policies_create.md).

**nota**  
Algunos servicios permiten que los usuarios especifiquen etiquetas cuando crean el recurso si tienen permisos para utilizar la acción que crea el recurso.

## Control del acceso a los recursos de AWS
<a name="access_tags_control-resources"></a>

Puede utilizar las condiciones de sus políticas de IAM para controlar el acceso a los recursos de AWS en función de las etiquetas de ese recurso. Puede hacerlo a través de la clave de condición global `aws:ResourceTag/tag-key` o de una clave específica del servicio. Algunos servicios solo admiten la versión específica del servicio de esta clave y no la versión global. 

**aviso**  
No intente controlar quién puede pasar un rol etiquetando el rol y, a continuación, utilizando la clave de condición `ResourceTag` en una política con la acción `iam:PassRole`. Este planteamiento no da resultados fiables. Para obtener más información acerca de los permisos necesarios para transferir una función a un servicio, consulte [Conceder permisos a un usuario para transferir un rol a un servicio de AWS](id_roles_use_passrole.md).

 Este ejemplo muestra cómo podría crear una política basada en identidad que permita iniciar o detener instancias de Amazon EC2. Estas operaciones solo se permiten si la etiqueta de instancia `Owner` tiene el valor del nombre de dicho usuario. Esta política define los permisos para el acceso programático y a la consola. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeInstances",
            "Resource": "*"
        }
    ]
}
```

------

También puede asociar esta política al usuario de IAM en su cuenta. Si un usuario llamado `richard` intenta iniciar una instancia de Amazon EC2, la instancia debe tener una etiqueta `Owner=richard` o `owner=richard`. De lo contrario, se le denegará el acceso. La clave de la etiqueta `Owner` coincide con los nombres de las claves de condición `Owner` y `owner` porque no distinguen entre mayúsculas y minúsculas. Para obtener más información, consulte [Elementos de política JSON de IAM: Condition](reference_policies_elements_condition.md).

En el siguiente ejemplo, se muestra cómo se puede crear una política basada en identidad que utilice la etiqueta principal `team` en el ARN del recurso. La política concede permiso para eliminar colas de Amazon Simple Queue Service, pero solo si el nombre de la cola comienza con el nombre del equipo seguido de `-queue`. Por ejemplo, `qa-queue` si `qa` es el nombre del equipo para la etiqueta principal `team`.

------
#### [ JSON ]

****  

```
{
      "Version":"2012-10-17",		 	 	 
      "Statement": {
        "Sid": "AllQueueActions",
        "Effect": "Allow",
        "Action": "sqs:DeleteQueue",
        "Resource": "arn:aws:sqs:us-east-2:111122223333:${aws:PrincipalTag/team}-queue"
      }
}
```

------

## Control del acceso durante solicitudes de AWS
<a name="access_tags_control-requests"></a>

Puede utilizar condiciones en sus políticas de IAM para controlar qué pares clave-valor de etiqueta se pueden incluir en una solicitud que aplica etiquetas a un recurso de AWS.

Este ejemplo muestra cómo podría crear una política basada en identidad que permite utilizar la acción `CreateTags` de Amazon EC2 para asociar etiquetas a una instancia. Solo puede asociar etiquetas si la etiqueta contiene la clave `environment` y los valores `preprod` o `production`. Si lo desea, puede utilizar el modificador `ForAllValues` con la clave de condición `aws:TagKeys` para indicar que solo se permite la clave `environment` en la solicitud. Esto impide a los usuarios que incluyan otras claves, por ejemplo, utilizar accidentalmente `Environment` en lugar de `environment`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": "ec2:CreateTags",
        "Resource": "arn:aws:ec2:*:*:instance/*",
        "Condition": {
            "StringEquals": {
                "aws:RequestTag/environment": [
                    "preprod",
                    "production"
                ]
            },
            "ForAllValues:StringEquals": {"aws:TagKeys": "environment"}
        }
    }
}
```

------

## Control del acceso en función de las claves de etiqueta
<a name="access_tags_control-tag-keys"></a>

Puede utilizar una condición en sus políticas de IAM para controlar si se pueden utilizar claves de etiqueta específicas en una solicitud.

Le recomendamos que cuando utilice políticas para controlar el acceso mediante etiquetas, utilice la [clave de condición`aws:TagKeys`](reference_policies_condition-keys.md#condition-keys-tagkeys). Puede que los servicios de AWS que admiten etiquetas le permitan crear varios nombres de clave de etiqueta que se diferencien únicamente por el uso de mayúsculas y minúsculas, como puede ser el etiquetado de una instancia de Amazon EC2 con `stack=production` y `Stack=test`. Los nombres de claves no distinguen entre mayúsculas y minúsculas en las condiciones de políticas. Esto significa que si especifica `"aws:ResourceTag/TagKey1": "Value1"` en el elemento de condición de su política, la condición coincidirá con una clave de etiqueta de recurso denominada `TagKey1` o `tagkey1`, pero no con ambas. Para evitar etiquetas duplicadas con una clave que varía únicamente por las mayúsculas y minúsculas, utilice la condición `aws:TagKeys` para definir las claves de etiqueta que los usuarios pueden aplicar, o bien utilice políticas de etiquetas, disponibles con AWS Organizations. Para obtener más información, consulte [Políticas de etiquetas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) en la *Guía del usuario de AWS Organizations*. 

Este ejemplo muestra cómo se puede crear una política basada en identidad que permita crear y etiquetar un secreto de Secrets Manager, pero solo con las claves de etiqueta `environment` o `cost-center`. La condición `Null` garantiza que la condición se evalúe como `false` si no hay etiquetas en la solicitud.

```
{
        "Effect": "Allow",
        "Action": [
            "secretsmanager:CreateSecret",
            "secretsmanager:TagResource"
        ],
        "Resource": "*",
        "Condition": {
            "Null": {
                "aws:TagKeys": "false"
            },
            "ForAllValues:StringEquals": {
                "aws:TagKeys": [
                    "environment",
                    "cost-center"
                ]
            }
        }
}
```

# Acceso a recursos entre cuentas en IAM
<a name="access_policies-cross-account-resource-access"></a>

Para algunos servicios de AWS, puede conceder acceso entre cuentas a los recursos mediante el uso de IAM. Para hacerlo, puede asociar una política de recursos directamente al recurso que desea compartir o utilizar un rol como proxy.

Para compartir el recurso directamente, el recurso que desea compartir debe admitir [políticas basadas en recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-resource-based-policies). A diferencia de una política basada en identidad para un rol, una política basada en recursos especifica quién (qué entidad principal) puede acceder a ese recurso.

Utilice un rol como proxy cuando desee acceder a los recursos en otra cuenta que no admiten políticas basadas en recursos.

Para obtener más información sobre las diferencias entre estos tipos de políticas, consulte [Políticas basadas en identidad y políticas basadas en recursos](access_policies_identity-vs-resource.md).

**nota**  
Los roles de IAM y las políticas basadas en recursos delegan el acceso entre cuentas solo dentro de una única partición. Por ejemplo, tiene una cuenta en Oeste de EE. UU. (Norte de California) en la partición estándar `aws`. También tiene una cuenta en China en la partición `aws-cn`. No puede usar una política basada en recursos en su cuenta en China para permitir el acceso a los usuarios en su cuenta estándar de AWS.

## Acceso entre cuentas mediante roles
<a name="access_policies-cross-account-using-roles"></a>

No todos los servicios de AWS admiten políticas basadas en recursos. Para estos servicios, puede utilizar roles de IAM entre cuentas para centralizar la administración de permisos al proporcionar acceso entre cuentas a varios servicios. Un rol de IAM entre cuentas es un rol de IAM que incluye una [política de confianza](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#term_trust-policy) que permite a las entidades principales de IAM en otra cuenta de AWS asumir el rol. En pocas palabras, puede crear un rol en una cuenta de AWS que delega permisos específicos a otra cuenta de AWS.

Para obtener información sobre cómo asociar una política a una identidad de IAM, consulte [Administración de políticas de IAM](access_policies_manage.md).

**nota**  
Cuando una entidad principal cambia a un rol para usar temporalmente los permisos del rol, renuncia a sus permisos originales y asume los permisos asignados al rol que ha asumido.

Analicemos el proceso general en lo que respecta al software de socios de APN que necesita acceder a una cuenta de cliente.

1. El cliente crea un rol de IAM en su propia cuenta con una política que permite acceder a los recursos de Amazon S3 que necesita el socio de APN. En este ejemplo, el nombre del rol es `APNPartner`.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "s3:*",
               "Resource": [
                   "arn:aws:s3:::bucket-name"
               ]
           }
       ]
   }
   ```

------

1. A continuación, el cliente especifica que la cuenta de AWS del socio puede asumir el rol mediante el ID de la Cuenta de AWS del socio de APN en la [política de confianza](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) para el rol de `APNPartner`.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:role/APN-user-name"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   ```

------

1. El cliente proporciona el Nombre de recurso de Amazon (ARN) del rol al socio de APN. El ARN es el nombre completo del rol.

   ```
   arn:aws:iam::Customer-Account-ID:role/APNPartner
   ```
**nota**  
Se recomienda utilizar un identificador externo en situaciones con varios inquilinos. Para obtener más información, consulte [Acceder a las Cuentas de AWS que le pertenezcan a terceros](id_roles_common-scenarios_third-party.md).

1. Cuando el software de socios de APN necesita acceder a la cuenta del cliente, el software llama a la API [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) en AWS Security Token Service junto con el ARN del rol en la cuenta del cliente. STS devuelve una credencial de AWS temporal que permite que el software haga su trabajo.

Para ver otro ejemplo de cómo conceder acceso entre cuentas mediante roles, consulte [Acceso para un usuario de IAM en otra Cuenta de AWS propia](id_roles_common-scenarios_aws-accounts.md). También puede consultar [Tutorial de IAM: delegación del acceso entre cuentas de AWS mediante roles de IAM](tutorial_cross-account-with-roles.md).

## Concesión de acceso entre cuentas con políticas de recursos
<a name="access_policies-cross-account-using-resource-based-policies"></a>

Cuando una cuenta accede a un recurose a través de otra cuenta mediante una política basada en recursos, la entidad principal sigue trabajando en la cuenta de confianza y no tiene que renunciar a sus permisos para recibir los permisos de rol. Dicho de otro modo, la entidad principal sigue teniendo acceso a los recursos en la cuenta de confianza y también al recurso en la cuenta que confía. Esto es útil para tareas como copiar información al recurso compartido, o desde él, de la otra cuenta.

Las entidades principales que puede especificar en una política basada en recursos incluyen cuentas, usuarios de IAM, entidades principales de usuarios federados de AWS STS, entidades principales federadas de SAML, entidades principales federadas de OIDC, roles de IAM, sesiones de roles asumidos o servicios de AWS. Para obtener más información, consulte [Especificación de una entidad principal](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying).

Para obtener información sobre si las entidades principales en las cuentas que no se encuentran en su zona de confianza (cuenta u organización de confianza) tienen acceso para asumir sus roles, consulte [Identifying resources shared with an external entity](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html#what-is-access-analyzer-resource-identification).

La lista siguiente incluye algunos de los servicios de AWS que admiten políticas basadas en recursos. Para obtener una lista completa del número creciente de servicios de AWS que admiten la asociación de políticas de permisos a recursos en lugar de asociarlas a elementos principales, consulte [Servicios de AWS que funcionan con IAM](reference_aws-services-that-work-with-iam.md) y busque los servicios que tengan **Sí** en la columna **basadas en recursos**.
+ **Buckets de Amazon S3**: la política se asocia al bucket, pero la política controla el acceso tanto al bucket como a los objetos que hay en él. A fin de obtener más información, consulte [Bucket policies for Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) en la *Guía del usuario de Amazon Simple Storage Service*. En algunos casos, puede ser mejor utilizar roles para el acceso entre cuentas a Amazon S3. Para obtener más información, consulte la [explicación de ejemplo](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access.html) en la *Guía del usuario de Amazon Simple Storage Service*.
+ **Temas de Amazon Simple Notification Service (Amazon SNS)**: para obtener más información, consulte [Ejemplos de casos de contol de acceso con Amazon SNS](https://docs.aws.amazon.com//sns/latest/dg/sns-access-policy-use-cases.html) en la *Guía para desarrolladores de Amazon Simple Notification Service*.
+ **Colas de Amazon Simple Queue Service (Amazon SQS)** - Para obtener más información, consulte [Apéndice: El lenguaje de la política de acceso](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html) en la *Guía para desarrolladores de Amazon Simple Queue Service (Amazon SQS)*. 

## Políticas basadas en recursos para delegar permisos de AWS
<a name="access_policies-cross-account-delegating-resource-based-policies"></a>

Si un recurso concede permisos a los principales de la cuenta, puede delegar esos permisos a identidades de IAM específicas. Las identidades son usuarios, grupos de usuarios o roles de la cuenta. Para delegar permisos debe asociar una política a la identidad. Puede otorgar el número máximo de permisos permitidos por la cuenta propietaria de los recursos.

**importante**  
En el acceso entre cuentas, una entidad principal necesita una `Allow` en la política de identidad **y** en la política basada en recursos.

Suponga que una política basada en recursos permite a todos los principales de la cuenta acceso administrativo completo a un recurso. A continuación, puede delegar acceso completo, acceso de solo lectura o cualquier otro acceso parcial a entidades principales de la cuenta de AWS. Alternativamente, si la política basada en recursos solo permite permisos de lista, entonces solo podrá delegar el acceso a la lista. Si intenta delegar más permisos que los que tiene la cuenta, los principales seguirán teniendo acceso únicamente a las listas.

Para obtener más información sobre cómo se toman estas decisiones, consulte [Cómo determinar si una solicitud se permite o se deniega dentro de una cuenta](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic_policy-eval-denyallow.html).

**nota**  
Los roles de IAM y las políticas basadas en recursos delegan el acceso entre cuentas solo dentro de una única partición. Por ejemplo, no puede añadir acceso entre cuentas entre una cuenta en la partición `aws` estándar y una cuenta en la partición `aws-cn`. 

Por ejemplo, suponga que administra `AccountA` y `AccountB`. En AccountA, hay un bucket de Amazon S3 denominado `BucketA`.

![\[Una política basada en recursos creada para el bucket de Amazon S3 proporciona permisos de AccountB a AccountA.\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/access_policies-cross-account.png)


1. Se asocia una política basada en recursos a `BucketA` que les permite a todas las entidades principales en AccountB acceder de manera completa a los objetos en el bucket. De este modo podrán crear, leer o eliminar cualquier objeto de ese bucket. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "PrincipalAccess",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:root"
               },
               "Action": "s3:*",
               "Resource": "arn:aws:s3:::BucketA/*"
           }
       ]
   }
   ```

------

   AccountA otorga a AccountB acceso completo a BucketA al designar a AccountB como entidad principal en la política basada en recursos. Como resultado, AccountB está autorizada a realizar cualquier acción en BucketA, y el administrador de AccountB puede delegar el acceso a los usuarios en AccountB.

   El usuario raíz de AccountB tiene todos los permisos que se conceden a la cuenta. Por lo tanto, el usuario raíz tiene acceso completo a BucketA.

1. En AccountB, asocie una política al usuario de IAM llamado User2. Esa política le permite al usuario acceso de solo lectura a los objetos en BucketA. Esto significa que User2 puede ver los objetos, pero no crearlos, editarlos ni eliminarlos. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect" : "Allow", 
               "Action" : [ 
                   "s3:Get*", 
                   "s3:List*" ], 
                   "Resource" : "arn:aws:s3:::BucketA/*" 
           } 
       ]
   }
   ```

------

   El nivel máximo de acceso que AccountB puede delegar es el nivel de acceso que se concede a la cuenta. En este caso, la política basada en recursos ha concedido acceso completo a AccountB, pero User2 solo tiene acceso de solo lectura.

   El administrador de AccountB no concede acceso a User1. De forma predeterminada, los usuarios no tienen permisos, salvo aquellos que se concedan de forma explícita, por lo que User1 no tiene acceso a BucketA.

IAM evalúa los permisos del principal en el momento en que el principal realiza una solicitud. Si utiliza comodines (\$1) para darles a los usuarios acceso completo a los recursos, las entidades principales pueden acceder a todos los recursos a los que tenga acceso la cuenta de AWS. Esto es cierto incluso para los recursos a los que agrega o para los que obtiene acceso después de crear la política del usuario.

En el ejemplo anterior, si AccountB le hubiera asociado una política a User2 que le permita acceso completo a todos los recursos en todas las cuentas, User2 tendría acceso de manera automática a todos los recursos que AccountB tiene acceso. Esto incluye el acceso a BucketA y el acceso a cualquier otro recurso otorgado por las políticas basadas en recursos en AccountA.

Para obtener más información sobre los usos complejos de los roles, como la concesión de acceso a aplicaciones y servicios, consulte [Escenarios habituales en los roles de IAM](id_roles_common-scenarios.md).

**importante**  
Conceda acceso únicamente a las entidades en las que confíe y conceda el nivel mínimo de acceso necesario. Siempre que la entidad de confianza sea otra cuenta de AWS, se le puede conceder acceso a su recurso a cualquier entidad principal de IAM. La cuenta de confianza de AWS puede delegar acceso únicamente en la medida en que se ha concedido acceso a dicha cuenta; no puede delegar más acceso que el que la propia cuenta tiene.

Para obtener información sobre los permisos, las políticas y el lenguaje de la política de permisos que debe utilizar para escribir políticas, consulte [Recursos de AWS para administración de acceso](access.md).

# Sesiones de acceso directo
<a name="access_forward_access_sessions"></a>

Forward access sessions (FAS) es una tecnología IAM utilizada por los servicios de AWS para proporcionar su identidad, permisos y atributos de sesión cuando un servicio de AWS realiza una solicitud en su nombre. FAS utiliza los permisos de la identidad que llama a un servicio de AWS, combinados con la identidad de un servicio de AWS para realizar peticiones a servicios posteriores. Las solicitudes FAS solo se realizan a servicios de AWS en nombre de una entidad principal de IAM después de que un servicio haya recibido una solicitud que requiera interacciones con otros servicios o recursos de AWS para completarse. Cuando se realiza una solicitud FAS:
+ El servicio que recibe la solicitud inicial de una entidad principal de IAM comprueba los permisos de la entidad principal de IAM.
+ El servicio que recibe una solicitud FAS posterior también comprueba los permisos de la misma entidad principal de IAM.

Por ejemplo, Amazon S3 utiliza FAS para realizar llamadas a AWS Key Management Service para descifrar un objeto cuando se ha utilizado [SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) para cifrarlo. Al descargar un objeto SSE-KMS cifrado, un rol denominado **data-reader** llama a GetObject en el objeto en Amazon S3, y no llama a AWS KMS directamente. Tras recibir la solicitud GetObject y autorizar al lector de datos, Amazon S3 realiza una solicitud FAS a AWS KMS para descifrar el objeto de Amazon S3. Cuando KMS recibe la solicitud FAS, comprueba los permisos del rol y solo autoriza la solicitud de descifrado si el lector de datos tiene los permisos correctos sobre la clave KMS. Las solicitudes tanto a Amazon S3 como a AWS KMS se autorizan utilizando los permisos del rol y solo se ejecutan correctamente si data-reader tiene permisos tanto para el objeto de Amazon S3 como para la clave KMS de AWS.

![\[Un diagrama de flujo de un rol de IAM que se proporciona como entidad principal a Amazon S3 y luego a AWS KMS.\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/access-fas-example.png)


**nota**  
Los servicios que han recibido una solicitud FAS pueden realizar solicitudes FAS adicionales. En estos casos, la entidad principal solicitante debe tener permisos para todos los servicios a los que llama FAS.

## Solicitudes FAS y condiciones de la política de IAM
<a name="access_fas_policy_conditions"></a>

Cuando se realizan solicitudes FAS, las claves de condición [aws:CalledVia](reference_policies_condition-keys.md#condition-keys-calledvia), [aws:CalledViaFirst](reference_policies_condition-keys.md#condition-keys-calledviafirst) y [aws:CalledViaLast](reference_policies_condition-keys.md#condition-keys-calledvialast) se rellenan con la entidad principal del servicio que inició la llamada FAS. El valor de la clave de condición [aws:ViaAWSService](reference_policies_condition-keys.md#condition-keys-viaawsservice) se establece en `true` cada vez que se realiza una solicitud FAS. En el siguiente diagrama, la solicitud directa a CloudFormation no tiene ninguna clave de condición `aws:CalledVia` o `aws:ViaAWSService` establecida. Cuando CloudFormation y DynamoDB realizan solicitudes FAS descendentes en nombre del rol, se rellenan los valores de estas claves de condición.

![\[Un diagrama de flujo de un rol de IAM que se proporciona como entidad principal a CloudFormation y, a continuación, proporciona los valores de clave de condición a DynamoDB y AWS KMS.\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/access-fas-example2.png)


Para permitir que se realice una solicitud FAS cuando, de otra forma, sería denegada por una declaración de política de denegación con una clave de condición que compruebe las direcciones IP de origen o las VPC de origen, debe utilizar claves de condición para proporcionar una excepción para las solicitudes FAS en su política de denegación. Esto puede hacerse para todas las solicitudes FAS utilizando la tecla de condición `aws:ViaAWSService`. Para permitir que solo servicios de AWS específicos realicen solicitudes FAS, utilice `aws:CalledVia`.

**importante**  
Cuando se realiza una solicitud FAS después de una solicitud inicial a través de un punto de conexión de VPC, los valores de clave de condición para `aws:SourceVpce`, `aws:SourceVpc` y `aws:VpcSourceIp` de la solicitud inicial no se utilizan en las solicitudes FAS. Cuando redacte políticas utilizando `aws:VPCSourceIP` o `aws:SourceVPCE` para conceder acceso de manera condicional, también debe utilizar `aws:ViaAWSService` o `aws:CalledVia` para permitir solicitudes FAS. Cuando se realiza una solicitud FAS después de que un punto de conexión público de un servicio de AWS reciba una solicitud inicial, las solicitudes FAS posteriores se realizarán con el mismo valor de clave de condición `aws:SourceIP`.

## Ejemplo: autorización de acceso a Amazon S3 desde una VPC o mediante FAS
<a name="access_fas_example"></a>

En el siguiente ejemplo de política de IAM, las solicitudes GetObject de Amazon S3 y Athena solo se permiten si se originan en puntos de conexión de VPC adjuntos a *example\$1vpc*, o si la solicitud es una solicitud FAS realizada por Athena.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "OnlyAllowMyIPs",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject*",
        "athena:StartQueryExecution",
        "athena:GetQueryResults",
        "athena:GetWorkGroup",
        "athena:StopQueryExecution",
        "athena:GetQueryExecution"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceVPC": [
          "vpc-111bbb22"
          ]
        }
      }
    },
    {
      "Sid": "OnlyAllowFAS",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject*"
      ],
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:CalledVia": "athena.amazonaws.com"
        }
      }
    }
  ]
}
```

------

Para ver ejemplos adicionales sobre el uso de claves de condición para permitir el acceso a FAS, consulte el [repositorio de políticas de ejemplo para perímetros de datos](https://github.com/aws-samples/data-perimeter-policy-examples).

# Ejemplos de políticas basadas en identidad de IAM
<a name="access_policies_examples"></a>

Una [política](access_policies.md) es un objeto de AWS que, cuando se asocia a una identidad o un recurso, define sus permisos. AWS evalúa estas políticas cuando una entidad principal de IAM (usuario o rol) realiza una solicitud. Los permisos en las políticas determinan si la solicitud se permite o se deniega. La mayoría de políticas se almacenan en AWS como documentos JSON que se asocian a una identidad de IAM (usuario, grupo de usuarios o rol). Las políticas basadas en la identidad incluyen políticas administradas por AWS, políticas administradas por el cliente y políticas insertadas. Para obtener información sobre cómo crear una política de IAM mediante estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas mediante el editor JSON](access_policies_create-console.md#access_policies_create-json-editor).

De forma predeterminada, todas las solicitudes se deniegan, por lo que debe proporcionar acceso a los servicios, acciones y recursos que piensa utilizar para la identidad de acceso. Si también quiere permitir el acceso para completar las acciones especificadas en la consola de IAM, debe proporcionar permisos adicionales.

La siguiente biblioteca de políticas puede serle útil para definir permisos para las identidades de IAM. Después de encontrar la política que necesita, seleccione **View this policy (Ver esta política)** para ver el JSON de la política. Puede utilizar el documento de política JSON como plantilla de sus propias políticas.

**nota**  
Si desea enviar una política para que se incluya en esta guía de referencia, utilice el botón **Feedback (Comentarios)** de la parte inferior de esta página.

## Ejemplos de políticas: AWS
<a name="policy_library_AWS"></a>
+ Permite el acceso durante un intervalo de fechas específico. ([Ver esta política](reference_policies_examples_aws-dates.md)).
+ Permite la habilitación y deshabilitación de regiones de AWS. ([Ver esta política](reference_policies_examples_aws-enable-disable-regions.md)).
+ Permite a los usuarios autenticados por MFA administrar las credenciales propias en la página **Mis credenciales de seguridad**. ([Ver esta política](reference_policies_examples_aws_my-sec-creds-self-manage.md)).
+ Permite el acceso específico cuando se usa MFA en un intervalo específico de fechas. ([Ver esta política](reference_policies_examples_aws_mfa-dates.md)).
+ Permite a los usuarios administrar las credenciales propias en la página **Mis credenciales de seguridad**. ([Ver esta política](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md)).
+ Permite a los usuarios administrar los dispositivos MFA propios en la página **Mis credenciales de seguridad**. ([Ver esta política](reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.md)).
+ Permite a los usuarios administrar las contraseñas propias en la página **Mis credenciales de seguridad**. ([Ver esta política](reference_policies_examples_aws_my-sec-creds-self-manage-password-only.md)).
+ Permite a los usuarios administrar las contraseñas, las claves de acceso y las claves públicas SSH propias en la página **Mis credenciales de seguridad**. ([Ver esta política](reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh.md)).
+ Deniega el acceso a AWS en función de la región solicitada. ([Ver esta política](reference_policies_examples_aws_deny-requested-region.md)).
+ Deniega el acceso a AWS en función de la dirección IP de origen. ([Ver esta política](reference_policies_examples_aws_deny-ip.md)).

## Política de ejemplo: AWS Data Exchange
<a name="policy_data_exchange"></a>
+ Deniega el acceso a los recursos de Amazon S3 fuera de su cuenta, excepto AWS Data Exchange. ([Ver esta política](reference_policies_examples_resource_account_data_exch.md)).

## Ejemplos de políticas: AWS Data Pipeline
<a name="policy_library_DataPipeline"></a>
+ Deniega el acceso a canalizaciones que el usuario no ha creado ([ver esta política](reference_policies_examples_datapipeline_not-owned.md)).

## Políticas de ejemplo: Amazon DynamoDB
<a name="policy_library_DynamoDB"></a>
+ Permite el acceso a una tabla de Amazon DynamoDB específica ([ver esta política](reference_policies_examples_dynamodb_specific-table.md)).
+ Permite el acceso a atributos de Amazon DynamoDB específicos ([ver esta política](reference_policies_examples_dynamodb_attributes.md)).
+ Permite el acceso de elementos a Amazon DynamoDB en función del ID de Amazon Cognito ([ver esta política](reference_policies_examples_dynamodb_items.md)).

## Políticas de ejemplo: Amazon EC2
<a name="policy_library_ec2"></a>
+ Permite asociar o separar volúmenes de Amazon EBS a instancias de Amazon EC2 en función de las etiquetas ([ver esta política](reference_policies_examples_ec2_ebs-owner.md)).
+ Permite lanzar instancias de Amazon EC2 en una determinada subred, mediante programación, y en la consola ([ver esta política](reference_policies_examples_ec2_instances-subnet.md))
+ Permite administrar grupos de seguridad de Amazon EC2 asociados a una VPC específica, mediante programación y en la consola ([ver esta política](reference_policies_examples_ec2_securitygroups-vpc.md)).
+ Permite iniciar o detener instancias de Amazon EC2 que un usuario haya etiquetado, mediante programación y en la consola ([ver esta política](reference_policies_examples_ec2_tag-owner.md)).
+ Permite iniciar o detener instancias de Amazon EC2 en función de las etiquetas de recursos y entidades principales, mediante programación y en la consola ([ver esta política](reference_policies_examples_ec2-start-stop-tags.md)).
+ Permite iniciar o detener instancias de Amazon EC2 cuando las etiquetas de recursos y entidades principales coincidan ([ver esta política](reference_policies_examples_ec2-start-stop-match-tags.md)).
+ Permite el acceso completo a Amazon EC2 en una región determinada, mediante programación y en la consola. ([Ver esta política](reference_policies_examples_ec2_region.md)).
+ Permite iniciar o detener una instancia de Amazon EC2 concreta y modificar un grupo de seguridad específico, mediante programación y en la consola ([ver esta política](reference_policies_examples_ec2_instance-securitygroup.md))
+ Deniega el acceso a operaciones de Amazon EC2 específicas sin MFA ([ver esta política](reference_policies_examples_ec2_require-mfa.md)).
+ Limita la terminación de instancias de Amazon EC2 a un rango específico de direcciones IP ([ver esta política](reference_policies_examples_ec2_terminate-ip.md))

## Ejemplos de políticas: AWS Identity and Access Management (IAM)
<a name="policy_library_IAM"></a>
+ Permite el acceso a la API del simulador de políticas ([ver esta política](reference_policies_examples_iam_policy-sim.md)).
+ Permite el acceso a la consola del simulador de políticas ([ver esta política](reference_policies_examples_iam_policy-sim-console.md)).
+ Permite asumir cualquier rol que tenga una etiqueta específica, mediante programación y en la consola ([ver esta política)](reference_policies_examples_iam-assume-tagged-role.md).
+ Permite y deniega el acceso a varios servicios, mediante programación y en la consola ([ver esta política)](reference_policies_examples_iam_multiple-services-console.md).
+ Permite agregar una etiqueta específica a un usuario de IAM con otra etiqueta específica, mediante programación y en la consola ([ver esta política](reference_policies_examples_iam-add-tag.md)).
+ Permite agregar una etiqueta específica a cualquier usuario o rol de IAM, mediante programación y en la consola ([ver esta política](reference_policies_examples_iam-add-tag-user-role.md)).
+ Permite crear un nuevo usuario solo con etiquetas específicas ([ver esta política](reference_policies_examples_iam-new-user-tag.md)).
+ Permite generar y recuperar informes de credenciales de IAM ([ver esta política](reference_policies_examples_iam-credential-report.md)).
+ Permite administrar la pertenencia a un grupo, mediante programación y en la consola ([ver esta política)](reference_policies_examples_iam_manage-group-membership.md).
+ Permite administrar una etiqueta específica ([ver esta política](reference_policies_examples_iam-manage-tags.md)).
+ Permite transferir un rol de IAM a un servicio específico ([ver esta política](reference_policies_examples_iam-passrole-service.md)).
+ Permite acceso de solo lectura a la consola de IAM sin informes ([ver esta política](reference_policies_examples_iam_read-only-console-no-reporting.md)).
+ Permite acceso de solo lectura a la consola de IAM ([ver esta política](reference_policies_examples_iam_read-only-console.md)).
+ Permite que usuarios específicos administren un grupo, mediante programación y en la consola ([ver esta política)](reference_policies_examples_iam_users-manage-group.md).
+ Permite establecer los requisitos de contraseña de la cuenta, mediante programación y en la consola ([ver esta política)](reference_policies_examples_iam_set-account-pass-policy.md).
+ Permite utilizar la API del simulador de políticas para los usuarios con una ruta específica ([ver esta política](reference_policies_examples_iam_policy-sim-path.md)).
+ Permite utilizar la consola del simulador de políticas para los usuarios con una ruta específica ([ver esta política](reference_policies_examples_iam_policy-sim-path-console.md)).
+ Permite a los usuarios de IAM administrar ellos mismos un dispositivo MFA. ([Ver esta política](reference_policies_examples_iam_mfa-selfmanage.md)).
+ Permite a los usuarios de IAM definir sus propias credenciales, mediante programación y en la consola. ([Ver esta política](reference_policies_examples_iam_credentials_console.md)).
+ Permite ver la información de acceso reciente de una política de AWS Organizations en la consola de IAM. ([Ver esta política](reference_policies_examples_iam_service-accessed-data-orgs.md)).
+ Limita las políticas administradas que pueden aplicarse a un usuario, grupo o rol de IAM ([ver esta política](reference_policies_examples_iam_limit-managed.md)).
+ Permite el acceso a las políticas de IAM solo en su cuenta ([Ver esta política](resource_examples_iam_policies_resource_account.md)).

## Ejemplos de políticas: AWS Lambda
<a name="policy_library_Lambda"></a>
+ Permite que la función de AWS Lambda obtenga acceso a una tabla de Amazon DynamoDB ([ver esta política](reference_policies_examples_lambda-access-dynamodb.md)).

## Políticas de ejemplo: Amazon RDS
<a name="policy_library_RDS"></a>
+ Permite acceso completo a la base de datos de Amazon RDS dentro de una región específica. ([Ver esta política](reference_policies_examples_rds_region.md)).
+ Permite restaurar bases de datos de Amazon RDS, mediante programación y en la consola ([ver esta política](reference_policies_examples_rds_db-console.md))
+ Permite a los propietarios de etiquetas el acceso completo a los recursos de Amazon RDS que han etiquetado ([ver esta política](reference_policies_examples_rds_tag-owner.md))

## Políticas de ejemplo: Amazon S3
<a name="policy_library_S3"></a>
+ Permite que un usuario de Amazon Cognito obtenga acceso a los objetos en su propio bucket de Amazon S3 ([ver esta política](reference_policies_examples_s3_cognito-bucket.md))
+ Permite que un usuario con credenciales temporales acceda a su propio directorio principal en Amazon S3, tanto mediante programación como desde la consola ([Ver esta política](reference_policies_examples_s3_federated-home-directory-console.md)).
+ Permite acceso S3 completo, pero deniega de forma explícita el acceso al bucket de producción en caso de que el administrador no haya iniciado sesión utilizando MFA en los últimos treinta minutos ([ver esta política)](reference_policies_examples_s3_full-access-except-production.md).
+ Permite que los usuarios de IAM obtengan acceso a su propio directorio de inicio en Amazon S3, mediante programación y en la consola ([ver esta política](reference_policies_examples_s3_home-directory-console.md))
+ Permite que un usuario administre un único bucket de Amazon S3 y deniega todas las demás acciones y recursos de AWS ([ver esta política](reference_policies_examples_s3_deny-except-bucket.md)).
+ Permite el acceso de `Read` y `Write` a un bucket de Amazon S3 específico ([ver esta política](reference_policies_examples_s3_rw-bucket.md))
+ Permite el acceso de `Read` y `Write` a un bucket de Amazon S3 específico, mediante programación, y en la consola ([ver esta política](reference_policies_examples_s3_rw-bucket-console.md))

# AWS: permite el acceso en función de la fecha y la hora
<a name="reference_policies_examples_aws-dates"></a>

En este ejemplo se muestra cómo crear una política basada en identidad que permite el acceso a acciones según la fecha y hora. Esta política restringe el acceso a las acciones que se produzcan entre el 1 de abril de 2020 y el 30 de junio de 2020 (UTC), ambos inclusive. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. Para utilizar esta política, sustituya el *texto en cursiva del marcador* de la política de ejemplo con su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

Para obtener información acerca de la utilización de varias condiciones dentro del bloque `Condition` de una política de IAM, consulte [Múltiples valores en un elemento Condition](reference_policies_elements_condition.md#Condition-multiple-conditions).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "service-prefix:action-name",
            "Resource": "*",
            "Condition": {
                "DateGreaterThan": {"aws:CurrentTime": "2020-04-01T00:00:00Z"},
                "DateLessThan": {"aws:CurrentTime": "2020-06-30T23:59:59Z"}
            }
        }
    ]
}
```

------

**nota**  
No puede utilizar una variable de política con el operador de condición de fecha. Para obtener más información, consulte [Elemento de condición](reference_policies_variables.md#policy-vars-conditionelement)

# AWS: permite habilitar y deshabilitar regiones de AWS
<a name="reference_policies_examples_aws-enable-disable-regions"></a>

Este ejemplo muestra cómo puede crear una política basada en identidad que permita a un administrador activar y desactivar la Región Asia-Pacífico (Hong Kong) (ap-east-1). Esta política define los permisos para el acceso programático y a la consola. Esta configuración aparece en la página **Account settings (Configuración de la cuenta)** en la Consola de administración de AWS. Esta página incluye información de nivel de cuenta sensible que debe visualizar y administrar únicamente los administradores de cuentas. Para utilizar esta política, sustituya el *texto en cursiva* de la política de ejemplo por su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

**importante**  
No puede habilitar ni deshabilitar las regiones habilitadas de forma predeterminada. Solo puede incluir las regiones que están *deshabilitadas* de forma predeterminada. Para obtener más información, consulte [Administración de las regiones de AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html) en la *Referencia general de AWS*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EnableDisableHongKong",
            "Effect": "Allow",
            "Action": [
                "account:EnableRegion",
                "account:DisableRegion"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {"account:TargetRegion": "ap-east-1"}
            }
        },
        {
            "Sid": "ViewConsole",
            "Effect": "Allow",
            "Action": [
                "account:ListRegions"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# AWS: permite a los usuarios de IAM autenticados por MFA administrar sus propias credenciales en la página Credenciales de seguridad
<a name="reference_policies_examples_aws_my-sec-creds-self-manage"></a>

En este ejemplo, se muestra cómo podría crear una política basada en identidad que permita a los usuarios de IAM autenticados mediante [autenticación multifactor (MFA)](id_credentials_mfa.md) administrar sus propias credenciales en la página **Credenciales de seguridad**. En esta página de la Consola de administración de AWS, se muestra información de la cuenta, como el ID de cuenta y el ID de usuario canónico. Los usuarios también pueden ver y editar sus propias contraseñas, claves de acceso, dispositivos MFA, certificados X.509, claves SSH y credenciales de Git. Esta política de ejemplo incluye los permisos necesarios para ver y editar toda la información de la página. También requiere que el usuario se configure y autentique con MFA para poder realizar cualquier otra operación en AWS. Para permitir a los usuarios administrar sus propias credenciales sin utilizar MFA, consulte [AWS: permite a los usuarios de IAM administrar sus propias credenciales en la página Credenciales de seguridad](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md).

Para información sobre el acceso a la página **Credenciales de seguridad**, consulte [Cómo cambian los usuarios de IAM su propia contraseña (consola)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**nota**  
Este ejemplo de política no permite a los usuarios restablecer una contraseña al iniciar sesión en la Consola de administración de AWS por primera vez. Recomendamos que no conceda permisos a los nuevos usuarios hasta después de que inicien sesión. Para obtener más información, consulte [¿Cómo puedo crear usuarios de IAM de forma segura?](troubleshoot.md#troubleshoot_general_securely-create-iam-users). Esto también impide que los usuarios con una contraseña vencida restablezcan su contraseña durante el inicio de sesión. Puede permitir esto añadiendo `iam:ChangePassword` y `iam:GetAccountPasswordPolicy` a la instrucción `DenyAllExceptListedIfNoMFA`. No obstante, no lo recomendamos porque permitir a los usuarios cambiar su contraseña sin MFA puede ser un riesgo para la seguridad.
Si tiene la intención de utilizar esta política para el acceso programático, debe llamar al [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html) para autenticarse con MFA. Para obtener más información, consulte [Acceso seguro a la API con MFA](id_credentials_mfa_configure-api-require.md).

**Qué hace esta política?**
+ La instrucción `AllowViewAccountInfo` permite al usuario ver la información de nivel de cuenta. Estos permisos deben estar en su propia instrucción, ya que no admiten o no requieren un ARN de recurso. En lugar de ello, los permisos especifican `"Resource" : "*"`. Esta instrucción incluye las siguientes acciones que permiten al usuario ver información específica: 
  + `GetAccountPasswordPolicy`: ver los requisitos de contraseña de la cuenta y cambiar la contraseña de su propio usuario de IAM.
  + `ListVirtualMFADevices`: ver información detallada de un dispositivo MFA virtual que está habilitado para el usuario.
+ La instrucción `AllowManageOwnPasswords` permite al usuario cambiar su propia contraseña. Esta instrucción incluye también la acción `GetUser`, que es necesaria para ver la mayor parte de la información de la página **My security credentials** (Mis credenciales de seguridad).
+ La instrucción `AllowManageOwnAccessKeys` permite al usuario crear, actualizar y eliminar sus propias claves de acceso. El usuario también puede recuperar información acerca de cuándo se utilizó por última vez la clave de acceso especificada.
+ La instrucción `AllowManageOwnSigningCertificates` permite al usuario cargar, actualizar y eliminar sus propios certificados de firma.
+ La instrucción `AllowManageOwnSSHPublicKeys` permite al usuario cargar, actualizar y eliminar sus propias claves públicas SSH de CodeCommit.
+ La instrucción `AllowManageOwnGitCredentials` permite al usuario cargar, crear y eliminar sus propias credenciales de Git de CodeCommit.
+ La declaración `AllowManageOwnVirtualMFADevice` permite al usuario crear su propio dispositivo MFA virtual. El recurso de ARN de esta declaración permite al usuario crear un dispositivo MFA con cualquier nombre, pero las otras declaraciones en la política solo permiten al usuario adjuntar el dispositivo al usuario actualmente conectado.
+ La instrucción `AllowManageOwnUserMFA` permite al usuario ver o administrar el dispositivo MFA o U2F virtual o físico de su propio usuario. El ARN de recurso de esta instrucción permite el acceso únicamente al propio usuario de IAM. Los usuarios no pueden ver ni administrar el dispositivo MFA de otros usuarios. 
+ La instrucción `DenyAllExceptListedIfNoMFA` deniega el acceso a todas las acciones de todos los servicios de AWS, salvo algunas acciones indicadas, pero ***solo si*** el usuario no ha iniciado sesión con MFA. La instrucción utiliza una combinación de `"Deny"` y `"NotAction"` para denegar explícitamente el acceso a las acciones que no se indican en la lista. Esta instrucción no deniega ni permite los elementos enumerados. Son otras instrucciones de la política las que permiten las acciones. Para obtener más información acerca de la lógica de esta instrucción, consulte [NotAction con Deny](reference_policies_elements_notaction.md). Si el usuario ha iniciado sesión con MFA, la prueba `Condition` no se cumple y esta instrucción no deniega ninguna acción. En este caso, otras políticas o instrucciones determinan los permisos del usuario.

  Esta instrucción garantiza que cuando el usuario no ha iniciado sesión con MFA únicamente pueda realizar las acciones que se muestran. Además, puede realizar las acciones mostradas solo si otra instrucción o política permite el acceso a estas acciones. Esto no permite a un usuario crear una contraseña durante el inicio de sesión, ya que la acción `iam:ChangePassword` no debe permitirse sin autorización de MFA.

  La versión `...IfExists` del operador `Bool` garantiza que si falta la clave `aws:MultiFactorAuthPresent`, la condición devuelve el valor verdadero. Esto significa que a un usuario que accede a una API con credenciales a largo plazo, como una clave de acceso, se le deniega el acceso a las operaciones de la API que no son de IAM.

Esta política no permite a los usuarios ver la página **Usuarios** de la consola de IAM ni utilizar esa página para obtener acceso a su propia información de usuario. Para permitir esto, añada la acción `iam:ListUsers` a la instrucción `AllowViewAccountInfo` y a la instrucción `DenyAllExceptListedIfNoMFA`. Tampoco permite a los usuarios cambiar su contraseña en su propia página de usuario. Si desea permitirlo, agregue las acciones `iam:GetLoginProfile` e `iam:UpdateLoginProfile` a la instrucción `AllowManageOwnPasswords`. Para permitir también que un usuario cambie su contraseña desde su propia página de usuario sin iniciar sesión con MFA, añada la acción `iam:UpdateLoginProfile` a la instrucción `DenyAllExceptListedIfNoMFA`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:ListVirtualMFADevices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswords",
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword",
                "iam:GetUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:GetAccessKeyLastUsed"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSigningCertificates",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSigningCertificate",
                "iam:ListSigningCertificates",
                "iam:UpdateSigningCertificate",
                "iam:UploadSigningCertificate"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSSHPublicKeys",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSSHPublicKey",
                "iam:GetSSHPublicKey",
                "iam:ListSSHPublicKeys",
                "iam:UpdateSSHPublicKey",
                "iam:UploadSSHPublicKey"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnGitCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:ResetServiceSpecificCredential",
                "iam:UpdateServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnVirtualMFADevice",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice"
            ],
            "Resource": "arn:aws:iam::*:mfa/*"
        },
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:GetMFADevice",
                "iam:ListMFADevices",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice",
                "sts:GetSessionToken"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

# AWS: permite un acceso específico mediante MFA en unas fechas específicas
<a name="reference_policies_examples_aws_mfa-dates"></a>

En este ejemplo se muestra cómo crear una política basada en identidad que utilice varias condiciones, que se evalúan al utilizar una lógica `AND`. Permite acceso total al servicio denominado `SERVICE-NAME-1` y acceso a las acciones `ACTION-NAME-A` y `ACTION-NAME-B` en el servicio denominado `SERVICE-NAME-2`. Estas acciones están permitidas solo cuando el usuario está autenticado mediante la [autenticación multifactor (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html). El acceso está restringido a acciones que se producen entre el 1 de julio de 2017 y el 31 de diciembre de 2017 (UTC), ambos incluidos. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. Para utilizar esta política, sustituya el *texto en cursiva del marcador* de la política de ejemplo con su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

Para obtener información acerca de la utilización de varias condiciones dentro del bloque `Condition` de una política de IAM, consulte [Múltiples valores en un elemento Condition](reference_policies_elements_condition.md#Condition-multiple-conditions).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "service-prefix-1:*",
            "service-prefix-2:action-name-a",
            "service-prefix-2:action-name-b"
        ],
        "Resource": "*",
        "Condition": {
            "Bool": {"aws:MultiFactorAuthPresent": true},
            "DateGreaterThan": {"aws:CurrentTime": "2017-07-01T00:00:00Z"},
            "DateLessThan": {"aws:CurrentTime": "2017-12-31T23:59:59Z"}
        }
    }
}
```

------

# AWS: permite a los usuarios de IAM administrar sus propias credenciales en la página Credenciales de seguridad
<a name="reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa"></a>

Este ejemplo muestra cómo podría crear una política basada en identidad que permita a los usuarios de IAM administrar sus propias credenciales en la página **Credenciales de seguridad**. En esta página de la Consola de administración de AWS, se muestra información de la cuenta, como el ID de cuenta y el ID de usuario canónico. Los usuarios también pueden ver y editar sus propias contraseñas, claves de acceso, certificados X.509, claves SSH y credenciales de Git. Esta política de ejemplo incluye los permisos necesarios para ver y editar toda la información de la página, *salvo* el dispositivo MFA del usuario. Para permitir a los usuarios administrar sus propias credenciales con MFA, consulte [AWS: permite a los usuarios de IAM autenticados por MFA administrar sus propias credenciales en la página Credenciales de seguridad](reference_policies_examples_aws_my-sec-creds-self-manage.md).

Para información sobre el acceso a la página **Credenciales de seguridad**, consulte [Cómo cambian los usuarios de IAM su propia contraseña (consola)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**Qué hace esta política? **
+ La instrucción `AllowViewAccountInfo` permite al usuario ver la información de nivel de cuenta. Estos permisos deben estar en su propia instrucción, ya que no admiten o no requieren un ARN de recurso. En lugar de ello, los permisos especifican `"Resource" : "*"`. Esta instrucción incluye las siguientes acciones que permiten al usuario ver información específica: 
  + `GetAccountPasswordPolicy`: ver los requisitos de contraseña de la cuenta y cambiar la contraseña de su propio usuario de IAM.
  + `GetAccountSummary`: ver el ID de cuenta y el [ID de usuario canónico de la cuenta](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId).
+ La instrucción `AllowManageOwnPasswords` permite al usuario cambiar su propia contraseña. Esta instrucción incluye también la acción `GetUser`, que es necesaria para ver la mayor parte de la información de la página **My security credentials** (Mis credenciales de seguridad).
+ La instrucción `AllowManageOwnAccessKeys` permite al usuario crear, actualizar y eliminar sus propias claves de acceso. El usuario también puede recuperar información acerca de cuándo se utilizó por última vez la clave de acceso especificada.
+ La instrucción `AllowManageOwnSigningCertificates` permite al usuario cargar, actualizar y eliminar sus propios certificados de firma.
+ La instrucción `AllowManageOwnSSHPublicKeys` permite al usuario cargar, actualizar y eliminar sus propias claves públicas SSH de CodeCommit.
+ La instrucción `AllowManageOwnGitCredentials` permite al usuario cargar, crear y eliminar sus propias credenciales de Git de CodeCommit.

Esta política no permite a los usuarios ver ni administrar sus propios dispositivos MFA. Tampoco pueden ver la página **Usuarios** de la consola de IAM ni utilizar esa página para obtener acceso a su propia información de usuario. Si desea permitirlo, añada la acción `iam:ListUsers` a la instrucción `AllowViewAccountInfo`. Tampoco permite a los usuarios cambiar su contraseña en su propia página de usuario. Si desea permitirlo, añada las acciones `iam:CreateLoginProfile`, `iam:DeleteLoginProfile`, `iam:GetLoginProfile` e `iam:UpdateLoginProfile` a la instrucción `AllowManageOwnPasswords`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary"       
            ],
            "Resource": "*"
        },       
        {
            "Sid": "AllowManageOwnPasswords",
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword",
                "iam:GetUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:GetAccessKeyLastUsed"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSigningCertificates",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSigningCertificate",
                "iam:ListSigningCertificates",
                "iam:UpdateSigningCertificate",
                "iam:UploadSigningCertificate"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSSHPublicKeys",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSSHPublicKey",
                "iam:GetSSHPublicKey",
                "iam:ListSSHPublicKeys",
                "iam:UpdateSSHPublicKey",
                "iam:UploadSSHPublicKey"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnGitCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:ResetServiceSpecificCredential",
                "iam:UpdateServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# AWS: permite a los usuarios de IAM autenticados por MFA administrar su propio dispositivo MFA en la página Credenciales de seguridad
<a name="reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only"></a>

Este ejemplo muestra cómo podría crear una política basada en identidad que permita a los usuarios de IAM autenticados mediante [autenticación multifactor (MFA)](id_credentials_mfa.md) para administrar su propio dispositivo MFA en la página **Credenciales de seguridad**. En esta página de la Consola de administración de AWS se muestra información de la cuenta y del usuario, pero el usuario solo puede ver y editar su propio dispositivo MFA. Para permitir a los usuarios administrar todas sus credenciales con MFA, consulte [AWS: permite a los usuarios de IAM autenticados por MFA administrar sus propias credenciales en la página Credenciales de seguridad](reference_policies_examples_aws_my-sec-creds-self-manage.md).

**nota**  
Si un usuario de IAM con esta política no está autenticado por MFA, esta política deniega el acceso a todas las acciones de AWS excepto las necesarias para autenticarse mediante MFA. Para utilizar la AWS CLI y la API de AWS, los usuarios de IAM primero deben recuperar su token de MFA mediante la operación [GetSessionToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html) de AWS STS y, a continuación, utilizar dicho token para autenticar la operación deseada. Otras políticas, como las políticas basadas en recursos o identidad, pueden permitir acciones en otros servicios. Esta política denegará ese acceso si el usuario de IAM no se autentica mediante MFA.

Para información sobre el acceso a la página **Credenciales de seguridad**, consulte [Cómo cambian los usuarios de IAM su propia contraseña (consola)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**¿Qué hace esta política? **
+ La instrucción `AllowViewAccountInfo` permite al usuario ver los detalles de un dispositivo MFA virtual que está habilitado para el usuario. Este permiso debe estar en su propia instrucción, ya que no es posible especificar el ARN de un recurso. En su lugar, debe especificar `"Resource" : "*"`.
+ La declaración `AllowManageOwnVirtualMFADevice` permite al usuario crear su propio dispositivo MFA virtual. El recurso de ARN de esta declaración permite al usuario crear un dispositivo MFA con cualquier nombre, pero las otras declaraciones en la política solo permiten al usuario adjuntar el dispositivo al usuario actualmente conectado.
+ La instrucción `AllowManageOwnUserMFA` permite al usuario ver o administrar su propio dispositivo MFA o U2F virtual o físico. El ARN de recurso de esta instrucción permite el acceso únicamente al propio usuario de IAM. Los usuarios no pueden ver ni administrar el dispositivo MFA de otros usuarios.
+ La instrucción `DenyAllExceptListedIfNoMFA` deniega el acceso a todas las acciones de todos los servicios de AWS, salvo algunas acciones indicadas, pero ***solo si*** el usuario no ha iniciado sesión con MFA. La instrucción utiliza una combinación de `"Deny"` y `"NotAction"` para denegar explícitamente el acceso a las acciones que no se indican en la lista. Esta instrucción no deniega ni permite los elementos enumerados. Son otras instrucciones de la política las que permiten las acciones. Para obtener más información acerca de la lógica de esta instrucción, consulte [NotAction con Deny](reference_policies_elements_notaction.md). Si el usuario ha iniciado sesión con MFA, la prueba `Condition` no se cumple y esta instrucción no deniega ninguna acción. En este caso, otras políticas o instrucciones determinan los permisos del usuario.

  Esta instrucción garantiza que cuando el usuario no ha iniciado sesión con MFA únicamente pueda realizar las acciones que se muestran. Además, puede realizar las acciones mostradas solo si otra instrucción o política permite el acceso a estas acciones.

  La versión `...IfExists` del operador `Bool` garantiza que si falta la clave `aws:MultiFactorAuthPresent`, la condición devuelve el valor verdadero. Esto significa que a un usuario que obtiene acceso a una operación de la API con credenciales a largo plazo, como una clave de acceso, se le deniega el acceso a las operaciones de la API que no son de IAM.

Esta política no permite a los usuarios ver la página **Usuarios** de la consola de IAM ni utilizar esa página para obtener acceso a su propia información de usuario. Para permitir esto, añada la acción `iam:ListUsers` a la instrucción `AllowViewAccountInfo` y a la instrucción `DenyAllExceptListedIfNoMFA`.

**aviso**  
No agregue el permiso para eliminar un dispositivo MFA sin la autenticación MFA. Los usuarios con esta política es posible que intenten asignarse a sí mismos un dispositivo MFA virtual y reciban un error que indica que no están autorizados para realizar `iam:DeleteVirtualMFADevice`. Si esto ocurre, **no** agregue ese permiso a la declaración `DenyAllExceptListedIfNoMFA`. A los usuarios que no se han autenticado con MFA nunca se les debe permitir eliminar su dispositivo MFA. Los usuarios pueden ver este error si han empezado anteriormente la asignación de un dispositivo MFA virtual a su usuario y cancelado el proceso. Para solucionar este problema, usted u otro administrador debe eliminar el dispositivo MFA virtual existente del usuario con la AWS CLI o la API de AWS. Para obtener más información, consulte [No tengo autorización para realizar la operación iam:DeleteVirtualMFADevice](troubleshoot.md#troubleshoot_general_access-denied-delete-mfa).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": "iam:ListVirtualMFADevices",
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnVirtualMFADevice",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice"
            ],
            "Resource": "arn:aws:iam::*:mfa/*"
        },
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:GetMFADevice",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice",
                "sts:GetSessionToken"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {"aws:MultiFactorAuthPresent": "false"}
            }
        }
    ]
}
```

------

# AWS: permite a los usuarios de IAM cambiar su propia contraseña de consola en la página Credenciales de seguridad
<a name="reference_policies_examples_aws_my-sec-creds-self-manage-password-only"></a>

Este ejemplo muestra cómo podría crear una política basada en identidad que permita a los usuarios de IAM cambiar su propia contraseña de la Consola de administración de AWS en la página **Credenciales de seguridad**. En esta página de la Consola de administración de AWS se muestra información de la cuenta y del usuario, pero el usuario solo tiene acceso a su propia contraseña. Para permitir a los usuarios administrar todas sus credenciales con MFA, consulte [AWS: permite a los usuarios de IAM autenticados por MFA administrar sus propias credenciales en la página Credenciales de seguridad](reference_policies_examples_aws_my-sec-creds-self-manage.md). Para permitir a los usuarios administrar sus propias credenciales sin utilizar MFA, consulte [AWS: permite a los usuarios de IAM administrar sus propias credenciales en la página Credenciales de seguridad](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md).

Para información sobre el acceso a la página **Credenciales de seguridad**, consulte [Cómo cambian los usuarios de IAM su propia contraseña (consola)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**Qué hace esta política? **
+ La instrucción `ViewAccountPasswordRequirements` permite al usuario ver los requisitos de contraseña de la cuenta y cambiar la contraseña de su propio usuario de IAM.
+ La instrucción `ChangeOwnPassword` permite al usuario cambiar su propia contraseña. Esta instrucción incluye también la acción `GetUser`, que es necesaria para ver la mayor parte de la información de la página **My security credentials** (Mis credenciales de seguridad).

Esta política no permite a los usuarios ver la página **Usuarios** de la consola de IAM ni utilizar esa página para obtener acceso a su propia información de usuario. Si desea permitirlo, añada la acción `iam:ListUsers` a la instrucción `ViewAccountPasswordRequirements`. Tampoco permite a los usuarios cambiar su contraseña en su propia página de usuario. Si desea permitirlo, agregue las acciones `iam:GetLoginProfile` e `iam:UpdateLoginProfile` a la instrucción `ChangeOwnPasswords`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewAccountPasswordRequirements",
            "Effect": "Allow",
            "Action": "iam:GetAccountPasswordPolicy",
            "Resource": "*"
        },
        {
            "Sid": "ChangeOwnPassword",
            "Effect": "Allow",
            "Action": [
                "iam:GetUser",
                "iam:ChangePassword"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# AWS: permite a los usuarios de IAM administrar su propia contraseña, sus claves de acceso y sus claves públicas SSH en la página Credenciales de seguridad
<a name="reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh"></a>

Este ejemplo muestra cómo podría crear una política de IAM que permita a los usuarios de IAM administrar su propia contraseña, claves de acceso y certificados X.509 en la página **Credenciales de seguridad**. En esta página de la Consola de administración de AWS, se muestra información de la cuenta, como el ID de cuenta y el ID de usuario canónico. Los usuarios también pueden ver y editar sus propias contraseñas, claves de acceso, dispositivos MFA, certificados X.509, claves SSH y credenciales de Git. Esta política de ejemplo incluye los permisos que son necesarios únicamente para ver y editar la contraseña, las claves de acceso y el certificado X.509. Para permitir a los usuarios administrar todas sus credenciales con MFA, consulte [AWS: permite a los usuarios de IAM autenticados por MFA administrar sus propias credenciales en la página Credenciales de seguridad](reference_policies_examples_aws_my-sec-creds-self-manage.md). Para permitir a los usuarios administrar sus propias credenciales sin utilizar MFA, consulte [AWS: permite a los usuarios de IAM administrar sus propias credenciales en la página Credenciales de seguridad](reference_policies_examples_aws_my-sec-creds-self-manage-no-mfa.md).

Para información sobre el acceso a la página **Credenciales de seguridad**, consulte [Cómo cambian los usuarios de IAM su propia contraseña (consola)](id_credentials_passwords_user-change-own.md#ManagingUserPwdSelf-Console).

**Qué hace esta política? **
+ La instrucción `AllowViewAccountInfo` permite al usuario ver la información de nivel de cuenta. Estos permisos deben estar en su propia instrucción, ya que no admiten o no requieren un ARN de recurso. En lugar de ello, los permisos especifican `"Resource" : "*"`. Esta instrucción incluye las siguientes acciones que permiten al usuario ver información específica: 
  + `GetAccountPasswordPolicy`: ver los requisitos de contraseña de la cuenta y cambiar la contraseña de su propio usuario de IAM.
  + `GetAccountSummary`: ver el ID de cuenta y el [ID de usuario canónico de la cuenta](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId).
+ La instrucción `AllowManageOwnPasswords` permite al usuario cambiar su propia contraseña. Esta instrucción incluye también la acción `GetUser`, que es necesaria para ver la mayor parte de la información de la página **My security credentials** (Mis credenciales de seguridad).
+ La instrucción `AllowManageOwnAccessKeys` permite al usuario crear, actualizar y eliminar sus propias claves de acceso. El usuario también puede recuperar información acerca de cuándo se utilizó por última vez la clave de acceso especificada.
+ La instrucción `AllowManageOwnSSHPublicKeys` permite al usuario cargar, actualizar y eliminar sus propias claves públicas SSH de CodeCommit.

Esta política no permite a los usuarios ver ni administrar sus propios dispositivos MFA. Tampoco pueden ver la página **Usuarios** de la consola de IAM ni utilizar esa página para obtener acceso a su propia información de usuario. Si desea permitirlo, añada la acción `iam:ListUsers` a la instrucción `AllowViewAccountInfo`. Tampoco permite a los usuarios cambiar su contraseña en su propia página de usuario. Si desea permitirlo, agregue las acciones `iam:GetLoginProfile` e `iam:UpdateLoginProfile` a la instrucción `AllowManageOwnPasswords`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswords",
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword",
                "iam:GetUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:GetAccessKeyLastUsed"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSSHPublicKeys",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSSHPublicKey",
                "iam:GetSSHPublicKey",
                "iam:ListSSHPublicKeys",
                "iam:UpdateSSHPublicKey",
                "iam:UploadSSHPublicKey"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# AWS: deniega el acceso a AWS en función de la región solicitada.
<a name="reference_policies_examples_aws_deny-requested-region"></a>

En este ejemplo se muestra cómo crear una política basada en identidad que deniegue el acceso a cualquier acción fuera de las regiones especificadas mediante la [clave de condición `aws:RequestedRegion`](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion), a excepción de las acciones en los servicios especificados al utilizar `NotAction`. Esta política define los permisos para el acceso programático y a la consola. Para utilizar esta política, sustituya el *texto en cursiva* de la política de ejemplo por su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

Esta política utiliza el elemento `NotAction` con el efecto `Deny`, que deniega explícitamente el acceso a todas las acciones que *no* figuran en la instrucción. Las acciones de los servicios CloudFront, IAM, Route 53 y Soporte no deben ser denegados porque son servicios globales populares de AWS con un único punto de enlace que se encuentra físicamente en la región `us-east-1`. Dado que todas las solicitudes a estos servicios se realizan a la región `us-east-1`, las solicitudes se denegaría sin el elemento `NotAction`. Edite este elemento para incluir acciones para otros servicios globales de AWS que utilice, como, por ejemplo, `budgets`, `globalaccelerator`, `importexport`, `organizations`, o `waf`. Algunos otros servicios globales, como Amazon Q Developer en aplicaciones de chat y AWS Device Farm, son servicios globales con puntos de conexión ubicados físicamente en la región `us-west-2`. Para obtener más información acerca de todos los servicios que tienen un único punto de enlace global, consulte [Regiones y puntos de enlace de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) en la *Referencia general de AWS*. Para obtener más información acerca de cómo utilizar el elemento `NotAction` con el efecto `Deny`, consulte [Elementos de política JSON de IAM: NotAction](reference_policies_elements_notaction.md). 

**importante**  
Esta política no permite ninguna acción. Utilice esta política en combinación con otras políticas que permiten acciones específicas. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DenyAllOutsideRequestedRegions",
            "Effect": "Deny",
            "NotAction": [
                "cloudfront:*",
                "iam:*",
                "organizations:*",
                "route53:*",
                "support:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1",
                        "eu-west-2",
                        "eu-west-3"
                    ]
                }
            }
        }
    ]
}
```

------

# AWS: Deniega acceso a AWS en función de la dirección IP de origen
<a name="reference_policies_examples_aws_deny-ip"></a>

Este ejemplo muestra cómo puede crear una política basada en identidad que deniegue el acceso a todas las acciones de AWS en la cuenta cuando la solicitud proviene de *entidades principales* que están fuera del intervalo de direcciones IP especificadas. La política es útil cuando las direcciones IP de su empresa están dentro de los rangos especificados. En este ejemplo, la solicitud se deniega a menos que se origine en el rango de CIDR 192.0.2.0/24 o 203.0.113.0/24. La política no deniega las solicitudes realizadas por los servicios de AWS que utilizan [Sesiones de acceso directo](access_forward_access_sessions.md) mientras la dirección IP del solicitante original se conserva.

Tenga cuidado con el uso de condiciones negativas en la misma instrucción de política que `"Effect": "Deny"`. Cuando lo haga, las acciones especificadas en la instrucción de política se deniegan explícitamente en todas las condiciones *excepto* en las especificadas.

**importante**  
Esta política no permite ninguna acción. Utilice esta política en combinación con otras políticas que permiten acciones específicas. 

Cuando otras políticas permiten acciones, las entidades principales pueden realizar solicitudes desde dentro del intervalo de direcciones IP. Un servicio de AWS también puede realizar solicitudes utilizando las credenciales de la entidad principal. Cuando una entidad principal realiza una solicitud desde fuera del intervalo de direcciones IP, la solicitud se deniega.

Para obtener más información acerca del uso de las claves de condición `aws:SourceIp`, incluida información acerca de cuándo `aws:SourceIp` puede no funcionar en su política, consulte [Claves de contexto de condición globales de AWS](reference_policies_condition-keys.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "aws:SourceIp": [
                    "192.0.2.0/24",
                    "203.0.113.0/24"
                ]
            }
        }
    }
}
```

------

# AWS: denegar el acceso a los recursos de Amazon S3 fuera de su cuenta, excepto AWS Data Exchange
<a name="reference_policies_examples_resource_account_data_exch"></a>

El siguiente ejemplo muestra cómo crear una política basada en identidad que deniegue el acceso a todos los recursos de AWS que no pertenezcan a su cuenta, excepto los recursos que AWS Data Exchange requiere para un funcionamiento normal. Para utilizar esta política, sustituya el *texto en cursiva del marcador* de la política de ejemplo con su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md). 

Puede crear una política similar para restringir el acceso a los recursos dentro de una organización o una unidad organizativa y, al mismo tiempo, contabilizar los recursos propios de AWS Data Exchange mediante las claves de condición `aws:ResourceOrgPaths` y `aws:ResourceOrgID`.

Si usa AWS Data Exchange en su entorno, el servicio crea recursos como los buckets de Amazon S3 que son propiedad de la cuenta de servicio e interactúa con ellos. Por ejemplo, AWS Data Exchange envía solicitudes a los buckets de Amazon S3 propiedad del servicio AWS Data Exchange en nombre de la entidad principal de IAM (usuario o rol) que invoca las API de AWS Data Exchange. En ese caso, el uso de `aws:ResourceAccount`, `aws:ResourceOrgPaths` o `aws:ResourceOrgID` en una política, sin tener en cuenta los recursos propiedad de AWS Data Exchange, deniega el acceso a los buckets propiedad de la cuenta de servicio.
+ La declaración, `DenyAllAwsResourcesOutsideAccountExceptS3`, utiliza el elemento `NotAction` con el efecto [Deny](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) (Denegar) que deniega explícitamente el acceso a todas las acciones que no figuren en la declaración y que tampoco pertenezcan a la cuenta incluida en la lista. El elemento `NotAction` indica las excepciones a esta declaración. Estas acciones son la excepción a esta declaración porque, si las acciones se llevan a cabo en los recursos creados por AWS Data Exchange, la política las deniega.
+ La declaración, `DenyAllS3ResoucesOutsideAccountExceptDataExchange`, utiliza una combinación de las condiciones `ResourceAccount` y `CalledVia` para denegar el acceso a las tres acciones de Amazon S3 excluidas en la declaración anterior. La declaración deniega las acciones si los recursos no pertenecen a la cuenta enumerada y si el servicio de llamadas no es AWS Data Exchange. La declaración no deniega las acciones si el recurso pertenece a la cuenta enumerada o si la entidad principal de servicio enumerada, `dataexchange.amazonaws.com`, lleva a cabo las operaciones.

**importante**  
Esta política no permite ninguna acción. Utiliza el efecto `Deny` que deniega el acceso a todos los recursos enumerados en la declaración que no pertenecen a la cuenta que se indica. Utilice esta política en combinación con otras políticas que permiten acceder a acciones específicas.

El siguiente ejemplo muestra cómo puede configurar la política para permitir el acceso a los buckets de Amazon S3 necesarios.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyAllAwsReourcesOutsideAccountExceptAmazonS3",
      "Effect": "Deny",
      "NotAction": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        }
      }
    },
    {
      "Sid": "DenyAllS3ResourcesOutsideAccountExceptDataExchange",
      "Effect": "Deny",
      "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        },
        "ForAllValues:StringNotEquals": {
          "aws:CalledVia": [
            "dataexchange.amazonaws.com"
          ]
        }
      }
    }
  ]
}
```

------

# AWS Data Pipeline: deniega el acceso a canalizaciones DataPipeline que el usuario no ha creado
<a name="reference_policies_examples_datapipeline_not-owned"></a>

En este ejemplo se muestra cómo crear una política basada en identidad que deniegue el acceso a canalizaciones que el usuario no haya creado. Si el valor del campo `PipelineCreator` coincide con el nombre de usuario de IAM, no se denegarán las acciones especificadas. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS.

**importante**  
Esta política no permite ninguna acción. Utilice esta política en combinación con otras políticas que permiten acciones específicas. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ExplicitDenyIfNotTheOwner",
            "Effect": "Deny",
            "Action": [
                "datapipeline:ActivatePipeline",
                "datapipeline:AddTags",
                "datapipeline:DeactivatePipeline",
                "datapipeline:DeletePipeline",
                "datapipeline:DescribeObjects",
                "datapipeline:EvaluateExpression",
                "datapipeline:GetPipelineDefinition",
                "datapipeline:PollForTask",
                "datapipeline:PutPipelineDefinition",
                "datapipeline:QueryObjects",
                "datapipeline:RemoveTags",
                "datapipeline:ReportTaskProgress",
                "datapipeline:ReportTaskRunnerHeartbeat",
                "datapipeline:SetStatus",
                "datapipeline:SetTaskStatus",
                "datapipeline:ValidatePipelineDefinition"
            ],
            "Resource": ["*"],
            "Condition": {
                "StringNotEquals": {"datapipeline:PipelineCreator": "${aws:userid}"}
            }
        }
    ]
}
```

------

# Amazon DynamoDB: permite el acceso a una determinada tabla
<a name="reference_policies_examples_dynamodb_specific-table"></a>

En este ejemplo se muestra cómo crear una política basada en identidad que permita el acceso completo a la tabla `MyTable` de DynamoDB. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. Para utilizar esta política, sustituya el *texto en cursiva del marcador* de la política de ejemplo con su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

**importante**  
Esta política permite todas las acciones que pueden llevarse a cabo en una tabla de DynamoDB. Para revisar estas acciones, consulte [Permisos de la API de DynamoDB: referencia sobre acciones, recursos y condiciones](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/api-permissions-reference.html) en la *Guía para desarrolladores de Amazon DynamoDB*. Puede proporcionar los mismos permisos si enumera cada acción individual. Sin embargo, si utiliza el comodín (`*`) en el elemento `Action`, como `"dynamodb:List*"`, no tendrá que actualizar la política si DynamoDB agrega una nueva acción List. 

Esta política solo permite realizar acciones en las tablas de DynamoDB que existen con el nombre especificado. Para permitir a los usuarios obtener acceso de `Read` a todos los elementos de DynamoDB, también puede asociar la política administrada por [AmazonDynamoDBReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBReadOnlyAccess) de AWS.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListAndDescribe",
            "Effect": "Allow",
            "Action": [
                "dynamodb:List*",
                "dynamodb:DescribeReservedCapacity*",
                "dynamodb:DescribeLimits",
                "dynamodb:DescribeTimeToLive"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SpecificTable",
            "Effect": "Allow",
            "Action": [
                "dynamodb:BatchGet*",
                "dynamodb:DescribeStream",
                "dynamodb:DescribeTable",
                "dynamodb:Get*",
                "dynamodb:Query",
                "dynamodb:Scan",
                "dynamodb:BatchWrite*",
                "dynamodb:CreateTable",
                "dynamodb:Delete*",
                "dynamodb:Update*",
                "dynamodb:PutItem"
            ],
            "Resource": "arn:aws:dynamodb:*:*:table/MyTable"
        }
    ]
}
```

------

# Amazon DynamoDB: permite el acceso a atributos específicos
<a name="reference_policies_examples_dynamodb_attributes"></a>

En este ejemplo se muestra cómo crear una política basada en identidad que permita el acceso a los atributos específicos de DynamoDB. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. Para utilizar esta política, sustituya el *texto en cursiva del marcador* de la política de ejemplo con su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

El requisito `dynamodb:Select` impide que la acción de la API devuelva cualquier atributo no permitido, como una proyección de índice. Para obtener más información sobre las claves de condición de DynamoDB, consulte [Especificación de condiciones: uso de claves de condiciones](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/specifying-conditions.html#FGAC_DDB.ConditionKeys) en la *Guía para desarrolladores de Amazon DynamoDB*. Para obtener información acerca de la utilización de varias condiciones o de varias claves de condición dentro del bloque `Condition` de una política de IAM, consulte [Múltiples valores en un elemento Condition](reference_policies_elements_condition.md#Condition-multiple-conditions).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:GetItem",
                "dynamodb:BatchGetItem",
                "dynamodb:Query",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem",
                "dynamodb:DeleteItem",
                "dynamodb:BatchWriteItem"
            ],
            "Resource": ["arn:aws:dynamodb:*:*:table/table-name"],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "dynamodb:Attributes": [
                        "column-name-1",
                        "column-name-2",
                        "column-name-3"
                    ]
                },
                "StringEqualsIfExists": {"dynamodb:Select": "SPECIFIC_ATTRIBUTES"}
            }
        }
    ]
}
```

------

# Amazon DynamoDB: permite el acceso en el nivel de elemento a DynamoDB en función de un ID de Amazon Cognito
<a name="reference_policies_examples_dynamodb_items"></a>

En este ejemplo, se muestra cómo crear una política basada en identidad que permita el acceso de todo el elemento a la tabla de DynamoDB `MyTable` según el ID de usuario del grupo de identidades de Amazon Cognito. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. Para utilizar esta política, sustituya el *texto en cursiva del marcador* de la política de ejemplo con su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

Para utilizar esta política, debe estructurar la tabla de DynamoDB, de modo que el ID de usuario del grupo de identidades de Amazon Cognito sea la clave de partición. Para obtener más información, consulte [Crear una tabla](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.CreateTable) en la *Guía para desarrolladores de Amazon DynamoDB*.

Para obtener más información sobre las claves de condición de DynamoDB, consulte [Especificación de condiciones: uso de claves de condiciones](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/specifying-conditions.html#FGAC_DDB.ConditionKeys) en la *Guía para desarrolladores de Amazon DynamoDB*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:DeleteItem",
                "dynamodb:GetItem",
                "dynamodb:PutItem",
                "dynamodb:Query",
                "dynamodb:UpdateItem"
            ],
            "Resource": ["arn:aws:dynamodb:*:*:table/MyTable"],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "dynamodb:LeadingKeys": ["${cognito-identity.amazonaws.com:sub}"]
                }
            }
        }
    ]
}
```

------

# Amazon EC2: asociar volúmenes de Amazon EBS a instancias EC2 en función de las etiquetas, o bien desasociarlos
<a name="reference_policies_examples_ec2_ebs-owner"></a>

Este ejemplo muestra cómo puede crear una política basada en identidad que permite a los propietarios de volúmenes de EBS asociar o desasociar sus volúmenes definidos mediante la etiqueta `VolumeUser` a instancias de EC2 etiquetadas como instancias de desarrollo (`Department=Development`). Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. Para utilizar esta política, sustituya el *texto en cursiva del marcador* de la política de ejemplo con su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

Para obtener más información sobre la creación de políticas de IAM para controlar el acceso a los recursos de Amazon EC2, consulte [Control de acceso a recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/UsingIAM.html) en la *Guía del usuario de Amazon EC2*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachVolume",
                "ec2:DetachVolume"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/Department": "Development"}
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachVolume",
                "ec2:DetachVolume"
            ],
            "Resource": "arn:aws:ec2:*:*:volume/*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/VolumeUser": "${aws:username}"}
            }
        }
    ]
}
```

------

# Amazon EC2: permite lanzar instancias EC2 en una determinada subred, de forma programática y en la consola
<a name="reference_policies_examples_ec2_instances-subnet"></a>

En este ejemplo se muestra cómo crear una política basada en identidad que permita enumerar información de todos los objetos de EC2 y lanzar instancias de EC2 en una subred específica. Esta política define los permisos para el acceso programático y a la consola. Para utilizar esta política, sustituya el *texto en cursiva* de la política de ejemplo por su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*",
                "ec2:GetConsole*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:RunInstances",
            "Resource": [
                "arn:aws:ec2:*:*:subnet/subnet-subnet-id",
                "arn:aws:ec2:*:*:network-interface/*",
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:volume/*",
                "arn:aws:ec2:*::image/ami-*",
                "arn:aws:ec2:*:*:key-pair/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        }
    ]
}
```

------

# Amazon EC2: permite administrar grupos de seguridad de EC2 con un par de etiquetas de valor de clave específico, mediante programación y en la consola
<a name="reference_policies_examples_ec2_securitygroups-vpc"></a>

En este ejemplo se muestra cómo crear una política basada en identidad que otorga a los usuarios permiso a fin de tomar ciertas acciones para grupos de seguridad que tienen la misma etiqueta. Esta política concede permisos para ver grupos de seguridad en la consola de Amazon EC2, así como para agregar y quitar reglas de entrada y salida y enumerar y modificar las descripciones de las reglas de los grupos de seguridad existentes que tengan la etiqueta `Department=Test`. Esta política define los permisos para el acceso programático y a la consola. Para utilizar esta política, sustituya el *texto en cursiva* de la política de ejemplo por su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [{
      "Effect": "Allow",
      "Action": [
         "ec2:DescribeSecurityGroups",
         "ec2:DescribeSecurityGroupRules",
         "ec2:DescribeTags"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "ec2:AuthorizeSecurityGroupIngress", 
         "ec2:RevokeSecurityGroupIngress", 
         "ec2:AuthorizeSecurityGroupEgress", 
         "ec2:RevokeSecurityGroupEgress", 
         "ec2:ModifySecurityGroupRules",
         "ec2:UpdateSecurityGroupRuleDescriptionsIngress", 
         "ec2:UpdateSecurityGroupRuleDescriptionsEgress"
      ],
      "Resource": [
         "arn:aws:ec2:us-east-1:111122223333:security-group/*"
      ],
      "Condition": {
         "StringEquals": {
            "aws:ResourceTag/Department": "Test"
         }
      }
     },     
     {
      "Effect": "Allow",
      "Action": [
         "ec2:ModifySecurityGroupRules"
      ],
      "Resource": [
         "arn:aws:ec2:us-east-1:111122223333:security-group-rule/*"
      ]
     }
   ]
}
```

------

# Amazon EC2: permite iniciar o detener instancias EC2 que un usuario haya etiquetado, mediante programación y en la consola
<a name="reference_policies_examples_ec2_tag-owner"></a>

En este ejemplo se muestra cómo crear una política basada en identidad que permita a un usuario de IAM iniciar o detener instancias de EC2, pero solo si la etiqueta `Owner` de la instancia tiene el valor del nombre de usuario de dicho usuario. Esta política define los permisos para el acceso programático y a la consola.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Owner": "${aws:username}"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeInstances",
            "Resource": "*"
        }
    ]
}
```

------

# EC2: iniciar o detener instancias en función de las etiquetas
<a name="reference_policies_examples_ec2-start-stop-tags"></a>

Este ejemplo muestra cómo podría crear una política basada en identidad que permita iniciar o detener instancias con el par de valor de clave de la etiqueta `Project = DataAnalytics`, pero solo por las entidades principales con el par de valor de clave de la etiqueta `Department = Data`. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. Para utilizar esta política, sustituya el *texto en cursiva del marcador* de la política de ejemplo con su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md). 

La condición de la política se cumple si ambas partes de la condición son ciertas. La instancia debe tener la etiqueta `Project=DataAnalytics`. Además, la entidad principal de IAM (usuario o rol) que realiza la solicitud debe tener la etiqueta `Department=Data`. 

**nota**  
Como práctica recomendada, asocie políticas con la clave de condición `aws:PrincipalTag` para grupos de IAM en el caso en el que algunos usuarios pudieran tener la etiqueta especificada y otros no. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "StartStopIfTags",
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Project": "DataAnalytics",
                    "aws:PrincipalTag/Department": "Data"
                }
            }
        }
    ]
}
```

------

# EC2: iniciar o detener instancias basándose en etiquetas de recursos y principal coincidentes
<a name="reference_policies_examples_ec2-start-stop-match-tags"></a>

Este ejemplo muestra cómo podría crear una política basada en identidad que permita a una entidad principal iniciar o detener una instancia de Amazon EC2 cuando la etiqueta de recurso de la instancia y la etiqueta de la entidad de seguridad tengan el mismo valor para la clave de etiqueta `CostCenter`. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. Para utilizar esta política, sustituya el *texto en cursiva del marcador* de la política de ejemplo con su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md). 

**nota**  
Como práctica recomendada, asocie políticas con la clave de condición `aws:PrincipalTag` para grupos de IAM en el caso en el que algunos usuarios pudieran tener la etiqueta especificada y otros no. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "ec2:startInstances",
            "ec2:stopInstances"
        ],
        "Resource": "*",
        "Condition": {"StringEquals": 
            {"aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"}}
    }
}
```

------

# Amazon EC2: permite el acceso completo a EC2 en una región determinada, mediante programación y en la consola
<a name="reference_policies_examples_ec2_region"></a>

En este ejemplo se muestra cómo crear una política basada en identidad que permita el acceso completo a EC2 dentro de una región específica. Esta política define los permisos para el acceso programático y a la consola. Para utilizar esta política, sustituya el *texto en cursiva* de la política de ejemplo por su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md). Para obtener una lista de códigos de región, consulte [Regiones disponibles](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-available-regions) en la *Guía del usuario de Amazon EC2*.

Como alternativa, puede utilizar la clave de condición global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion), que es admitida por todas las acciones de la API de Amazon EC2. Para obtener más información, consulte [Ejemplo: Limitar el acceso a una región específica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region) en la *Guía del usuario de Amazon EC2*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "ec2:*",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ec2:Region": "us-east-2"
                }
            }
        }
    ]
}
```

------

# Amazon EC2: permite iniciar o detener una instancia EC2 y modificar un grupo de seguridad mediante programación y en la consola
<a name="reference_policies_examples_ec2_instance-securitygroup"></a>

En este ejemplo se muestra cómo crear una política basada en identidad que permita iniciar o detener una determinada instancia de EC2 y modificar un grupo de seguridad específico. Esta política define los permisos para el acceso programático y a la consola. Para utilizar esta política, sustituya el *texto en cursiva* de la política de ejemplo por su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeSecurityGroupReferences",
        "ec2:DescribeStaleSecurityGroups"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:StartInstances",
        "ec2:StopInstances"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:instance/i-instance-id",
        "arn:aws:ec2:*:*:security-group/sg-security-group-id"
      ],
      "Effect": "Allow"
    }
  ]
}
```

------

# Amazon EC2: requiere MFA (GetSessionToken) para operaciones EC2 específicas
<a name="reference_policies_examples_ec2_require-mfa"></a>

En este ejemplo se muestra cómo crear una política basada en identidad que permita el acceso completo a todas las operaciones de API de AWS en Amazon EC2. Sin embargo, deniega de forma explícita el acceso a las operaciones de API `StopInstances` y `TerminateInstances` si el usuario no está autenticado mediante la [Multi-Factor Authentication (MFA)](id_credentials_mfa.md). Para hacer esto mediante programación, el usuario debe incluir los valores opcionales `SerialNumber` y `TokenCode` al llamar a la operación `GetSessionToken`. Esta operación devuelve las credenciales temporales que se hayan autenticado con MFA. Para obtener más información acerca del GetSessionToken, consulte [Solicitud de credenciales para usuarios de entornos que no son de confianza](id_credentials_temp_request.md#api_getsessiontoken).

¿Qué hace esta política?
+ La instrucción `AllowAllActionsForEC2` permite todas las acciones de Amazon EC2.
+ La declaración `DenyStopAndTerminateWhenMFAIsNotPresent` rechaza las acciones `StopInstances` y `TerminateInstances` cuando falta el contexto de MFA. Esto significa que las acciones se deniegan cuando falta el contexto de la autenticación multifactor (lo que indica que no se ha utilizado MFA). Una denegación anula el permiso.

**nota**  
La verificación de la condición de `MultiFactorAuthPresent` en la instrucción `Deny` no debe ser `{"Bool":{"aws:MultiFactorAuthPresent":false}}` ya que dicha clave no está presente y no puede evaluarse cuando no se utiliza MFA. Por lo tanto, utilice la verificación `BoolIfExists` para ver si la clave está presente antes de comprobar el valor. Para obtener más información, consulte [Operadores de condición …IfExists](reference_policies_elements_condition_operators.md#Conditions_IfExists).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAllActionsForEC2",
            "Effect": "Allow",
            "Action": "ec2:*",
            "Resource": "*"
        },
        {
            "Sid": "DenyStopAndTerminateWhenMFAIsNotPresent",
            "Effect": "Deny",
            "Action": [
                "ec2:StopInstances",
                "ec2:TerminateInstances"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {"aws:MultiFactorAuthPresent": false}
            }
        }
    ]
}
```

------

# Amazon EC2: limita el término de instancias EC2 en un rango de direcciones IP
<a name="reference_policies_examples_ec2_terminate-ip"></a>

Este ejemplo muestra cómo puede crear una política basada en identidad que limita instancias de EC2 al permitir la acción, pero denegar explícitamente el acceso cuando la solicitud procede de una dirección IP fuera del rango especificado. La política es útil cuando las direcciones IP de su empresa están dentro de los rangos especificados. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. Para utilizar esta política, sustituya el *texto en cursiva del marcador* de la política de ejemplo con su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

Si esta política se utiliza en combinación con otras políticas que permiten la acción `ec2:TerminateInstances` (como la política administrada por AWS [AmazonEC2FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess)), se deniega el acceso. Esto se debe a que una instrucción de denegación explícita prevalece sobre las instrucciones de permiso. Para obtener más información, consulte [Cómo la lógica del código de aplicación de AWS evalúa las solicitudes para permitir o denegar el acceso](reference_policies_evaluation-logic_policy-eval-denyallow.md).

**importante**  
La clave de condición `aws:SourceIp` deniega el acceso a un Servicio de AWS, como AWS CloudFormation, que realiza llamadas en su nombre. Para obtener más información sobre el uso de la clave de condición `aws:SourceIp`, consulte [Claves de contexto de condición globales de AWS](reference_policies_condition-keys.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["ec2:TerminateInstances"],
            "Resource": ["*"]
        },
        {
            "Effect": "Deny",
            "Action": ["ec2:TerminateInstances"],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            },
            "Resource": ["*"]
        }
    ]
}
```

------

# IAM: acceso a la API del simulador de políticas
<a name="reference_policies_examples_iam_policy-sim"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita utilizar la API del simulador de políticas para las políticas asociadas a un usuario, grupo o rol de la Cuenta de AWS actual. Esta política también permite el acceso para simular políticas menos sensibles transferidas a la API como cadenas. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:GetContextKeysForCustomPolicy",
                "iam:GetContextKeysForPrincipalPolicy",
                "iam:SimulateCustomPolicy",
                "iam:SimulatePrincipalPolicy"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

**nota**  
Para permitir el acceso de un usuario a la consola del simulador de políticas para simular políticas asociadas a un usuario, grupo o rol en la Cuenta de AWS actual, consulte [IAM: permite el acceso a la consola del simulador de políticas](reference_policies_examples_iam_policy-sim-console.md).

# IAM: permite el acceso a la consola del simulador de políticas
<a name="reference_policies_examples_iam_policy-sim-console"></a>

Este ejemplo muestra cómo podría crear una política basada en identidad que permita utilizar la consola del simulador de políticas para las políticas asociadas a un usuario, grupo o rol de la Cuenta de AWS actual. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS.

Puede obtener acceso a la consola del simulador de políticas de IAM en: [https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:GetGroup",
                "iam:GetGroupPolicy",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:GetUser",
                "iam:GetUserPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListAttachedRolePolicies",
                "iam:ListAttachedUserPolicies",
                "iam:ListGroups",
                "iam:ListGroupPolicies",
                "iam:ListGroupsForUser",
                "iam:ListRolePolicies",
                "iam:ListRoles",
                "iam:ListUserPolicies",
                "iam:ListUsers"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

# IAM: asumir funciones que tienen una etiqueta específica
<a name="reference_policies_examples_iam-assume-tagged-role"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita a un usuario de IAM asumir roles con el par de valor de clave de etiqueta `Project = ExampleCorpABC`. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. Para utilizar esta política, sustituya el *texto en cursiva del marcador* de la política de ejemplo con su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md). 

Si una función con esta etiqueta existe en la misma cuenta que el usuario, este puede asumir esa función. Si una función con esta etiqueta existe en una cuenta que no sea la del usuario, requiere permisos adicionales. La política de confianza de la función entre cuentas también debe permitir al usuario o a todos los miembros de la cuenta del usuario para que asuman la función. Para obtener más información acerca de cómo utilizar las funciones para el acceso entre cuentas, consulte [Acceso para un usuario de IAM en otra Cuenta de AWS propia](id_roles_common-scenarios_aws-accounts.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AssumeTaggedRole",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:ResourceTag/Project": "ExampleCorpABC"}
            }
        }
    ]
}
```

------

# IAM: permite y deniega el acceso a varios servicios mediante programación y en la consola
<a name="reference_policies_examples_iam_multiple-services-console"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita acceso completo a varios servicios y acceso de autoadministración limitado en IAM. También deniega a los usuarios el acceso al bucket de `logs` de Amazon S3 o a la instancia de Amazon EC2 de `i-1234567890abcdef0` Esta política define los permisos para el acceso programático y a la consola. Para utilizar esta política, sustituya el *texto en cursiva* de la política de ejemplo por su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

**aviso**  
Esta política permite acceso completo a cada acción y recurso en varios servicios. Esta política debe aplicarse únicamente a los administradores de confianza.

Puede utilizar esta política como límite de permisos para definir los permisos máximos que una política basada en identidad puede conceder a un usuario de IAM. Para obtener más información, consulte [Delegación de responsabilidades en otras personas mediante el uso de límites de permisos](access_policies_boundaries.md#access_policies_boundaries-delegate). Cuando la política se utiliza como un límite de permisos para un usuario, las declaraciones definen los siguientes límites:
+ La declaración `AllowServices` permite acceso completo a los servicios de AWS especificados. Esto significa que las acciones del usuario en estos servicios solamente están limitadas por las políticas de permisos que se han asociado al usuario.
+ La instrucción `AllowIAMConsoleForCredentials` permite el acceso para obtener una lista de todos los usuarios de IAM. Este acceso es necesario para recorrer la página **Users (Usuarios)** de la Consola de administración de AWS. También permite ver los requisitos de la contraseña de la cuenta, para que el usuario pueda cambiar su propia contraseña.
+ La instrucción `AllowManageOwnPasswordAndAccessKeys` permite a los usuarios administrar únicamente su propia contraseña de la consola y sus claves de acceso mediante programación. Esto es importante porque si otra política brinda al usuario acceso completo a IAM, este podría cambiar sus propios permisos o los de otros usuarios. Esta instrucción impide que eso ocurra.
+ La instrucción `DenyS3Logs` deniega explícitamente el acceso al bucket `logs`. Esta política aplica las restricciones de la empresa sobre el usuario.
+ La instrucción `DenyEC2Production` deniega explícitamente el acceso a la instancia `i-1234567890abcdef0`.

Esta política no permite el acceso a otros servicios o acciones. Cuando la política se utiliza como un límite de permisos en un usuario, aunque otras políticas asociadas al usuario permitan esas acciones, AWS deniega la solicitud.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowServices",
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "cloudwatch:*",
                "ec2:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIAMConsoleForCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowManageOwnPasswordAndAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:*AccessKey*",
                "iam:ChangePassword",
                "iam:GetUser",
                "iam:*LoginProfile*"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "DenyS3Logs",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::logs",
                "arn:aws:s3:::logs/*"
            ]
        },
        {
            "Sid": "DenyEC2Production",
            "Effect": "Deny",
            "Action": "ec2:*",
            "Resource": "arn:aws:ec2:*:*:instance/i-1234567890abcdef0"
        }
    ]
}
```

------

# IAM: agregar una etiqueta específica a un usuario con una etiqueta específica
<a name="reference_policies_examples_iam-add-tag"></a>

Este ejemplo muestra cómo podría crear una política basada en identidad que permita agregar la clave de etiqueta `Department` con los valores de etiqueta `Marketing`, `Development` o `QualityAssurance` a un usuario de IAM. El usuario ya debe incluir el par clave-valor `JobFunction = manager`. Puede utilizar esta política para exigir que un administrador solo pertenezca a uno de tres departamentos. Esta política define los permisos para el acceso programático y a la consola. Para utilizar esta política, sustituya el *texto en cursiva* de la política de ejemplo por su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md). 

La instrucción `ListTagsForAllUsers` permite ver las etiquetas de todos los usuarios de la cuenta. 

La primera condición de la instrucción `TagManagerWithSpecificDepartment` utiliza el operador de condición `StringEquals`. La condición se cumple si ambas partes de la condición son ciertas. El usuario que se etiqueta ya debe tener la etiqueta `JobFunction=Manager`. La solicitud debe incluir la clave de etiqueta `Department` con uno de los valores de etiqueta que se indican. 

La segunda condición utiliza el operador de condición `ForAllValues:StringEquals`. La condición se cumple si todas las claves de etiqueta de la solicitud coinciden con la clave de la política. Esto significa que la única clave de etiqueta de la solicitud debe ser `Department`. Para obtener más información acerca del uso de `ForAllValues`, consulte [Operadores de conjunto para claves de contexto multivalor](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListTagsForAllUsers",
            "Effect": "Allow",
            "Action": [
                "iam:ListUserTags",
                "iam:ListUsers"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TagManagerWithSpecificDepartment",
            "Effect": "Allow",
            "Action": "iam:TagUser",
            "Resource": "*",
            "Condition": {"StringEquals": {
                "iam:ResourceTag/JobFunction": "Manager",
                "aws:RequestTag/Department": [
                    "Marketing",
                    "Development",
                    "QualityAssurance"
                    ]
                },
                "ForAllValues:StringEquals": {"aws:TagKeys": "Department"}
            }
        }
    ]
}
```

------

# IAM: agregar una etiqueta específica con valores específicos
<a name="reference_policies_examples_iam-add-tag-user-role"></a>

Este ejemplo muestra cómo podría crear una política basada en identidad que permita agregar solo la clave de la etiqueta `CostCenter` y el valor de la etiqueta `A-123` o el valor de la etiqueta `B-456` a cualquier rol o usuario de IAM. Puede utilizar esta política para limitar el etiquetado a una clave de etiqueta y un conjunto de valores de etiqueta específicos. Esta política define los permisos para el acceso programático y a la consola. Para utilizar esta política, sustituya el *texto en cursiva* de la política de ejemplo por su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md). 

La instrucción `ConsoleDisplay` permite ver las etiquetas de todos los usuarios y funciones de la cuenta. 

La primera condición de la instrucción `AddTag` utiliza el operador de condición `StringEquals`. La condición se cumple si la solicitud incluye la clave de etiqueta `CostCenter` con uno de los valores de etiqueta que se indican. 

La segunda condición utiliza el operador de condición `ForAllValues:StringEquals`. La condición se cumple si todas las claves de etiqueta de la solicitud coinciden con la clave de la política. Esto significa que la única clave de etiqueta de la solicitud debe ser `CostCenter`. Para obtener más información acerca del uso de `ForAllValues`, consulte [Operadores de conjunto para claves de contexto multivalor](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConsoleDisplay",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:GetUser",
                "iam:ListRoles",
                "iam:ListRoleTags",
                "iam:ListUsers",
                "iam:ListUserTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AddTag",
            "Effect": "Allow",
            "Action": [
                "iam:TagUser",
                "iam:TagRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/CostCenter": [
                        "A-123",
                        "B-456"
                    ]
                },
                "ForAllValues:StringEquals": {"aws:TagKeys": "CostCenter"}
            }
        }
    ]
}
```

------

# IAM: crear nuevos usuarios solo con etiquetas específicas
<a name="reference_policies_examples_iam-new-user-tag"></a>

Este ejemplo muestra cómo podría crear una política basada en identidad que permita la creación de usuarios de IAM, pero solo con una o ambas claves de etiqueta `Department` y `JobFunction`. La clave de etiqueta `Department` debe tener el valor de etiqueta `Development` o `QualityAssurance`. La clave de etiqueta `JobFunction` debe tener el valor de etiqueta `Employee`. Puede utilizar esta política para exigir que los nuevos usuarios tengan una función de trabajo y un departamento específicos. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. Para utilizar esta política, sustituya el *texto en cursiva del marcador* de la política de ejemplo con su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md). 

La primera condición de la instrucción utiliza el operador de condición `StringEqualsIfExists`. Si hay una etiqueta con la clave `Department` o `JobFunction` en la solicitud, deberá tener el valor especificado. Si no hay ninguna clave, la evaluación considera que la condición se cumple. La única manera de la evaluación considere que la condición no se cumple es que una de las claves de condición especificadas se encuentre en la solicitud, pero con un valor distinto de los permitidos. Para obtener más información acerca del uso de `IfExists`, consulte [Operadores de condición …IfExists](reference_policies_elements_condition_operators.md#Conditions_IfExists).

La segunda condición utiliza el operador de condición `ForAllValues:StringEquals`. La condición se cumple si hay una coincidencia entre todas las claves de etiqueta especificadas en la solicitud con al menos uno de los valores de la política. Esto significa que todas las etiquetas de la solicitud deben encontrarse en esta lista. Sin embargo, la solicitud solo puede incluir una de las etiquetas de la lista. Por ejemplo, puede crear un usuario de IAM que solo tenga la etiqueta `Department=QualityAssurance`. Sin embargo, no puede crear un usuario de IAM con las etiquetas `JobFunction=employee` y `Project=core`. Para obtener más información acerca del uso de `ForAllValues`, consulte [Operadores de conjunto para claves de contexto multivalor](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "TagUsersWithOnlyTheseTags",
            "Effect": "Allow",
            "Action": [
                "iam:CreateUser",
                "iam:TagUser"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIfExists": {
                    "aws:RequestTag/Department": [
                        "Development",
                        "QualityAssurance"
                    ],
                    "aws:RequestTag/JobFunction": "Employee"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "Department",
                        "JobFunction"
                    ]
                }
            }
        }
    ]
}
```

------

# IAM: generar y recuperar de informes de credenciales de IAM
<a name="reference_policies_examples_iam-credential-report"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita a los usuarios generar y descargar un informe que contenga una lista de todos los usuarios de IAM en su Cuenta de AWS. El informe muestra el estado de las credenciales del usuario, tales como las contraseñas, las claves de acceso, los dispositivos MFA y los certificados de firma. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. 

Para obtener más información sobre los informes de credenciales de , consulte [Generación de informes de credenciales para su Cuenta de AWS](id_credentials_getting-report.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateCredentialReport",
            "iam:GetCredentialReport"
        ],
        "Resource": "*"
    }
}
```

------

# IAM: permite administrar la pertenencia a un grupo mediante programación y en la consola
<a name="reference_policies_examples_iam_manage-group-membership"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita actualizar la pertenencia del grupo denominado `MarketingTeam`. Esta política define los permisos para el acceso programático y a la consola. Para utilizar esta política, sustituya el *texto en cursiva* de la política de ejemplo por su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

¿Qué hace esta política?
+ La declaración `ViewGroups` permite que el usuario genere una lista de todos los usuarios y grupos en el Consola de administración de AWS. También permite al usuario ver información básica acerca de los usuarios de la cuenta. Estos permisos deben estar en su propia instrucción, ya que no admiten o no requieren un ARN de recurso. En lugar de ello, los permisos especifican `"Resource" : "*"`.
+ La declaración `ViewEditThisGroup` permite al usuario ver información sobre el grupo `MarketingTeam` y añadir y eliminar usuarios de ese grupo.

Esta política no permite al usuario ver o editar los permisos de los usuarios o el grupo `MarketingTeam`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewGroups",
            "Effect": "Allow",
            "Action": [
                "iam:ListGroups",
                "iam:ListUsers",
                "iam:GetUser",
                "iam:ListGroupsForUser"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ViewEditThisGroup",
            "Effect": "Allow",
            "Action": [
                "iam:AddUserToGroup",
                "iam:RemoveUserFromGroup",
                "iam:GetGroup"
            ],
            "Resource": "arn:aws:iam::*:group/MarketingTeam"
        }
    ]
}
```

------

# IAM: administrar una etiqueta específica
<a name="reference_policies_examples_iam-manage-tags"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita eliminar solo la etiqueta de IAM con la clave de etiqueta `Department` de las entidades (usuarios y roles). Esta política no limita el valor de la etiqueta `Department`. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. Para utilizar esta política, sustituya el *texto en cursiva del marcador* de la política de ejemplo con su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md). 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:TagUser",
            "iam:TagRole",
            "iam:UntagUser",
            "iam:UntagRole"

        ],
        "Resource": "*",
        "Condition": {"ForAllValues:StringEquals": {"aws:TagKeys": "Department"}}
    }
}
```

------

# IAM: pasar una función de IAM a un servicio de AWS específico
<a name="reference_policies_examples_iam-passrole-service"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita transferir cualquier rol de servicio de IAM al servicio de Amazon CloudWatch. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. Para utilizar esta política, sustituya el *texto en cursiva del marcador* de la política de ejemplo con su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md). 

Una función de servicio es una función de IAM que especifica un servicio de AWS como la entidad principal que puede asumir la función. Esta permite que el servicio asuma la función y obtenga acceso a los recursos de otros servicios en su nombre. Para permitir que Amazon CloudWatch asuma el rol que esté pasando, debe especificar la entidad principal de servicio `cloudwatch.amazonaws.com` como la entidad principal de la política de confianza de su rol. El servicio define la entidad principal de servicio. Para conocer la entidad principal de un servicio, consulte la documentación correspondiente a dicho servicio. En algunos servicios, consulte [Servicios de AWS que funcionan con IAM](reference_aws-services-that-work-with-iam.md) y busque los servicios para los que se indique **Sí **en la columna **Roles vinculados a servicios**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión. Busque `amazonaws.com` para ver el principal del servicio.

Para obtener más información acerca de cómo pasar una función de servicio a un servicio, consulte [Conceder permisos a un usuario para transferir un rol a un servicio de AWS](id_roles_use_passrole.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:PassedToService": "cloudwatch.amazonaws.com"}
            }
        }
    ]
}
```

------

# IAM: permite acceso de solo lectura a la consola de IAM sin informes
<a name="reference_policies_examples_iam_read-only-console-no-reporting"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita a los usuarios de IAM hacer cualquier acción de IAM que comience con la cadena `Get` o `List`. A medida que los usuarios trabajan con la consola, esta realiza solicitudes a IAM para obtener listas de grupos, usuarios, funciones y políticas, y para generar informes sobre esos recursos.

El asterisco actúa como un carácter comodín. Si utiliza `iam:Get*` en una política, los permisos resultantes incluyen todas las acciones de IAM que comienzan con `Get`, por ejemplo, `GetUser` y `GetRole`. Los comodines son útiles si se añaden nuevos tipos de entidades a IAM en el futuro. En ese caso, los permisos concedidos por la política permiten automáticamente a los usuarios generar listas y obtener los detalles acerca de esas nuevas entidades. 

Esta política no se puede utilizar para generar informes o detalles de servicio al que se ha accedido por última vez. Para obtener una política diferente que lo permita, consulte [IAM: ermite el acceso de solo lectura a la consola de IAM](reference_policies_examples_iam_read-only-console.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:Get*",
            "iam:List*"
        ],
        "Resource": "*"
    }
}
```

------

# IAM: ermite el acceso de solo lectura a la consola de IAM
<a name="reference_policies_examples_iam_read-only-console"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita a los usuarios de IAM hacer cualquier acción de IAM que comience con la cadena `Get`, `List`, o `Generate`. A medida que los usuarios trabajan con la consola, esta realiza solicitudes a IAM para obtener listas de grupos, usuarios, funciones y políticas, y para generar informes sobre esos recursos.

El asterisco actúa como un carácter comodín. Si utiliza `iam:Get*` en una política, los permisos resultantes incluyen todas las acciones de IAM que comienzan con `Get`, por ejemplo, `GetUser` y `GetRole`. Utilizar un comodín resulta beneficioso, especialmente si se añaden nuevos tipos de entidades a IAM en el futuro. En ese caso, los permisos concedidos por la política permiten automáticamente a los usuarios generar listas y obtener los detalles acerca de esas nuevas entidades. 

Utilice esta política para el acceso a la consola que incluye permisos para generar informes o detalles de servicio al que se accede por última vez. Para obtener una política diferente que no permite generar acciones, consulte [IAM: permite acceso de solo lectura a la consola de IAM sin informes](reference_policies_examples_iam_read-only-console-no-reporting.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:Get*",
            "iam:List*",
            "iam:Generate*"
        ],
        "Resource": "*"
    }
}
```

------

# IAM: permite que usuarios específicos de IAM administren un grupo, mediante programación y en la consola
<a name="reference_policies_examples_iam_users-manage-group"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita a usuarios de IAM específicos administrar el grupo `AllUsers`. Esta política define los permisos para el acceso programático y a la consola. Para utilizar esta política, sustituya el *texto en cursiva* de la política de ejemplo por su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

¿Qué hace esta política?
+ La declaración `AllowAllUsersToListAllGroups` permite generar listas de todos los grupos. Esto es necesario para acceder a la consola. Este permiso debe estar en su propia declaración, ya que no admite el ARN de un recurso. En lugar de ello, los permisos especifican `"Resource" : "*"`.
+ La declaración `AllowAllUsersToViewAndManageThisGroup` permite que se realicen todas las acciones de grupo que pueden ejecutarse en el tipo de recurso de grupo. No permite la acción `ListGroupsForUser`, que puede llevarse a cabo en un tipo de recurso de usuario y no en un tipo de recurso de grupo. Para obtener más información acerca de los tipos de recurso que puede especificar para una acción de IAM, consulte [Claves de acciones, recursos y condición de AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html#identityandaccessmanagement-actions-as-permissions).
+ La declaración `LimitGroupManagementAccessToSpecificUsers` deniega a los usuarios con los nombres especificados el acceso a escribir y las acciones de grupo de administración de permisos. Cuando un usuario especificado en la política intenta realizar cambios en el grupo, esta declaración no deniega la solicitud. Esta solicitud la permite la declaración `AllowAllUsersToViewAndManageThisGroup`. Si otros usuarios intentan realizar estas operaciones, se deniega la solicitud. Puede ver las acciones de IAM que se definen con los niveles de acceso de **Escritura** o **Administración de permisos** mientras crea esta política en la consola de IAM. Para ello, cambie de la pestaña **JSON** a la pestaña **Visual editor (Editor visual)**. Para obtener más información acerca de los niveles de acceso, consulte [Claves de condición, recursos y acciones de AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html#identityandaccessmanagement-actions-as-permissions).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAllUsersToListAllGroups",
            "Effect": "Allow",
            "Action": "iam:ListGroups",
            "Resource": "*"
        },
        {
            "Sid": "AllowAllUsersToViewAndManageThisGroup",
            "Effect": "Allow",
            "Action": "iam:*Group*",
            "Resource": "arn:aws:iam::*:group/AllUsers"
        },
        {
            "Sid": "LimitGroupManagementAccessToSpecificUsers",
            "Effect": "Deny",
            "Action": [
                "iam:AddUserToGroup",
                "iam:CreateGroup",
                "iam:RemoveUserFromGroup",
                "iam:DeleteGroup",
                "iam:AttachGroupPolicy",
                "iam:UpdateGroup",
                "iam:DetachGroupPolicy",
                "iam:DeleteGroupPolicy",
                "iam:PutGroupPolicy"
            ],
            "Resource": "arn:aws:iam::*:group/AllUsers",
            "Condition": {
                "StringNotEquals": {
                    "aws:username": [
                        "srodriguez",
                        "mjackson",
                        "adesai"
                    ]
                }
            }
        }
    ]
}
```

------

# IAM: permite establecer los requisitos de contraseña de la cuenta, mediante programación y en la consola
<a name="reference_policies_examples_iam_set-account-pass-policy"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita a un usuario ver y actualizar los requisitos de contraseña de su cuenta. Los requisitos de contraseña especifican los requisitos de complejidad y periodos de rotación obligatorios para las contraseñas de los miembros de la cuenta. Esta política define los permisos para el acceso programático y a la consola.

Para obtener información sobre cómo configurar la política de requisitos de contraseñas para su cuenta, consulte [Configuración de una política de contraseñas de la cuenta para usuarios de IAM](id_credentials_passwords_account-policy.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GetAccountPasswordPolicy",
            "iam:UpdateAccountPasswordPolicy"
        ],
        "Resource": "*"
    }
}
```

------

# IAM: obtiene acceso a la API del simulador de políticas en función de la ruta de acceso del usuario
<a name="reference_policies_examples_iam_policy-sim-path"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita utilizar la API del simulador de políticas únicamente a aquellos usuarios que tengan la ruta `Department/Development`. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. Para utilizar esta política, sustituya el *texto en cursiva del marcador* de la política de ejemplo con su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:GetContextKeysForPrincipalPolicy",
                "iam:SimulatePrincipalPolicy"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:user/Department/Development/*"
        }
    ]
}
```

------

**nota**  
Para crear una política que permita utilizar la consola del simulador de políticas a aquellos usuarios que tengan la ruta `Department/Development`, consulte [IAM: permite el acceso a la consola de simulador de políticas en función de la ruta de acceso del usuario](reference_policies_examples_iam_policy-sim-path-console.md).

# IAM: permite el acceso a la consola de simulador de políticas en función de la ruta de acceso del usuario
<a name="reference_policies_examples_iam_policy-sim-path-console"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita utilizar la consola del simulador de políticas únicamente a aquellos usuarios que tengan la ruta `Department/Development`. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. Para utilizar esta política, sustituya el *texto en cursiva del marcador* de la política de ejemplo con su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

Puede obtener acceso a la consola del simulador de políticas de IAM en: [https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iam:GetPolicy",
                "iam:GetUserPolicy"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "iam:GetUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListGroupsForUser",
                "iam:ListUserPolicies",
                "iam:ListUsers"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:user/Department/Development/*"
        }
    ]
}
```

------

# IAM: permite a los usuarios de IAM administrar ellos mismos un dispositivo MFA
<a name="reference_policies_examples_iam_mfa-selfmanage"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita a los usuarios de IAM administrar automáticamente su dispositivo de [autenticación multifactor (MFA)](id_credentials_mfa.md). Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS.

**nota**  
Si un usuario de IAM con esta política no está autenticado por MFA, esta política deniega el acceso a todas las acciones de AWS excepto las necesarias para autenticarse mediante MFA. Si añade estos permisos a un usuario que haya iniciado sesión en AWS, es posible que tenga que cerrar sesión y volver a iniciarla para ver estos cambios.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowListActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:ListVirtualMFADevices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUserToCreateVirtualMFADevice",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice"
            ],
            "Resource": "arn:aws:iam::*:mfa/*"
        },
        {
            "Sid": "AllowUserToManageTheirOwnMFA",
            "Effect": "Allow",
            "Action": [
                "iam:EnableMFADevice",
                "iam:GetMFADevice",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowUserToDeactivateTheirOwnMFAOnlyWhenUsingMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::*:user/${aws:username}"
            ],
            "Condition": {
                "Bool": {
                    "aws:MultiFactorAuthPresent": "true"
                }
            }
        },
        {
            "Sid": "BlockMostAccessUnlessSignedInWithMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:ListMFADevices",
                "iam:ListUsers",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

# IAM: permite a los usuarios de IAM actualizar sus propias credenciales mediante programación en la consola
<a name="reference_policies_examples_iam_credentials_console"></a>

En este ejemplo, se muestra cómo podría crear una política basada en identidad que les permita a los usuarios de IAM actualizar sus propias claves de acceso, certificados de firma, credenciales específicas de servicio y contraseñas. Esta política define los permisos para el acceso programático y a la consola.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:*AccessKey*",
                "iam:ChangePassword",
                "iam:GetUser",
                "iam:*ServiceSpecificCredential*",
                "iam:*SigningCertificate*"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        }
    ]
}
```

------

Para descubrir cómo un usuario puede cambiar su propia contraseña en la consola, consulte [Cómo un usuario de IAM cambia su propia contraseña](id_credentials_passwords_user-change-own.md).

# IAM: visualización de la información de acceso reciente al servicio para una política de AWS Organizations
<a name="reference_policies_examples_iam_service-accessed-data-orgs"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita visualizar la información de acceso reciente al servicio para una determinada política de AWS Organizations. Esta política permite recuperar datos para la política de control de servicios (SCP) con el ID `p-policy123`. La persona que genera y ve el informe debe autenticarse con credenciales de cuenta de administración de AWS Organizations. Esta política permite al solicitante recuperar los datos de cualquier entidad de AWS Organizations en su organización. Esta política define los permisos para el acceso programático y a la consola. Para utilizar esta política, sustituya el *texto en cursiva* de la política de ejemplo por su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

Para obtener información importante sobre la información de acceso reciente, como los permisos necesarios, la solución de problemas y las regiones admitidas, consulte [Ajuste de permisos en AWS con información sobre los últimos accesos](access_policies_last-accessed.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowOrgsReadOnlyAndIamGetReport",
            "Effect": "Allow",
            "Action": [
                "iam:GetOrganizationsAccessReport",
                "organizations:Describe*",
                "organizations:List*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowGenerateReportOnlyForThePolicy",
            "Effect": "Allow",
            "Action": "iam:GenerateOrganizationsAccessReport",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:OrganizationsPolicyId": "p-policy123"}
            }
        }
    ]
}
```

------

# IAM: limita las políticas administradas que pueden aplicarse a un usuario, grupo o rol de
<a name="reference_policies_examples_iam_limit-managed"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que limite la administración del cliente y las políticas administradas de AWS que pueden aplicarse a un rol, grupo o usuario de IAM. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. Para utilizar esta política, sustituya el *texto en cursiva del marcador* de la política de ejemplo con su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:AttachUserPolicy",
            "iam:DetachUserPolicy"
        ],
        "Resource": "*",
        "Condition": {
            "ArnEquals": {
                "iam:PolicyARN": [
                    "arn:aws:iam::*:policy/policy-name-1",
                    "arn:aws:iam::*:policy/policy-name-2"
                ]
            }
        }
    }
}
```

------

# AWS: denegar el acceso a recursos que están fuera de su cuenta, excepto a las políticas de IAM administradas por AWS
<a name="resource_examples_iam_policies_resource_account"></a>

El uso de `aws:ResourceAccount` en sus políticas basadas en identidad puede afectar al usuario o a la capacidad del rol para utilizar algunos servicios que requieren la interacción con los recursos de las cuentas que son propiedad de un servicio.

Puede crear una política con una excepción para permitir la política de IAM administrada por AWS. Una cuenta administrada por un servicio fuera de AWS Organizations es propietaria de las políticas de IAM administradas. Hay cuatro acciones de IAM que enumeran y recuperan las políticas administradas por AWS. Utilice estas acciones en el elemento [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html) de la declaración. `AllowAccessToS3ResourcesInSpecificAccountsAndSpecificService1` en la política.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessToResourcesInSpecificAccountsAndSpecificService1",
      "Effect": "Deny",
      "NotAction": [
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListEntitiesForPolicy",
        "iam:ListPolicies"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        }
      }
    }
  ]
}
```

------

# AWS Lambda: permite que una función Lambda acceda a una tabla de Amazon DynamoDB
<a name="reference_policies_examples_lambda-access-dynamodb"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita el acceso de escritura y lectura a una tabla de Amazon DynamoDB específica. La política también permite escribir en archivos de registro en CloudWatch Logs. Para utilizar esta política, sustituya el *texto en cursiva* de la política de ejemplo por su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

Para utilizar esta política, adjunte la política a una [función de servicio](id_roles_create_for-service.md) de Lambda. Una función de servicio es una función que usted crea en su cuenta para permitir que un servicio realice acciones en su nombre. Esta función de servicio debe incluir AWS Lambda como la entidad principal en la política de confianza. Para obtener más información acerca de cómo utilizar esta política, consulte [Cómo crear una política de IAM AWS para conceder acceso AWS Lambda a una tabla de Amazon DynamoDB](https://aws.amazon.com/blogs/security/how-to-create-an-aws-iam-policy-to-grant-aws-lambda-access-to-an-amazon-dynamodb-table/) en Security Blog AWS.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReadWriteTable",
            "Effect": "Allow",
            "Action": [
                "dynamodb:BatchGetItem",
                "dynamodb:GetItem",
                "dynamodb:Query",
                "dynamodb:Scan",
                "dynamodb:BatchWriteItem",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem"
            ],
            "Resource": "arn:aws:dynamodb:*:*:table/SampleTable"
        },
        {
            "Sid": "GetStreamRecords",
            "Effect": "Allow",
            "Action": "dynamodb:GetRecords",
            "Resource": "arn:aws:dynamodb:*:*:table/SampleTable/stream/* "
        },
        {
            "Sid": "WriteLogStreamsAndGroups",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateLogGroup",
            "Effect": "Allow",
            "Action": "logs:CreateLogGroup",
            "Resource": "*"
        }
    ]
}
```

------

# Amazon RDS: permite el acceso completo a la base de datos de RDS dentro de una región específica
<a name="reference_policies_examples_rds_region"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita el acceso completo a la base de datos de RDS dentro de una región específica. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. Para utilizar esta política, sustituya el *texto en cursiva del marcador* de la política de ejemplo con su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rds:*",
            "Resource": ["arn:aws:rds:us-east-1:*:*"]
        },
        {
            "Effect": "Allow",
            "Action": ["rds:Describe*"],
            "Resource": ["*"]
        }
    ]
}
```

------

# Amazon RDS: permite restaurar bases de datos de RDS, mediante programación y en la consola
<a name="reference_policies_examples_rds_db-console"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita restaurar las bases de datos de RDS. Esta política define los permisos para el acceso programático y a la consola.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*",
                "rds:CreateDBParameterGroup",
                "rds:CreateDBSnapshot",
                "rds:DeleteDBSnapshot",
                "rds:Describe*",
                "rds:DownloadDBLogFilePortion",
                "rds:List*",
                "rds:ModifyDBInstance",
                "rds:ModifyDBParameterGroup",
                "rds:ModifyOptionGroup",
                "rds:RebootDBInstance",
                "rds:RestoreDBInstanceFromDBSnapshot",
                "rds:RestoreDBInstanceToPointInTime"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# Amazon RDS: permite a los propietarios de etiquetas el acceso completo a los recursos de RDS que han etiquetado
<a name="reference_policies_examples_rds_tag-owner"></a>

Este ejemplo muestra cómo podría crear una política basada en identidad que permita a los propietarios de las etiquetas obtener acceso completo a los recursos de RDS que tengan etiquetados. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "rds:Describe*",
                "rds:List*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "rds:DeleteDBInstance",
                "rds:RebootDBInstance",
                "rds:ModifyDBInstance"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:db-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:ModifyOptionGroup",
                "rds:DeleteOptionGroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:og-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:ModifyDBParameterGroup",
                "rds:ResetDBParameterGroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:pg-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:AuthorizeDBSecurityGroupIngress",
                "rds:RevokeDBSecurityGroupIngress",
                "rds:DeleteDBSecurityGroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:secgrp-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:DeleteDBSnapshot",
                "rds:RestoreDBInstanceFromDBSnapshot"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:snapshot-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:ModifyDBSubnetGroup",
                "rds:DeleteDBSubnetGroup"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:subgrp-tag/Owner": "${aws:username}"}
            }
        },
        {
            "Action": [
                "rds:ModifyEventSubscription",
                "rds:AddSourceIdentifierToSubscription",
                "rds:RemoveSourceIdentifierFromSubscription",
                "rds:DeleteEventSubscription"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"rds:es-tag/Owner": "${aws:username}"}
            }
        }
    ]
}
```

------

# Amazon S3: permite a los usuarios de Amazon Cognito obtener acceso a los objetos de su bucket
<a name="reference_policies_examples_s3_cognito-bucket"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita a los usuarios de Amazon Cognito acceder a objetos de un bucket de Amazon S3 específico. Esta política permite el acceso únicamente a los objetos cuyo nombre incluya `cognito`, el nombre de la aplicación y el ID de la entidad principal federada, representados por la variable \$1\$1cognito-identity.amazonaws.com:sub\$1. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. Para utilizar esta política, sustituya el *texto en cursiva del marcador* de la política de ejemplo con su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

**nota**  
El valor “sub” utilizado en la clave de objeto no es el subvalor del usuario en el grupo de usuarios. Se trata del ID de identidad asociado al usuario en el grupo de identidades.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "ListYourObjects",
      "Effect": "Allow",
      "Action": "s3:ListBucket",
      "Resource": [
        "arn:aws:s3:::bucket-name"
      ],
      "Condition": {
        "StringLike": {
          "s3:prefix": [
            "cognito/application-name/${cognito-identity.amazonaws.com:sub}/*"
          ]
        }
      }
    },
    {
      "Sid": "ReadWriteDeleteYourObjects",
      "Effect": "Allow",
      "Action": [
        "s3:DeleteObject",
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucket-name/cognito/application-name/${cognito-identity.amazonaws.com:sub}/*"
      ]
    }
  ]
}
```

------

Amazon Cognito ofrece autenticación, autorización y administración de usuarios para sus aplicaciones móviles y web. Los usuarios pueden iniciar sesión directamente con un nombre de usuario y una contraseña o a través de un tercero como Facebook, Amazon o Google. 

Los dos componentes principales de Amazon Cognito son los grupos de usuarios y los grupos de identidades. Los grupos de usuarios son directorios de usuarios que proporcionan a los usuarios de las aplicaciones opciones para inscribirse e iniciar sesión. Los grupos de identidades permiten conceder a los usuarios acceso a otros servicios de AWS. Puede utilizar los grupos de identidades y los grupos de usuarios juntos o por separado. 

Para obtener más información sobre Amazon Cognito, consulte la [Guía del usuario de Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-identity.html).

# Amazon S3: permite a los usuarios federados obtener acceso a su directorio principal de Amazon S3, mediante programación y en la consola
<a name="reference_policies_examples_s3_federated-home-directory-console"></a>

Este ejemplo muestra cómo podría crear una política basada en identidades que permita a las entidades principales federadas acceder a su propio objeto de directorio principal en un bucket de S3. El directorio principal es un bucket que contiene una carpeta `home` y carpetas para entidades principales federadas individuales. Esta política define los permisos para el acceso programático y a la consola. Para utilizar esta política, sustituya el *texto en cursiva* de la política de ejemplo por su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

La variable `${aws:userid}` de esta política se resuelve como `role-id:specified-name`. La parte `role-id` del ID de la entidad principal federada es un identificador único asignado al rol de la entidad principal federada durante su creación. Para obtener más información, consulte [Identificadores únicos](reference_identifiers.md#identifiers-unique-ids). El `specified-name` es el [parámetro RoleSessionName](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html#API_AssumeRoleWithWebIdentity_RequestParameters) transferido en la solicitud `AssumeRoleWithWebIdentity` cuando la entidad principal federada asumió su rol.

Puede ver el ID de rol con el comando AWS CLI de la `aws iam get-role --role-name specified-name`. Por ejemplo, imagine que especifica el nombre fácil de recordar `John` y que la CLI devuelve el ID de rol `AROAXXT2NJT7D3SIQN7Z6`. En este caso, el ID de usuario de la entidad principal federada es `AROAXXT2NJT7D3SIQN7Z6:John`. Esta política permite entonces que la entidad principal federada John acceda al bucket de Amazon S3 con el prefijo `AROAXXT2NJT7D3SIQN7Z6:John`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3ConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringLike": {
                    "s3:prefix": [
                        "",
                        "home/",
                        "home/${aws:userid}/*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:userid}",
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:userid}/*"
            ]
        }
    ]
}
```

------

# Amazon S3: acceso al bucket de S3, pero bucket de producción denegado sin MFA reciente
<a name="reference_policies_examples_s3_full-access-except-production"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita a un administrador de Amazon S3 obtener acceso a cualquier bucket, incluida la actualización, incorporación y eliminación de objetos. Sin embargo, deniega explícitamente el acceso al bucket de `amzn-s3-demo-bucket-production` si el usuario no ha iniciado sesión con la [autenticación multifactor (MFA)](id_credentials_mfa.md) en los últimos treinta minutos. Esta política concede los permisos necesarios para realizar esta acción en la consola o mediante programación a través de la AWS CLI o la API de AWS. Para utilizar esta política, sustituya el *texto en cursiva* de la política de ejemplo por su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

Esta política nunca permite acceso mediante programación al bucket `amzn-s3-demo-bucket` con claves de acceso de usuario a largo plazo. Esto se logra con la clave de condición `aws:MultiFactorAuthAge` con el operador de condición `NumericGreaterThanIfExists`. Esta condición de la política devuelve `true` si el MFA no está presente o si la edad del MFA es superior a 30 minutos. En esas situaciones, se deniega el acceso. Para acceder al bucket `amzn-s3-demo-bucket-production` mediante programación, el administrador de S3 debe utilizar credenciales temporales que se generaron en los últimos 30 minutos mediante la operación de API [GetSessionToken](id_credentials_temp_request.md#api_getsessiontoken).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListAllS3Buckets",
            "Effect": "Allow",
            "Action": ["s3:ListAllMyBuckets"],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowBucketLevelActions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "AllowBucketObjectActions",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:DeleteObject"
            ],
            "Resource": "arn:aws:s3:::*/*"
        },
        {
            "Sid": "RequireMFAForProductionBucket",
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-production/*",
                "arn:aws:s3:::amzn-s3-demo-bucket-production"
            ],
            "Condition": {
                "NumericGreaterThanIfExists": {"aws:MultiFactorAuthAge": "1800"}
            }
        }
    ]
}
```

------

# Amazon S3: permite a los usuarios de IAM obtener acceso a su directorio principal de S3, mediante programación y en la consola.
<a name="reference_policies_examples_s3_home-directory-console"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita a los usuarios de IAM obtener acceso a su propio objeto de bucket de directorio principal en S3. El directorio principal es un bucket que incluye una carpeta `home` y carpetas para usuarios individuales. Esta política define los permisos para el acceso programático y a la consola. Para utilizar esta política, sustituya el *texto en cursiva* de la política de ejemplo por su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

Esta política no funcionará cuando se utilicen los roles de IAM porque la variable `aws:username` no está disponible cuando se usan los roles de IAM. Para obtener información acerca de los valores de clave principales, consulte [Valores clave principales](reference_policies_variables.md#principaltable).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3ConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringLike": {
                    "s3:prefix": [
                        "",
                        "home/",
                        "home/${aws:username}/*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:username}",
                "arn:aws:s3:::amzn-s3-demo-bucket/home/${aws:username}/*"
            ]
        }
    ]
}
```

------

# Amazon S3: restringir la administración a un bucket de S3 específico
<a name="reference_policies_examples_s3_deny-except-bucket"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita restringir la administración de un bucket de Amazon S3 a ese bucket específico. Esta política concede permiso para llevar a cabo todas las acciones de Amazon S3, pero deniega el acceso a cada Servicio de AWS, excepto Amazon S3. Consulte el siguiente ejemplo. De acuerdo con esta política, solo puede acceder a las acciones de Amazon S3 que pueda hacer en un bucket de S3 o un recurso de objeto de S3. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. Para utilizar esta política, sustituya el *texto en cursiva del marcador* de la política de ejemplo con su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

Si esta política se utiliza en combinación con otras políticas (como las políticas administradas por [AmazonS3FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3FullAccess) o [AmazonEC2FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess) de AWS) que permiten acciones denegadas por esta política, el acceso se denegará. Esto se debe a que una instrucción de denegación explícita prevalece sobre las instrucciones de permiso. Para obtener más información, consulte [Cómo la lógica del código de aplicación de AWS evalúa las solicitudes para permitir o denegar el acceso](reference_policies_evaluation-logic_policy-eval-denyallow.md).

**aviso**  
[`NotAction`](reference_policies_elements_notaction.md) y [`NotResource`](reference_policies_elements_notresource.md) son elementos avanzados de política que deben utilizarse con precaución. Esta política deniega el acceso a cada servicio de AWS, salvo en Amazon S3. Si asocia esta política a un usuario, cualquier otra política que conceda permisos a otros servicios se pasará por alto y el acceso se denegará.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        },
        {
            "Effect": "Deny",
            "NotAction": "s3:*",
            "NotResource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}
```

------

# Conceder acceso de lectura y escritura a los objetos del bucket de Amazon S3
<a name="reference_policies_examples_s3_rw-bucket"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidades que permita el acceso de `Read` y `Write` a objetos de un bucket de Amazon S3 específico. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. Para utilizar esta política, sustituya el *texto en cursiva del marcador* de la política de ejemplo con su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

La acción `s3:*Object` utiliza un comodín como parte del nombre de la acción. La instrucción `AllObjectActions` permite `GetObject`, `DeleteObject`, `PutObject` y cualquier otra acción de Amazon S3 que termine con la palabra "Object".

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": ["s3:ListBucket"],
            "Resource": ["arn:aws:s3:::bucket-name"]
        },
        {
            "Sid": "AllObjectActions",
            "Effect": "Allow",
            "Action": "s3:*Object",
            "Resource": ["arn:aws:s3:::bucket-name/*"]
        }
    ]
}
```

------

**nota**  
Para permitir el acceso a `Read` y `Write` a un objeto en un bucket de Amazon S3 y también incluir permisos adicionales para el acceso a la consola, consulte [Amazon S3: permite el acceso de lectura y escritura a objetos en un bucket de S3 mediante programación y en la consola](reference_policies_examples_s3_rw-bucket-console.md).

# Amazon S3: permite el acceso de lectura y escritura a objetos en un bucket de S3 mediante programación y en la consola
<a name="reference_policies_examples_s3_rw-bucket-console"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita a `Read` y a `Write` acceder a objetos de un bucket de S3 específico. Esta política define los permisos para el acceso programático y a la consola. Para utilizar esta política, sustituya el *texto en cursiva* de la política de ejemplo por su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

La acción `s3:*Object` utiliza un comodín como parte del nombre de la acción. La instrucción `AllObjectActions` permite `GetObject`, `DeleteObject`, `PutObject` y cualquier otra acción de Amazon S3 que termine con la palabra "Object".

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3ConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetBucketPolicyStatus",
                "s3:GetBucketPublicAccessBlock",
                "s3:ListAccessPoints",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket"]
        },
        {
            "Sid": "AllObjectActions",
            "Effect": "Allow",
            "Action": "s3:*Object",
            "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/*"]
        }
    ]
}
```

------

# Administración de políticas de IAM
<a name="access_policies_manage"></a>

IAM le ofrece las herramientas para crear y administrar todos los tipos de políticas de IAM (políticas administradas y políticas insertadas). Para agregar permisos a una identidad de IAM (usuario, grupo o rol de IAM), cree una política, valide la política, y, a continuación, adjunte la política a la identidad. Puede asociar varias políticas a una identidad y cada política puede incluir varios permisos.

**Topics**
+ [Recursos adicionales de](#access_policies_manage-additional-resources)
+ [Definición de permisos de IAM personalizados con políticas administradas por el cliente](access_policies_create.md)
+ [Validación de la política de IAM](access_policies_policy-validator.md)
+ [Pruebas de la política de IAM con el simulador de política de IAM](access_policies_testing-policies.md)
+ [Adición y eliminación de permisos de identidad de IAM](access_policies_manage-attach-detach.md)
+ [Control de versiones de políticas de IAM](access_policies_managed-versioning.md)
+ [Edición de políticas de IAM](access_policies_manage-edit.md)
+ [Eliminación de políticas de IAM](access_policies_manage-delete.md)
+ [Ajuste de permisos en AWS con información sobre los últimos accesos](access_policies_last-accessed.md)

## Recursos adicionales de
<a name="access_policies_manage-additional-resources"></a>

Los siguientes recursos pueden ayudarlo a obtener más información sobre las políticas de AWS.
+ Para obtener más información sobre los distintos tipos de políticas de IAM, consulte [Políticas y permisos en AWS Identity and Access Management](access_policies.md). 
+ Para obtener información general sobre el uso de políticas en IAM, consulte [Recursos de AWS para administración de acceso](access.md).
+ Para obtener información sobre cómo utilizar el Analizador de acceso de IAM para generar una política de IAM basada en la actividad de acceso para una entidad, consulte [Generación de políticas para el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).
+ Para obtener información sobre cómo los permisos se evalúan cuando varias políticas están en vigor para una determinada identidad de IAM, consulte [Lógica de evaluación de políticas](reference_policies_evaluation-logic.md).
+ El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte [IAM y cuotas de AWS STS](reference_iam-quotas.md).

# Definición de permisos de IAM personalizados con políticas administradas por el cliente
<a name="access_policies_create"></a>

Las [políticas](access_policies.md) definen los permisos para las identidades o los recursos en AWS. Puede crear *políticas administradas por el cliente* en IAM mediante la Consola de administración de AWS, la AWS CLI o la API de AWS. Las políticas administradas por el cliente son políticas independientes que administra en su propia Cuenta de AWS. De este modo, puede asociar las políticas a identidades (usuarios, grupos y roles) de su cuenta de Cuenta de AWS.

Una *política basada en identidades* es una política asociada a una identidad en IAM. Las políticas basadas en identidades pueden incluir políticas administradas de AWS, políticas administradas por el cliente y políticas insertadas. Las políticas administradas de AWS las crea y administra AWS, y usted puede utilizarlas, pero no administrarlas. Un política insertada es aquella que se crea e inserta directamente en un usuario, rol o grupo de usuarios de IAM. Las políticas insertadas no se pueden reutilizar en otras identidades ni administrarse fuera de la identidad donde existen. Para obtener más información, consulte [Adición y eliminación de permisos de identidad de IAM](access_policies_manage-attach-detach.md).

Por lo general, es mejor utilizar políticas administradas por el cliente en lugar de políticas insertadas o administradas de AWS. Las políticas administradas de AWS suelen proporcionar permisos administrativos amplios o de solo lectura. Para mayor seguridad, [conceda privilegios mínimos](best-practices.md#grant-least-privilege), es decir, solo conceda los permisos necesarios a fin de realizar tareas específicas.

Al crear o editar políticas de IAM, AWS puede realizar automáticamente la validación de políticas para ayudarle a crear una política eficaz con el menor privilegio en mente. En Consola de administración de AWS, IAM identifica errores de sintaxis JSON, mientras que IAM Access Analyzer proporciona verificaciones de políticas adicionales con recomendaciones para ayudarle a perfeccionar aún más las políticas. Para obtener más información acerca la validación de políticas, consulte [Validación de la política de IAM](access_policies_policy-validator.md). Para obtener más información acerca de las verificaciones de políticas de IAM Access Analyzer y las recomendaciones procesables, consulte [Validación de políticas de IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html).

Puede utilizar la Consola de administración de AWS, la AWS CLI o la API de AWS para crear políticas administradas por el cliente en IAM. Para más información sobre el uso de plantillas CloudFormation para agregar o actualizar políticas, consulte la [referencia del tipo de recurso de AWS Identity and Access Management](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) en la *Guía del usuario de CloudFormation*.

**Topics**
+ [Creación de políticas de IAM (consola)](access_policies_create-console.md)
+ [Creación de políticas de IAM (AWS CLI)](access_policies_create-cli.md)
+ [Creación de políticas de IAM (API de AWS)](access_policies_create-api.md)

# Creación de políticas de IAM (consola)
<a name="access_policies_create-console"></a>

Una [política](access_policies.md) es una entidad que, cuando se asocia a una identidad o recurso, define sus permisos. Puede utilizar la Consola de administración de AWS para crear *políticas administradas por el cliente* en IAM. Las políticas administradas por el cliente son políticas independientes que usted administra en su propia cuenta de Cuenta de AWS. De este modo, puede asociar las políticas a identidades (usuarios, grupos y roles) de su cuenta de Cuenta de AWS.

El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte [IAM y cuotas de AWS STS](reference_iam-quotas.md).

**Topics**
+ [Crear políticas de IAM](#access_policies_create-start)
+ [Creación de políticas mediante el editor JSON](#access_policies_create-json-editor)
+ [Creación de políticas con el editor visual](#access_policies_create-visual-editor)
+ [Importación de políticas administradas existentes](#access_policies_create-copy)

## Crear políticas de IAM
<a name="access_policies_create-start"></a>

Puede crear una política administrada por el cliente en la Consola de administración de AWS mediante uno de los métodos siguientes:
+ **[JSON](#access_policies_create-json-editor)** — Pegue y personalice una [política basada en identidad de ejemplo publicada](access_policies_examples.md).
+ **[Editor visual](#access_policies_create-visual-editor)** - Cree una nueva política desde cero en el editor visual. Si utiliza el editor visual, no tiene que conocer la sintaxis JSON.
+ **[Importar](#access_policies_create-copy)** - Importe y personalice una política administrada desde su cuenta. Puede importar una política administrada por AWS o una política administrada por el cliente que haya creado anteriormente.

El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte [IAM y cuotas de AWS STS](reference_iam-quotas.md).

## Creación de políticas mediante el editor JSON
<a name="access_policies_create-json-editor"></a>

Puede escribir o pegar políticas en JSON seleccionando la opción **JSON**. Este método es útil para copiar una [política de ejemplo](access_policies_examples.md) para utilizarla en su cuenta. O bien, puede escribir su propio documento de política de JSON en el editor de JSON. También puede utilizar la opción **JSON** para alternar entre el editor visual y JSON con el fin de comparar las vistas.

 Cuando crea o edita una política en el editor JSON, IAM realiza la validación de políticas para ayudarle a crear una política eficaz. IAM identifica errores de sintaxis JSON, mientras que IAM Access Analyzer proporciona verificaciones de políticas adicionales con recomendaciones procesables para ayudarle a perfeccionar aún más la política. 

Un documento de [política](access_policies.md) de JSON consta de una o más instrucciones. Cada instrucción debe contener todas las acciones que comparten el mismo efecto (`Allow` o `Deny`) y admitir los mismos recursos y condiciones. Si una acción requiere que especifique todos los recursos (`"*"`) y otra acción admite el nombre de recurso de Amazon (ARN) de un recurso específico, deben estar en dos instrucciones JSON independientes. Para obtener más información sobre los formatos ARN, consulte [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) en la *Guía de Referencia general de AWS*. Para obtener información general sobre las políticas de IAM, consulte [Políticas y permisos en AWS Identity and Access Management](access_policies.md). Para obtener información sobre el lenguaje de políticas de IAM, consulte [Referencia de políticas JSON de IAM](reference_policies.md).

**Utilización del editor de política de JSON para la creación de una política**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación de la izquierda, elija **Políticas**. 

1. Elija **Crear política**.

1. En la sección **Editor de políticas**, seleccione la opción **JSON**.

1. Escriba o pegue un documento de política de JSON. Para obtener más información sobre el lenguaje de políticas de IAM, consulte [Referencia de políticas JSON de IAM](reference_policies.md).

1.  Resuelva las advertencias de seguridad, errores o advertencias generales que se generen durante la[ validación de la política](access_policies_policy-validator.md) y luego elija **Siguiente**. 
**nota**  
Puede alternar entre las opciones **Visual** y **JSON** del editor en todo momento. No obstante, si realiza cambios o selecciona **Siguiente** en la opción **Visual** del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte [Reestructuración de políticas](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. (Opcional) Al crear o editar una política en la Consola de administración de AWS, se puede generar una plantilla de política JSON o YAML que se puede utilizar en plantillas de CloudFormation.

   Para ello, en el **Editor de políticas**, seleccione **Acciones** y, a continuación, **Generar plantilla de CloudFormation**. Para obtener más información sobre CloudFormation, consulte la [Referencia de tipos de recursos de AWS Identity and Access Management](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) en la Guía del usuario de AWS CloudFormation.

1. Cuando haya terminado de agregar permisos a la política, seleccione **Siguiente**.

1. En la página **Revisar y crear**, escriba el **Nombre de la política** y la **Descripción** (opcional) para la política que está creando. Revise los **Permisos definidos en esta política** para ver los permisos que concede la política.

1. (Opcional) Agregar metadatos a la política al adjuntar las etiquetas como pares de clave-valor. Para obtener más información acerca del uso de etiquetas en IAM, consulte [Etiquetas para recursos de AWS Identity and Access Management](id_tags.md).

1. Elija **Crear política** para guardar la nueva política.

Después de crear una política, puede asociarla a sus grupos, usuarios o roles. Para obtener más información, consulte [Adición y eliminación de permisos de identidad de IAM](access_policies_manage-attach-detach.md).

## Creación de políticas con el editor visual
<a name="access_policies_create-visual-editor"></a>

El editor visual de la consola de IAM le guía a través de la creación de una política sin tener que escribir sintaxis JSON. Para ver un ejemplo de cómo utilizar el editor para crear una política, consulte [Control del acceso a identidades](access_controlling.md#access_controlling-identities).

**Para utilizar el editor visual para crear una política**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación de la izquierda, elija **Políticas**. 

1. Elija **Crear política**.

1. En la sección **Editor de políticas**, busque la sección **Seleccionar un servicio** y, a continuación, seleccione un servicio de AWS. Puede utilizar el cuadro de búsqueda en la parte superior para limitar los resultados en la lista de servicios. Puede elegir solo un servicio dentro de un bloque de permisos de editor visual. Para conceder acceso a más de un servicio, agregue varios bloques de permisos seleccionando **Agregar más permisos**.

1. En **Acciones permitidas**, seleccione las acciones que desee agregar a la política. Puede elegir acciones de una de las siguientes formas:
   + Active la casilla de verificación para todas las acciones.
   + Elija **Agregar acciones** para escribir el nombre de una acción específica. Puede utilizar comodines (`*`) para especificar varias acciones.
   + Seleccione uno de los grupos de **niveles de acceso** para elegir todas las acciones del nivel de acceso (por ejemplo, **Leer**, **Escribir**, o **Lista**).
   + Amplíe cada uno de los grupos **Access level (Nivel de acceso)** para elegir acciones individuales.

   De forma predeterminada, la política que está creando permite las acciones que usted elija. Para denegar las acciones elegidas, seleccione **Switch to deny permissions (Cambiar a denegar permisos)**. Dado que [IAM deniega de forma predeterminada](reference_policies_evaluation-logic.md), por motivos de seguridad recomendamos que permita solo aquellas acciones y recursos a los que un usuario necesita acceso. Debe crear una instrucción JSON para denegar permisos únicamente si desea invalidar un permiso que otra instrucción o política permite. Le recomendamos que limite al mínimo el número de operaciones de denegación de permisos, ya que pueden aumentar la dificultad de solucionar problemas con los permisos.

1. Para **Recursos**, si el servicio y las acciones que seleccionó en los pasos anteriores no admiten la elección de [recursos específicos](access_controlling.md#access_controlling-resources), todos los recursos están permitidos y no puede editar esta sección. 

   Si eligió una o más acciones que admiten [permisos en el nivel de recursos](access_controlling.md#access_controlling-resources), el editor visual enumera dichos recursos. A continuación, puede elegir **Resources (Recursos)** para especificar los recursos para su política. 

   Puede especificar recursos de las siguientes maneras:
   + Seleccione **Agregar ARN** para especificar recursos por su nombre de recurso de Amazon (ARN). Puede utilizar el editor ARN visual o enumerar ARN manualmente. Para obtener más información acerca de la sintaxis de ARN, consulte [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) en la*Referencia general de AWSGuía*. Para obtener información sobre el uso de ARN en el elemento `Resource` de una política, consulte [Elementos de política JSON de IAM: Resource](reference_policies_elements_resource.md).
   + Seleccione **Cualquiera de esta cuenta** junto a un recurso para conceder permisos a cualquier recurso de ese tipo.
   + Seleccione **Todos** para seleccionar todos los recursos para el servicio. 

1. (Opcional) Seleccione **Solicitar condiciones: *opcional*** para agregar condiciones a la política que está creando. Las condiciones limitan el efecto de una instrucción de política de JSON. Por ejemplo, puede especificar que a un usuario se le permite realizar las acciones en los recursos solo cuando la solicitud de dicho usuario se produce dentro de un intervalo de tiempo determinado. También puede utilizar condiciones de uso común para limitar si un usuario debe autenticarse con un dispositivo de autenticación multifactor (MFA). O bien puede exigir que la solicitud se origine dentro de un determinado rango de direcciones IP. Para obtener listas de todas las claves de contexto que puede utilizar en una condición de política, consulte [Acciones, recursos y claves de condición para AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) en la *Referencia de autorizaciones de servicio*.

   Puede elegir las condiciones de una de las siguientes formas:
   + Utilice las casillas de verificación para seleccionar condiciones de uso común.
   + Seleccione **Agregar otra condición** para especificar otras condiciones. Elija los valores **Condition Key (Clave de condición)**, **Qualifier (Calificador)** y **Operator (Operador)** de la condición y, a continuación, escriba un **Value (Valor)**. Para agregar más de un valor, seleccione **Agregar**. Puede considerar que los valores están conectados mediante un operador lógico "OR". Cuando haya terminado, seleccione **Agregar condición**.

   Para agregar más de una condición, vuelva a seleccionar **Agregar condición**. Repita este procedimiento según sea necesario. Cada condición se aplica únicamente a este bloque de permisos del editor visual. Todas las condiciones deben ser "true" para que el bloque de permisos se considere una coincidencia. En otras palabras, considere que las condiciones están conectadas mediante un operador lógico "AND".

   Para obtener más información sobre el elemento **Condition (Condición)**, consulte [Elementos de política JSON de IAM: Condition](reference_policies_elements_condition.md) en la [Referencia de políticas JSON de IAM](reference_policies.md).

1. Para agregar más bloques de permisos, seleccione **Agregar más permisos**. Para cada bloque, repita los pasos 2 a 5.
**nota**  
Puede alternar entre las opciones **Visual** y **JSON** del editor en todo momento. No obstante, si realiza cambios o selecciona **Siguiente** en la opción **Visual** del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte [Reestructuración de políticas](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. (Opcional) Al crear o editar una política en la Consola de administración de AWS, se puede generar una plantilla de política JSON o YAML que se puede utilizar en plantillas de CloudFormation.

   Para ello, en el **Editor de políticas**, seleccione **Acciones** y, a continuación, **Generar plantilla de CloudFormation**. Para obtener más información sobre CloudFormation, consulte la [Referencia de tipos de recursos de AWS Identity and Access Management](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) en la Guía del usuario de AWS CloudFormation.

1. Cuando haya terminado de agregar permisos a la política, seleccione **Siguiente**.

1. En la página **Revisar y crear**, escriba el **Nombre de la política** y la **Descripción** (opcional) para la política que está creando. Revise los **Permisos definidos en esta política** para asegurarse de que ha concedido los permisos deseados. 

1. (Opcional) Agregar metadatos a la política al adjuntar las etiquetas como pares de clave-valor. Para obtener más información acerca del uso de etiquetas en IAM, consulte [Etiquetas para recursos de AWS Identity and Access Management](id_tags.md).

1. Elija **Crear política** para guardar la nueva política.

Después de crear una política, puede asociarla a sus grupos, usuarios o roles. Para obtener más información, consulte [Adición y eliminación de permisos de identidad de IAM](access_policies_manage-attach-detach.md).

## Importación de políticas administradas existentes
<a name="access_policies_create-copy"></a>

Una forma sencilla de crear una nueva política consiste en importar una política administrada existente en la cuenta que tenga al menos alguno de los permisos que necesita. A continuación, puede personalizarla para adaptarse a los nuevos requisitos.

No puede importar una política insertada. Para obtener más información acerca de la diferencia entre las políticas gestionadas e insertadas, consulte [Políticas administradas y políticas insertadas](access_policies_managed-vs-inline.md).

**Para importar una política administrada existente en el editor visual**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación de la izquierda, elija **Políticas**. 

1. Elija **Crear política**.

1. En el **Editor de políticas**, seleccione **Visual**; después, en la parte derecha de la página, seleccione **Acciones**, y luego **Importar política**.

1. En la ventana **Importar política**, seleccione las políticas administradas que mejor coincidan con la política que desea incluir en su nueva política. Puede utilizar el cuadro de búsqueda de la parte superior para limitar los resultados en la lista de políticas.

1. Seleccione **Importar política**.

   Las políticas importadas se añaden en nuevos bloques de permisos en la parte inferior de su política.

1. Utilice el **Visual editor (Editor visual)** o elija **JSON** para personalizar su política. A continuación, elija **Siguiente**.
**nota**  
Puede alternar entre las opciones **Visual** y **JSON** del editor en todo momento. No obstante, si realiza cambios o selecciona **Siguiente** en la opción **Visual** del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte [Reestructuración de políticas](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. En la página **Revisar y crear**, escriba el **Nombre de la política** y la **Descripción** (opcional) para la política que está creando. No puede editar estos ajustes más tarde. Revise los **Permisos definidos en esta política** y, a continuación, seleccione **Crear política** para guardar su trabajo.

**Para importar una política administrada existente en el editor **JSON****

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación de la izquierda, elija **Políticas**. 

1. Elija **Crear política**.

1. En la sección **Editor de políticas**, seleccione la opción **JSON**; después, en la parte derecha de la página, seleccione **Acciones**, y luego **Importar política**.

1. En la ventana **Importar política**, seleccione las políticas administradas que mejor coincidan con la política que desea incluir en su nueva política. Puede utilizar el cuadro de búsqueda de la parte superior para limitar los resultados en la lista de políticas.

1. Seleccione **Importar política**.

   Las instrucciones de las políticas importadas se añaden a la parte inferior de su política de JSON.

1. Personalice su política en JSON. Resuelva las advertencias de seguridad, errores o advertencias generales que se generen durante la[ validación de la política](access_policies_policy-validator.md) y luego elija **Siguiente**. O, personalice su política en JSON o elija **Editor visual**. A continuación, elija **Siguiente**.
**nota**  
Puede alternar entre las opciones **Visual** y **JSON** del editor en todo momento. No obstante, si realiza cambios o selecciona **Siguiente** en la opción **Visual** del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte [Reestructuración de políticas](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. En la página **Revisar y crear**, escriba el **Nombre de la política** y la **Descripción** (opcional) para la política que está creando. No puede editarlos más tarde. Revise los **Permisos definidos en esta política** correspondientes a la política y, a continuación, seleccione **Crear política** para guardar su trabajo.

Después de crear una política, puede asociarla a sus grupos, usuarios o roles. Para obtener más información, consulte [Adición y eliminación de permisos de identidad de IAM](access_policies_manage-attach-detach.md).

# Creación de políticas de IAM (AWS CLI)
<a name="access_policies_create-cli"></a>

Una [política](access_policies.md) es una entidad que, cuando se asocia a una identidad o recurso, define sus permisos. Puede utilizar la AWS CLI para crear *políticas administradas por el cliente* en IAM. Las políticas administradas por el cliente son políticas independientes que usted administra en su propia cuenta de Cuenta de AWS. Como [práctica recomendada](best-practices.md), le sugerimos utilizar IAM Access Analyzer para validar sus políticas de IAM y así garantizar la seguridad y funcionalidad de los permisos. Al [validar sus políticas](access_policies_policy-validator.md), puede abordar cualquier error o recomendación antes de asociar las políticas a las identidades (usuarios, grupos y roles) de su cuenta de Cuenta de AWS.

El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte [IAM y cuotas de AWS STS](reference_iam-quotas.md).

## Crear políticas de IAM (AWS CLI)
<a name="create-policies-cli-api"></a>

Puede crear una política de IAM administrada por el cliente o una política insertada mediante la AWS Command Line Interface (AWS CLI). 

**Para crear una política administrada por el cliente (AWS CLI)**  
Utilice el siguiente comando:
+ [create-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy.html)

**Para crear una política insertada para una identidad de IAM (grupo, usuario o rol) (AWS CLI)**  
Utilice uno de los siguientes comandos:
+ [put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)
+ [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)
+ [put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)

**nota**  
No se puede utilizar IAM para incrustar una política insertada para un *[rol vinculado al servicio](id_roles.md#iam-term-service-linked-role)*.

**Para validar una política administrada por el cliente (AWS CLI)**  
Utilice el siguiente comando de IAM Access Analyzer:
+ [validate-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)

# Creación de políticas de IAM (API de AWS)
<a name="access_policies_create-api"></a>

Una [política](access_policies.md) es una entidad que, cuando se asocia a una identidad o recurso, define sus permisos. Puede utilizar la API de AWS para crear *políticas administradas por el cliente* en IAM. Las políticas administradas por el cliente son políticas independientes que usted administra en su propia cuenta de Cuenta de AWS. Como [práctica recomendada](best-practices.md), le sugerimos utilizar IAM Access Analyzer para validar sus políticas de IAM y así garantizar la seguridad y funcionalidad de los permisos. Al [validar sus políticas](access_policies_policy-validator.md), puede abordar cualquier error o recomendación antes de asociar las políticas a las identidades (usuarios, grupos y roles) de su cuenta de Cuenta de AWS.

El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte [IAM y cuotas de AWS STS](reference_iam-quotas.md).

## Crear políticas de IAM (API de AWS)
<a name="create-policies-api"></a>

Puede crear una política administrada por el cliente o una política insertada de IAM mediante la API de AWS.

**Para crear una política administrada por el cliente (API de AWS)**  
Llame a la operación siguiente:
+ [CreatePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicy.html)

**Para crear una política insertada para una identidad de IAM (grupo, usuario o rol) (API de AWS)**  
Llame a una de las siguientes operaciones:
+ [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)
+ [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)
+ [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)

**nota**  
No se puede utilizar IAM para incrustar una política insertada para un *[rol vinculado al servicio](id_roles.md#iam-term-service-linked-role)*.

**Para validar una política administrada por el cliente (API de AWS)**  
Llame a la siguiente operación de IAM Access Analyzer:
+ [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)

# Validación de la política de IAM
<a name="access_policies_policy-validator"></a>

Una [política](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_overview.html) es un documento JSON escrito con la [política gramatical de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies-grammar.html). Cuando se asocia una política a una entidad de IAM, como un usuario, un grupo o un rol, concede permisos a esa entidad.

Cuando crea o edita políticas de control de acceso de IAM mediante Consola de administración de AWS, AWS las examina automáticamente para asegurarse de que cumplan con la política gramatical de IAM. Si AWS determina que una política no cumple la gramática, se le pedirá que corrija la política.

 IAM Access Analyzer proporciona verificaciones de políticas adicionales con recomendaciones para ayudarle a perfeccionar aún más la política. Para obtener más información acerca de las verificaciones de políticas de Analizador de acceso de IAM y las recomendaciones procesables, consulte [Validación de políticas de Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html). Para ver una lista de advertencias, errores y sugerencias que devuelve el analizador de acceso de IAM, consulte [ Referencia de comprobación de políticas del analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html).

**Ámbito de validación**  
AWS comprueba la gramática y la sintaxis de la política JSON. También comprueba que los ARN tengan un formato correcto y que los nombres de acción y las claves de condición sean correctos.

**Acceso a la validación de políticas**  
Las políticas se validan automáticamente cuando se crea una política JSON o se edita una política existente en el Consola de administración de AWS. Si la sintaxis de la política no es válida, recibe una notificación y deberá solucionar el problema para poder continuar. Los resultados de la validación de políticas del Analizador de acceso de IAM se devuelven automáticamente en el Consola de administración de AWS si tiene permisos para `access-analyzer:ValidatePolicy`. También puede validar políticas mediante la API de AWS o AWS CLI.

**Políticas existentes**  
Es posible que tenga políticas existentes que no sean válidas porque se crearon o guardaron por última vez antes de las últimas actualizaciones del motor de políticas. Como [práctica recomendada](best-practices.md), le sugerimos utilizar IAM Access Analyzer para validar sus políticas de IAM y así garantizar la seguridad y funcionalidad de los permisos. Le recomendamos que abra las políticas existentes y revise los resultados de validación de políticas que se generan. No puede editar y guardar las políticas existentes sin corregir ningún error de sintaxis de política.

# Pruebas de la política de IAM con el simulador de política de IAM
<a name="access_policies_testing-policies"></a>

Para obtener más información sobre cómo y por qué utilizar las políticas de IAM, consulte [Políticas y permisos en AWS Identity and Access Management](access_policies.md).

**Puede obtener acceso a la consola del simulador de políticas de IAM en: [https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/)**

**importante**  
Los resultados del simulador de política pueden diferir de los de su entorno de AWS real. Le recomendamos que compare sus políticas con su entorno de AWS real después de llevar a cabo las pruebas con el simulador de política para confirmar que obtiene los resultados deseados. Para obtener más información, consulte [Cómo funciona el simulador de políticas de IAM](#policies_policy-simulator-how-it-works).

 

Con el simulador de política de IAM, puede probar y solucionar problemas de políticas basadas en identidad y límites de permisos de IAM. A continuación se enumeran algunas acciones habituales que puede hacer con el simulador de políticas:
+ Pruebe las políticas basadas en la identidad que se adjuntan a los usuarios de IAM, grupos de usuarios o roles en su Cuenta de AWS. Si hay más de una política asociada al usuario, grupo de usuarios o rol, puede probarlas todas o seleccionarlas individualmente para probarlas. Puede probar las acciones permitidas o denegadas por las políticas seleccionadas para determinados recursos.
+ Probar y solucionar problemas del efecto de los [límites de permisos](access_policies_boundaries.md) en las entidades de IAM. Solo puede simular un límite de permisos a la vez.
+ Pruebe los efectos de las políticas basadas en recursos en los usuarios de IAM que están asociados a recursos de AWS, como buckets de Amazon S3, colas de Amazon SQS, temas de Amazon SNS o almacenes de Amazon Glacier. Para utilizar una política basada en recursos en el simulador de política para usuarios de IAM, debe incluir el recurso en la simulación. También debe activar la casilla para incluir la política de ese recurso en la simulación.
**nota**  
Los roles de IAM no admiten la simulación de políticas basadas en recursos.
+ Si la cuenta de Cuenta de AWS forma parte de una organización en [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/), puede probar el impacto de las políticas de control de servicios (SCP) en sus políticas basadas en identidades.
**nota**  
El simulador de política no evalúa las SCP que tienen cualquier condición.
+ Pruebe nuevas políticas basadas en identidades que aún no estén asociadas a un usuario, grupo de usuarios o rol. Para ello, escríbalas o cópielas en el simulador de política. Estas solo se utilizan en la simulación y no se guardan. No puede escribir ni copiar una política basada en recursos en el simulador de política.
+ Pruebe las políticas basadas en identidades con servicios, acciones y recursos seleccionados. Por ejemplo, puede realizar una prueba para garantizar que la política permita que una entidad realice las acciones `ListAllMyBuckets`, `CreateBucket` y `DeleteBucket` en el servicio de Amazon S3 de un determinado bucket.
+ Simule escenarios del mundo real proporcionando claves de contexto, como una dirección IP o fecha, que se incluyan en los elementos `Condition` de las políticas que se estén probando.
**nota**  
El simulador de política no simula las etiquetas proporcionadas como entrada si la política basada en identidades de la simulación no tiene un elemento `Condition` que compruebe explícitamente las etiquetas.
+ Identifique qué declaración específica de la política basada en identidades tiene como resultado permitir o denegar el acceso a un recurso o acción concretos. 

**Topics**
+ [Cómo funciona el simulador de políticas de IAM](#policies_policy-simulator-how-it-works)
+ [Permisos necesarios para utilizar el simulador de políticas de IAM](#permissions-required_policy-simulator)
+ [Uso del simulador de políticas de IAM (Consola)](#policies_policy-simulator-using)
+ [Uso del simulador de políticas de IAM (AWS CLI y API de AWS)](#policies-simulator-using-api)

## Cómo funciona el simulador de políticas de IAM
<a name="policies_policy-simulator-how-it-works"></a>

El simulador de política evalúa las declaraciones de la política basada en la identidad y las entradas que el usuario proporciona durante la simulación. Los resultados del simulador de política pueden diferir de los de su entorno de AWS real. Le recomendamos que compare sus políticas con su entorno de AWS real después de llevar a cabo las pruebas con el simulador de política para confirmar que obtiene los resultados deseados.

El simulador de política difiere del entorno de AWS real en los siguientes aspectos: 
+ El simulador de política no lleva a cabo ninguna solicitud real al servicio de AWS, de modo que puede probar de forma segura solicitudes que podrían hacer cambios no deseados en el entorno real de AWS. El simulador de política no considera los valores clave del contexto real en la producción.
+ Dado que el simulador de política no simula la ejecución de las acciones seleccionadas, no se puede informar de ninguna respuesta a la solicitud simulada. El único resultado que se devuelve es si la acción solicitada se permitiría o se denegaría.
+ Si edita una política en el simulador de política, estos cambios solo afectan al simulador de política. La correspondiente política de la Cuenta de AWS permanece sin cambios.
+ No puede probar las políticas de control de servicio (SCP) con cualquier condición.
+ El simulador de política no admite la simulación de política de control de recursos (RCP).
+ El simulador de política no admite la simulación de roles y usuarios de IAM para el acceso entre cuentas.

**nota**  
El simulador de política de IAM no determina qué servicios admiten [claves de condiciones globales](reference_policies_condition-keys.md) para la autorización. Por ejemplo, el simulador de política no identifica si un servicio no es compatible con [`aws:TagKeys`](reference_policies_condition-keys.md#condition-keys-tagkeys).

## Permisos necesarios para utilizar el simulador de políticas de IAM
<a name="permissions-required_policy-simulator"></a>

Puede utilizar la consola del simulador de políticas o la API del simulador de políticas para probar políticas. De forma predeterminada, los usuarios de la consola pueden probar las políticas que aún no están asociadas a un usuario, grupo de usuarios o rol. Para ello, deben escribir o copiar dichas políticas en el simulador de política. Estas políticas se utilizan únicamente en la simulación y no revelan información confidencial. Los usuarios de API deben tener permisos para probar las políticas no asociadas. Puede permitir que los usuarios de la consola o de la API prueben políticas asociadas a usuarios de IAM, grupos de IAM o roles en su Cuenta de AWS. Para ello, debe proporcionar permiso para recuperar esas políticas. Para poder probar políticas basadas en recursos, los usuarios deben tener permiso para recuperar la política del recurso.

Para obtener ejemplos de las políticas de la consola y API que permiten a un usuario simular políticas, consulte [Ejemplos de políticas: AWS Identity and Access Management (IAM)](access_policies_examples.md#policy_library_IAM).

### Permisos necesarios para utilizar la consola del simulador de políticas
<a name="permissions-required_policy-simulator-console"></a>

Puede permitir que los usuarios prueben políticas asociadas a usuarios de IAM, grupos de IAM o roles en su Cuenta de AWS. Para ello, debe proporcionar a los usuarios permisos para recuperar esas políticas. Para poder probar políticas basadas en recursos, los usuarios deben tener permiso para recuperar la política del recurso.

Para ver un ejemplo de política que permite utilizar la consola del simulador de políticas para las políticas asociadas a un usuario, grupo de usuarios o rol, consulte [IAM: permite el acceso a la consola del simulador de políticas](reference_policies_examples_iam_policy-sim-console.md). 

Para ver un ejemplo de política que permite utilizar la consola del simulador de políticas únicamente para aquellos usuarios con una ruta de acceso determinada, consulte [IAM: permite el acceso a la consola de simulador de políticas en función de la ruta de acceso del usuario](reference_policies_examples_iam_policy-sim-path-console.md).

Para crear una política que permita utilizar la consola del simulador de políticas para únicamente un tipo de entidad, utilice los siguientes procedimientos.

**Para permitir a los usuarios de la consola simular políticas para los usuarios**  
Incluya las siguientes acciones en la política:
+ `iam:GetGroupPolicy`
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:GetUser`
+ `iam:GetUserPolicy`
+ `iam:ListAttachedUserPolicies`
+ `iam:ListGroupsForUser`
+ `iam:ListGroupPolicies`
+ `iam:ListUserPolicies`
+ `iam:ListUsers`

**Para permitir a los usuarios de la consola simular políticas para los grupos de IAM**  
Incluya las siguientes acciones en la política:
+ `iam:GetGroup`
+ `iam:GetGroupPolicy`
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:ListAttachedGroupPolicies`
+ `iam:ListGroupPolicies`
+ `iam:ListGroups`

**Para permitir a los usuarios de la consola simular políticas para los roles**  
Incluya las siguientes acciones en la política:
+ `iam:GetPolicy`
+ `iam:GetPolicyVersion`
+ `iam:GetRole`
+ `iam:GetRolePolicy`
+ `iam:ListAttachedRolePolicies`
+ `iam:ListRolePolicies`
+ `iam:ListRoles`

Para probar políticas basadas en recursos, los usuarios deben tener permiso para recuperar la política del recurso.

**Para permitir a los usuarios de la consola probar políticas basadas en recursos en un bucket de Amazon S3**  
Incluya la siguiente acción en la política:
+ `s3:GetBucketPolicy`

Por ejemplo, la siguiente política utiliza esta acción para permitir a los usuarios de la consola simular una política basada en recursos en un determinado bucket de Amazon S3.

------
#### [ JSON ]

****  

```
{
        "Version":"2012-10-17",		 	 	 
        "Statement": [
          {
            "Effect": "Allow",
            "Action": "s3:GetBucketPolicy",
            "Resource":"arn:aws:s3:::bucket-name/*"
          }
        ]
      }
```

------

### Permisos necesarios para utilizar la API el simulador de políticas
<a name="permissions-required_policy-simulator-api"></a>

Las operaciones de la API del simulador de políticas [GetContextKeyForCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeyForCustomPolicy.html) y [SimulateCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html) le permiten probar políticas que aún no asociadas a un usuario, grupo de usuarios o rol. Para probar dichas políticas, debe pasarlas como cadenas a la API. Estas políticas se utilizan únicamente en la simulación y no revelan información confidencial. También puede utilizar la API para probar políticas asociadas a usuarios de IAM, grupos de IAM o roles en su cuenta de Cuenta de AWS. Para ello, debe proporcionar a los usuarios permisos para llamar a [GetContextKeyForPrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeyForPrincipalPolicy.html) y [SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html).

Para ver una política de ejemplo que permita utilizar la API del simulador de políticas para políticas asociadas y no asociadas en la cuenta de Cuenta de AWS actual, consulte [IAM: acceso a la API del simulador de políticas](reference_policies_examples_iam_policy-sim.md). 

Para crear una política que permita utilizar la API del simulador de políticas para únicamente un tipo de política, utilice los siguientes procedimientos.

**Para permitir a los usuarios de la API simular políticas transferidas directamente a la API como cadenas**  
Incluya las siguientes acciones en la política:
+ `iam:GetContextKeysForCustomPolicy`
+ `iam:SimulateCustomPolicy`

**Para permitir a los usuarios de la API simular políticas asociadas a los usuarios, grupos de IAM, roles o recursos de IAM**  
Incluya las siguientes acciones en la política:
+ `iam:GetContextKeysForPrincipalPolicy`
+ `iam:SimulatePrincipalPolicy`

Por ejemplo, para conceder a un usuario llamado Bob permiso para simular una política asignada a un usuario llamado Alice, debe conceder acceso a Bob al siguiente recurso: `arn:aws:iam::777788889999:user/alice`. 

Para ver un ejemplo de política que permite utilizar la API del simulador de políticas únicamente para aquellos usuarios con una ruta de acceso determinada, consulte [IAM: obtiene acceso a la API del simulador de políticas en función de la ruta de acceso del usuario](reference_policies_examples_iam_policy-sim-path.md).

## Uso del simulador de políticas de IAM (Consola)
<a name="policies_policy-simulator-using"></a>

De forma predeterminada, los usuarios pueden probar las políticas que aún no están asociadas a un usuario, grupo de usuarios o rol escribiéndolas o copiándolas en la consola del simulador de políticas. Estas políticas se utilizan únicamente en la simulación y no revelan información confidencial. 

**Para probar una política no asociada a un usuario, grupo de usuarios o rol (consola)**

1. Abra la consola del simulador de políticas de IAM en: [https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/).

1. En el menú **Modo:** situado en la parte superior de la página, elija **Nueva política**.

1. En la opción **Entorno de pruebas de política**, elija **Crear nueva política**.

1. Escriba o copie una política en el simulador de política y utilícelo como se describe en los pasos siguientes.

Una vez que tenga permiso para utilizar la consola del simulador de política de IAM, podrá utilizar el simulador de política para probar una política de usuarios, grupos de usuarios, roles o recursos de IAM.

**Para probar una política asociada a un usuario, grupo de usuarios o rol (consola)**

1. Abra la consola del simulador de políticas de IAM en: [https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/). 
**nota**  
Para iniciar sesión en el simulador de políticas como usuario de IAM, utilice la URL de inicio de sesión único en la Consola de administración de AWS. A continuación, diríjase a [https://policysim.aws.amazon.com/](https://policysim.aws.amazon.com/). Para obtener más información sobre cómo iniciar sesión como usuario de IAM, consulte [Cómo inician sesión los usuarios de IAM en AWS](id_users_sign-in.md).

   El simulador de política se abrirá en el modo **Existing Policies** (Políticas existentes) y enumerará los usuarios de IAM de la cuenta en **Users, Groups, and Roles** (Usuarios, grupos y roles).

1. <a name="polsimstep-selectid"></a>Elija la opción que sea apropiada para su tarea:  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/access_policies_testing-policies.html)
**Sugerencia**  
Para probar una política asociada a un grupo de usuarios, puede lanzar el simulador de políticas de IAM directamente desde la [consola de IAM](https://console.aws.amazon.com/iam/): en el panel de navegación, elija **Grupos de usuarios**. Elija el nombre del grupo en el que desea probar una política y, a continuación, elija la pestaña **Permisos**. Seleccionar **Simular**.  
Para probar una política administrada por el cliente que está asociada a un usuario: en el panel de navegación, elija **Usuarios**. Elija el nombre del usuario en el que desea probar una política. A continuación, elija la pestaña **Permisos** y amplíe la política que desea probar. En el extremo derecho, elija **Simular política**. Se abrirá el **Simulador de políticas de IAM** en una nueva ventana y mostrará la política seleccionada en el panel **Políticas**.

1. (Opcional) Si su cuenta es miembro de una organización en [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/), a continuación, seleccione la casilla situada junto a **SCP de AWS Organizations** para incluir la SCP en su evaluación simulada. Las SCP son políticas JSON que especifican los permisos máximos para una organización o unidad organizativa (OU). Una SCP limita los permisos para las entidades de las cuentas de miembros. Si una SCP bloquea un servicio o acción, ninguna entidad de dicha cuenta puede obtener acceso a dicho servicio ni realizar la acción en cuestión. Esto es válido incluso si un administrador concede explícitamente permisos a dicho servicio o acción mediante una política de recursos o IAM. 

   Si la cuenta no forma parte de una organización, la casilla de verificación no aparece.

1. (Opcional) Puede probar una política establecida como [límite de permisos](access_policies_boundaries.md) para una entidad de IAM (usuario o rol), pero no para grupos de IAM. Si actualmente se establece una política de límite de permisos para la entidad, aparecerá en el panel **Policies (Políticas)**. Solo puede establecer un límite de permisos para una identidad. Para probar otro límite de permisos, puede crear un límite de permisos personalizado. Para ello, elija **Crear nueva política**. Se abre un nuevo panel **Policies (Políticas)**. En el menú, elija **Política de límite de permisos de IAM personalizada**. Escriba un nombre para la nueva política y escriba o copie una política en el espacio que hay debajo. Seleccione **Aplicar** para guardar la política. A continuación, elija **Atrás** para volver al panel **Políticas** original. Después, seleccione la casilla situada junto al límite de permisos que desea utilizar para la simulación. 

1. <a name="polsimstep-polsubset"></a>(Opcional) Solo puede probar un subconjunto de políticas asociadas a un usuario, grupo de usuarios o rol. Para ello, en el panel **Policies (Políticas)** desactive la casilla situada junto a cada política que desee excluir.

1. <a name="polsimstep-service"></a>En **Simulador de políticas**, elija **Seleccionar servicio** y, a continuación, elija el servicio que desea probar. A continuación, elija **Seleccionar acciones** y seleccione una o varias acciones para probar. Aunque los menús muestran las selecciones disponibles únicamente para un servicio a la vez, todos los servicios y acciones que haya seleccionado aparecen en **Action Settings and Results (Configuración y resultados de la acción)**. 

1. (Opcionalmente) Si alguna de las políticas que seleccionó en [Step 2](#polsimstep-selectid) y [Step 5](#polsimstep-polsubset) incluyen condiciones con [AWS*claves de condición global*](reference_policies_condition-keys.md), proporcione valores para esas claves. Puede hacerlo, ampliando la sección **Global Settings (Configuración global)** y escribir los valores para los nombres de las claves mostrados.
**aviso**  
Si deja en blanco el valor para una clave de condición, dicha clave se pasa por alto durante la simulación. En algunos casos, esto produce un error y la simulación no puede ejecutarse. En otros casos, se ejecuta la simulación, pero los resultados podrían no ser fiables. En tales casos, la simulación no coincide con las condiciones reales que incluyen un valor para la variable o clave de condición.

1. De manera opcional, cada acción seleccionada aparecerá en la lista **Action Settings and Results (Configuración y resultados de la acción)** con la opción **Not simulated (No simulado)** mostrada en la columna **Permission (Permiso)** hasta que ejecute la simulación. Antes de ejecutar la simulación, puede configurar cada acción con un recurso. Para configurar acciones individuales para un determinado escenario, elija la flecha para ampliar la fila de la acción. Si la acción admite permisos de nivel de recursos, puede escribir el [Nombre de recurso de Amazon (ARN)](reference_identifiers.md#identifiers-arns) del recurso específico cuyo acceso desea probar. De forma predeterminada, cada recurso está establecido en un carácter comodín (\$1). También puede especificar un valor para las [claves de contexto de condición](reference_policies_actions-resources-contextkeys.html). Como se ha mencionado anteriormente, las claves con valores vacíos se pasan por alto, lo que puede provocar errores en la simulación o resultados no fiables.

   1. Elija la flecha junto al nombre de la acción para ampliar cada fila y configurar cualquier información adicional necesaria para simular de forma precisa la acción en su escenario. Si la acción exige permisos de nivel de recursos, puede escribir el [Nombre de recurso de Amazon (ARN)](reference_identifiers.md#identifiers-arns) del recurso específico en el que desea simular el acceso. De forma predeterminada, cada recurso está establecido en un carácter comodín (\$1).

   1. Si la acción admite permisos de nivel de recursos, pero no los necesita, puede elegir **Añadir recurso** para seleccionar el tipo de recurso que desea agregar a la simulación. 

   1. Si cualquiera de las políticas seleccionadas incluyen un elemento `Condition` que haga referencia a una clave de contexto para el servicio de esta acción, el nombre de la clave aparecerá en la acción. Puede especificar el valor que desea utilizar durante la simulación de dicha acción para el recurso especificado.
<a name="resource-scenarios"></a>
**Acciones que exigen grupos distintos de tipos de recursos**  
Algunas acciones exigen diferentes tipos de recursos en diferentes circunstancias. Cada grupo de tipos de recursos se asocia a un escenario. Si alguno de estos casos se aplica a su simulación, selecciónelo y el simulador de política exigirá los tipos de recursos adecuados para dicho escenario. En la siguiente lista se enumeran cada una de las opciones de escenarios admitidas y los recursos que debe definir para ejecutar la simulación.

   Cada uno de los siguientes escenarios de Amazon EC2 exige que especifique los recursos `instance`, `image` y `security-group`. Si en su escenario se incluye un volumen de EBS, debe especificar que `volume` es un recurso. Si en el escenario de Amazon EC2 se incluye una Virtual Private Cloud (VPC), debe proporcionar el recurso `network-interface`. Si se incluye una subred IP, debe especificar el recurso `subnet`. Para obtener más información sobre las opciones de escenarios de Amazon EC2, consulte [Plataformas compatibles](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-platforms.html) en la *Guía del usuario de Amazon EC2*.
   + **EC2-VPC-InstanceStore**

     instancia, imagen, grupo de seguridad, interfaz de red
   + **EC2-VPC-InstanceStore-Subnet**

     instancia, imagen, grupo de seguridad, interfaz de red, subred
   + **EC2-VPC-EBS**

     instancia, imagen, grupo de seguridad, interfaz de red, volumen
   + **EC2-VPC-EBS-Subnet**

     instancia, imagen, grupo de seguridad, interfaz de red, subred, volumen

1. <a name="polsimstep-respol"></a>(Opcional) Si desea incluir una política basada en recursos en la simulación, debe primero seleccionar las acciones que desea simular en dicho recurso en [Step 6](#polsimstep-service). Amplíe las filas de las acciones seleccionadas y escriba el ARN del recurso con una política que desea simular. A continuación, seleccione **Incluir política de recurso** junto al cuadro de texto **ARN**. El simulador de política de IAM admite actualmente políticas basadas en recursos de únicamente los siguientes servicios: Amazon S3 (solo políticas basadas en recursos; las ACL no son actualmente compatibles), Amazon SQS, Amazon SNS y almacenes desbloqueados de Amazon Glacier (los almacenes bloqueados no son actualmente compatibles).

1. Elija **Ejecutar simulación** en la esquina superior derecha.

   La columna **Permiso** de cada fila de **Configuración y resultados de la acción** muestra el resultado de la simulación de cada acción en el recurso especificado.

1. Para ver la instrucción de una política que permite o deniega explícitamente una acción, elija el enlace **Instrucción coincidente *N*** en la columna **Permisos** para ampliar la fila. A continuación, elija el enlace **Mostrar instrucción**. El panel **Políticas** muestra la correspondiente política con la instrucción resaltada que afectó al resultado de la simulación.
**nota**  
Si una acción se deniega *implícitamente* es decir, si la acción se deniega únicamente porque no se permite explícitamente las opciones **Enumerar** y **Mostrar instrucción** no se muestran.

### Solución de problemas de los mensajes de la consola del simulador de políticas de IAM
<a name="iam-policy-simulator-messages"></a>

En la siguiente tabla se muestran los mensajes informativos y de advertencia que puede encontrar al utilizar el simulador de políticas de IAM. La tabla también indica los pasos que puede seguir para resolverlos. 


****  

| Mensaje | Pasos para resolver el problema | 
| --- | --- | 
| Esta política se ha editado. Los cambios no se guardarán en su cuenta.  |   **No hay que hacer nada.**  Este mensaje es informativo. Si edita una política existente en el simulador de políticas de IAM, el cambio no afecta a su cuenta de Cuenta de AWS. El simulador de política le permite hacer cambios en las políticas con fines de prueba únicamente.  | 
| No se puede obtener la política de recursos. Motivo: mensaje de error detallado | El simulador de política no puede obtener acceso a una política basada en un recurso especificado. Asegúrese de que el ARN del recurso especificado sea correcto y que el usuario que ejecuta la simulación tiene permisos para leer el recurso de la política. | 
| Una o varias políticas exigen valores en la configuración de la simulación. Podría producirse un error en la simulación sin estos valores.  |  Este mensaje aparece si la política que está probando incluye variables o claves de condición, pero no ha proporcionado ningún valor para estas claves o variables en **Configuración de simulación**. Para que desaparezca este mensaje, elija **Configuración de simulación** y, a continuación, escriba un valor para cada variable o clave de condición.  | 
| Ha cambiado las políticas. Estos resultados ya no son válidos.  |  Este mensaje aparece si ha cambiado la política seleccionada mientras los resultados aparecen en el panel **Resultados**. Los resultados que se muestran en el panel **Resultados** no se actualizan dinámicamente. Para que desaparezca este mensaje, vuelva a elegir **Ejecutar simulación** para mostrar nuevos resultados de la simulación basados en los cambios realizados en el panel **Políticas**.  | 
| El recurso que ha introducido para esta simulación no coincide con este servicio.  |  Este mensaje aparece si ha introducido un Nombre de recurso de Amazon (ARN) en el panel **Simulation Settings (Configuración de simulación)** que no coincide con el servicio que ha elegido para la simulación actual. Por ejemplo, este mensaje aparece si especifica un ARN de un recurso de Amazon DynamoDB pero ha elegido Amazon Redshift como el servicio que desea simular. Para que desaparezca este mensaje, realice uno de los siguientes pasos:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/access_policies_testing-policies.html)  | 
| Esta acción pertenece a un servicio que admite mecanismos de control de acceso especiales, además de políticas basadas en recursos, como las ACL de Amazon S3 o las políticas de bloqueo de almacenes de Amazon Glacier. El simulador de políticas no admite estos mecanismos, de modo que los resultados pueden diferir de su entorno de producción.  |   **No hay que hacer nada.**  Este mensaje es informativo. En la versión actual, el simulador de política evalúa políticas asociadas a usuarios y grupos de IAM y puede evaluar políticas basadas en recursos para Amazon S3, Amazon SQS, Amazon SNS y Amazon Glacier. El simulador de políticas no admite todos los mecanismos de control de acceso compatibles con otros servicios de AWS.  | 
| DynamoDB FGAC no se admite actualmente.  |   **No hay que hacer nada.**  Este mensaje informativo hace referencia al *control de acceso detallado*. El control de acceso detallado es la capacidad de utilizar condiciones de políticas de IAM para determinar quién puede obtener acceso a los elementos y atributos de los datos individuales en las tablas e índices de DynamoDB. También se refiere a las acciones que se pueden realizar en estas tablas e índices. La versión actual del simulador de políticas de IAM no admite este tipo de condición de política. Para obtener más información sobre el control de acceso detallado de DynamoDB, consulte [Control de acceso detallado para DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/FGAC_DDB.html).  | 
| Tiene políticas que no cumplen con la sintaxis de la política. Puede utilizar el validador de políticas para revisar las actualizaciones recomendadas para sus políticas.  |  Este mensaje aparece en la parte superior de la lista de políticas si tiene políticas que no cumplen con la gramática de políticas de IAM. Para simular estas políticas, consulte las opciones de validación de políticas en [Validación de la política de IAM](access_policies_policy-validator.md) para identificar y corregir estas políticas.  | 
|  Esta política debe actualizarse para cumplir con las últimas reglas de sintaxis de la política.  |  Este mensaje aparece si tiene políticas que no cumplen con la gramática de políticas de IAM. Para simular estas políticas, consulte las opciones de validación de políticas en [Validación de la política de IAM](access_policies_policy-validator.md) para identificar y corregir estas políticas.  | 

## Uso del simulador de políticas de IAM (AWS CLI y API de AWS)
<a name="policies-simulator-using-api"></a>

Normalmente, los comandos del simulador de políticas exigen realizar llamadas a las operaciones de API para hacer dos cosas:

1. Evaluar las políticas y devolver la lista de claves de contexto a las que hacen referencia. Debe conocer las claves de contexto a las que hacen referencia para que pueda proporcionarles valores en el siguiente paso.

1. Simular las políticas, proporcionando una lista de acciones, recursos y claves de contexto que se utilizan durante la simulación.

Por motivos de seguridad, las operaciones de API se han dividido en dos grupos:
+ Operaciones de API que simulan únicamente políticas que se transmiten directamente a la API como cadenas. En este conjunto se incluyen [GetContextKeysForCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html) y [SimulateCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html).
+ Operaciones de API que simulan las políticas que se han asociado a un recurso, usuario, grupo de usuarios o rol de IAM. Dado que estas operaciones de API pueden revelar detalles de permisos asignados a otras entidades de IAM, debe plantearse restringir el acceso a ellas. En este conjunto se incluyen [GetContextKeysForPrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html) y [SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html). Para obtener más información sobre cómo restringir el acceso a operaciones de API, consulte [Ejemplos de políticas: AWS Identity and Access Management (IAM)](access_policies_examples.md#policy_library_IAM).

En ambos casos, las operaciones de API simulan el efecto de una o varias políticas en una lista de acciones y recursos. Cada acción va emparejada con cada recurso y la simulación determina si las políticas permiten o deniegan esa acción para dicho recurso. También puede proporcionar valores para cualquier clave de contexto a la que sus políticas hagan referencia. Puede obtener la lista de claves de contexto a las que las políticas hacen referencia llamando primero a [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html) o [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html). Si no proporciona un valor para una clave de contexto, la simulación sigue ejecutándose. Pero los resultados podrían no ser fiables, ya que el simulador de política no puede incluir la clave de contexto en la evaluación.

**Para obtener la lista de claves de contexto (AWS CLI, API de AWS)**  
Utilice lo siguiente para evaluar una lista de las políticas y devolver una lista de claves de contexto que se utilizan en las políticas.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-custom-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-custom-policy.html) y [https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-principal-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-context-keys-for-principal-policy.html)
+ API de AWS: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForCustomPolicy.html) y [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetContextKeysForPrincipalPolicy.html)

**Para simular políticas de IAM (AWS CLI, API de AWS)**  
Utilice lo siguiente para simular políticas de IAM con el fin de determinar los permisos en vigor del usuario.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-custom-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-custom-policy.html) y [https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-principal-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/simulate-principal-policy.html)
+ API de AWS: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html) y [https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html)

# Adición y eliminación de permisos de identidad de IAM
<a name="access_policies_manage-attach-detach"></a>

Puede utilizar políticas para definir los permisos para una identidad (usuario, grupo de usuarios o rol). Puede agregar y eliminar permisos asociando y desasociando políticas de IAM para una identidad que utilice la Consola de administración de AWS, AWS Command Line Interface (AWS CLI) o la API de AWS. También puede utilizar las políticas para establecer los [límites de los permisos](access_policies_boundaries.md) solo para las entidades (usuarios o roles) que están utilizando los mismos métodos. Los límites de permisos son una función avanzada de AWS que controla los permisos que puede tener una entidad como máximo.

**Topics**
+ [Terminología](#attach-detach-etc-terminology)
+ [Ver actividad de la identidad](#attach-detach_prerequisites)
+ [Adición de permisos de identidad de IAM (consola)](#add-policies-console)
+ [Eliminación de permisos de identidad de IAM (consola)](#remove-policies-console)
+ [Agregar políticas de IAM (AWS CLI)](#add-policy-cli)
+ [Eliminación de políticas de IAM (AWS CLI)](#remove-policy-cli)
+ [Adición de políticas de IAM (API de AWS)](#add-policy-api)
+ [Eliminación de políticas de IAM (API de AWS)](#remove-policy-api)

## Terminología
<a name="attach-detach-etc-terminology"></a>

Al asociar políticas de permisos a identidades (usuarios de IAM, grupos de IAM y roles de IAM), la terminología y los procedimientos varían en función de si se trabaja con una política administrada o en línea:
+ **Asociar** – Se utiliza con políticas administradas. Asocie una política administrada a una identidad (usuario, grupo de usuarios o rol). La conexión de una política aplica los permisos en la política a la identidad.
+ **Desasociar** – Se utiliza con políticas administradas. Desvincula una política administrada de una identidad de IAM (usuario, grupo de usuarios o rol). Al desvincular una política se quitan sus permisos de la identidad.
+ **Integrar** – Se utiliza con políticas insertadas. Integre una política insertada en una identidad (usuario, grupo de usuarios o rol). La integración de una política aplica los permisos en la política a la identidad. Dado que una política insertada se almacena en la identidad, se incrusta en lugar de conectarse, aunque el resultado es similar.
**nota**  
Puede integrar una política insertada de un *[rol vinculado a un servicio](id_roles.md#iam-term-service-linked-role)* solo en el servicio que depende del rol. Consulte la [documentación de AWS](https://docs.aws.amazon.com/) de su servicio para saber si es compatible con esta característica.
+ **Eliminar** – Se utiliza con políticas insertadas. Elimina una política insertada de una identidad de IAM (usuario, grupo de usuarios o rol). Al eliminar una política se quitan sus permisos de la identidad.
**nota**  
Puede eliminar una política insertada de un *[rol vinculado a un servicio](id_roles.md#iam-term-service-linked-role)* solo en el servicio que depende del rol. Consulte la [documentación de AWS](https://docs.aws.amazon.com/) de su servicio para saber si es compatible con esta característica.

Puede utilizar la consola, la AWS CLI o la API de AWS para realizar cualquiera de estas acciones.

### Más información
<a name="terminology-more-info-roles-policies"></a>
+ Para obtener más información acerca de la diferencia entre las políticas administradas e insertadas, consulte [Políticas administradas y políticas insertadas](access_policies_managed-vs-inline.md). 
+ Para obtener más información sobre los límites de permisos, consulte [Límites de permisos para las entidades de IAM](access_policies_boundaries.md).
+ Para obtener información general sobre las políticas de IAM, consulte [Políticas y permisos en AWS Identity and Access Management](access_policies.md).
+ Para obtener información sobre validar las políticas de IAM, consulte [Validación de la política de IAM](access_policies_policy-validator.md).
+ El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte [IAM y cuotas de AWS STS](reference_iam-quotas.md).

## Ver actividad de la identidad
<a name="attach-detach_prerequisites"></a>

Antes de cambiar los permisos de una identidad (usuario, grupo de usuarios o rol), debe revisar su actividad de nivel de servicio reciente. Esto es importante porque no desea eliminar el acceso de un principal (persona o aplicación) que está utilizándolo. Para obtener más información acerca de cómo ver la información de acceso reciente, consulte [Ajuste de permisos en AWS con información sobre los últimos accesos](access_policies_last-accessed.md).

## Adición de permisos de identidad de IAM (consola)
<a name="add-policies-console"></a>

Puede utilizar la Consola de administración de AWS para agregar permisos a una identidad (usuario, grupo de usuarios o rol). Para ello, asocie las políticas administradas que controlan los permisos o especifique una política que sirva como [límite de permisos](access_policies_boundaries.md). También puede integrar una política insertada.<a name="access_policies_manage-attach-detach-console"></a>

**Para utilizar una política administrada como una política de permisos para una entidad (consola)**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Políticas**. 

1. En la lista de políticas, seleccione el botón de radio situado junto al nombre de la política que desee asociar. Puede utilizar el cuadro de búsqueda para filtrar la lista de políticas.

1. Elija **Acciones** y, a continuación, elija **Adjuntar**.

1. Seleccione una o más identidades a las que asociar la política. Puede utilizar el cuadro de búsqueda para filtrar la lista entidades principales. Después de seleccionar las identidades, elija **Attach policy (Asociar política)**.<a name="set-managed-policy-boundary-console"></a>

**Para utilizar una política administrada para configurar un límite de permisos (consola)**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Políticas**. 

1. En la lista de políticas, elija el nombre de la política que desea configurar. Puede utilizar el cuadro de búsqueda para filtrar la lista de políticas.

1. En la página de detalles de la política, seleccione la pestaña **Entidades asociadas** y, a continuación, si es necesario, abra la sección **Asociadas como límites de permisos** y seleccione **Configurar esta política como límite de permisos**.

1. Seleccione uno o varios usuarios o roles en los que va a utilizar la política para un límite de permisos. Puede utilizar el cuadro de búsqueda para filtrar la lista entidades principales. Después de seleccionar las entidades principales, seleccione **Configurar límite de permisos**.<a name="embed-inline-policy-console"></a>

**Para integrar una política insertada de un usuario o un rol (consola)**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Users (Usuarios)** o **Roles**.

1. En la lista, seleccione el nombre del usuario o rol en el que integrará una política.

1. Elija la pestaña **Permisos**. 

1. Seleccione **Agregar permisos** y, a continuación, **Crear política insertada**.

    
**nota**  
No puede incrustar una política insertada en un *[rol vinculado a un servicio](id_roles.md#iam-term-service-linked-role)* en IAM. Dado que el servicio vinculado define si puede modificar los permisos del rol, podría añadir las políticas adicionales del servicio desde la consola, la API o la AWS CLI. Para consultar la documentación relacionada con los roles vinculados a dicho servicio, visite [Servicios de AWS que funcionan con IAM](reference_aws-services-that-work-with-iam.md) y elija **Yes (Sí)** en la columna **Service-Linked Role (Rol vinculado al servicio)** del servicio.

1. Seleccione entre los siguientes métodos para ver los pasos necesarios para crear su política:
   + [Importación de políticas administradas existentes](access_policies_create-console.md#access_policies_create-copy) - Puede importar una política administrada en la cuenta y, a continuación, editar la política para personalizarla a sus requisitos específicos. Una política administrada puede ser una política administrada por AWS o una política administrada por el cliente que haya creado anteriormente.
   + [Creación de políticas con el editor visual](access_policies_create-console.md#access_policies_create-visual-editor) - Puede construir una nueva política desde cero en el editor visual. Si utiliza el editor visual, no tiene que conocer la sintaxis JSON.
   + [Creación de políticas mediante el editor JSON](access_policies_create-console.md#access_policies_create-json-editor): en la opción **JSON** del editor, puede crear una política utilizando sintaxis JSON. Puede escribir un nuevo documento de política de JSON o pegar un [ejemplo de política](access_policies_examples.md).

1. Después de crear una política insertada, se integra automáticamente en su usuario o rol.

**Para integrar una política insertada para un grupo de usuarios (consola)**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, elija **User groups** (Grupos de usuarios).

1. En la lista, seleccione el nombre del grupo de usuarios en el que integrará una política.

1. Elija la pestaña de **Permisos**, elija **Agregar permisos** y luego **Crear política insertada**.

1. Realice una de las siguientes acciones:
   + Seleccione la opción **Visual** para crear la política. Para obtener más información, consulte [Creación de políticas con el editor visual](access_policies_create-console.md#access_policies_create-visual-editor).
   + Seleccione la opción **JSON** para crear la política. Para obtener más información, consulte [Creación de políticas mediante el editor JSON](access_policies_create-console.md#access_policies_create-json-editor).

1. Cuando esté satisfecho con la política, elija **Crear política**.<a name="replace-managed-policy-boundary-console"></a>

**Para cambiar el límite de permisos para una o varias entidades (consola)**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Políticas**. 

1. En la lista de políticas, elija el nombre de la política que desea configurar. Puede utilizar el cuadro de búsqueda para filtrar la lista de políticas.

1. En la página de detalles de la política, seleccione la pestaña **Entidades asociadas** y, a continuación, si es necesario, abra la sección **Asociadas como límite de permisos**. Seleccione la casilla de verificación situada junto a los usuarios o roles cuyos límites desee cambiar y, a continuación, seleccione **Cambiar**.

1. Seleccione la política nueva que desea utilizar para un límite de permisos. Puede utilizar el cuadro de búsqueda para filtrar la lista de políticas. Después de seleccionar la política, seleccione **Configurar límite de permisos**.

## Eliminación de permisos de identidad de IAM (consola)
<a name="remove-policies-console"></a>

Puede utilizar la Consola de administración de AWS para eliminar permisos de una identidad (usuario, grupo de usuarios o rol). Para ello, desasocie las políticas administradas que controlan los permisos o elimine la política aplicada como [límite de permisos](access_policies_boundaries.md). También puede eliminar una política insertada.<a name="detach-managed-policy-console"></a>

**Para desasociar una política administrada utilizada como política de permisos (consola)**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Políticas**. 

1. En la lista de políticas, seleccione el botón de radio situado junto al nombre de la política que desee desasociar. Puede utilizar el cuadro de búsqueda para filtrar la lista de políticas.

1. Elija **Acciones** y a continuación seleccione **Desconectar**.

1. Seleccione las entidades de las que desasociar la política. Puede utilizar el cuadro de búsqueda para filtrar la lista de identidades. Después de seleccionar las identidades, elija **Detach policy (Desasociar política)**.<a name="remove-managed-policy-boundary-console"></a>

**Para eliminar un límite de permisos (consola)**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Políticas**. 

1. En la lista de políticas, elija el nombre de la política que desea configurar. Puede utilizar el cuadro de búsqueda para filtrar la lista de políticas.

1. En la página de resumen de la política, seleccione la pestaña **Entidades asociadas** y, a continuación, si es necesario, abra la sección **Asociadas como límite de permisos** y seleccione las entidades de las que desee eliminar el límite de permisos. Después, seleccione **Eliminar límite**.

1. Confirme que desea eliminar el límite y seleccione **Eliminar límite**.<a name="delete-inline-policy-console"></a>

**Para eliminar una política insertada (consola)**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, elija **Grupos de usuarios**, **Usuarios** o **Roles**.

1. En la lista, elija el nombre del grupo de usuarios, usuario o rol que tiene la política que desea quitar.

1. Elija la pestaña **Permisos**.

1. Seleccione la casilla de verificación situada junto a la política, y luego **Eliminar**.

1. Seleccione **Eliminar** en el cuadro de confirmación.

## Agregar políticas de IAM (AWS CLI)
<a name="add-policy-cli"></a>

Puede utilizar la AWS CLI para agregar permisos a una identidad (usuario, grupo de usuarios o rol). Para ello, asocie las políticas administradas que controlan los permisos o especifique una política que sirva como [límite de permisos](access_policies_boundaries.md). También puede integrar una política insertada.

**Para utilizar una política administrada como una política de permisos para una entidad (AWS CLI)**

1. (Opcional) Para ver información sobre una política administrada, ejecute los siguientes comandos: 
   + Para ver una lista de las políticas administradas: [aws iam list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Para recuperar información detallada sobre una política administrada: [get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)

1. Para asociar una política administrada a una identidad (un usuario, grupo de usuarios o rol), utilice uno de los siguientes comandos: 
   + [aws iam attach-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html)
   + [aws iam attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)
   + [aws iam attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)

**Para utilizar una política administrada para configurar un límite de permisos (AWS CLI)**

1. (Opcional) Para ver información sobre una política administrada, ejecute los siguientes comandos: 
   + Para ver una lista de las políticas administradas: [aws iam list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Para recuperar información detallada sobre una política administrada: [aws iam get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)

1. Para utilizar una política administrada para establecer el límite de permisos para una entidad (un usuario o un rol), utilice uno de los comandos siguientes: 
   + [aws iam put-user-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-permissions-boundary.html)
   + [aws iam put-role-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-permissions-boundary.html)

**Para integrar una política insertada (AWS CLI)**  
Para integrar una política insertada en una identidad (usuario, grupo de usuarios o rol que no sea un rol *[vinculado a un servicio](id_roles.md#iam-term-service-linked-role)*), utilice uno de los siguientes comandos: 
+ [aws iam put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)
+ [aws iam put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)
+ [aws iam put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)

## Eliminación de políticas de IAM (AWS CLI)
<a name="remove-policy-cli"></a>

Puede utilizar la AWS CLI para desasociar las políticas administradas que controlan los permisos, o eliminar la política aplicada como [límite de permisos](access_policies_boundaries.md). También puede eliminar una política insertada.

**Para desasociar una política administrada utilizada como política de permisos (AWS CLI)**

1. (Opcional) Para ver información de topología sobre una política, ejecute los siguientes comandos:
   + Para ver una lista de las políticas administradas: [aws iam list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Para recuperar información detallada sobre una política administrada: [aws iam get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html) 

1. (Opcional) Para obtener información acerca de las relaciones entre las políticas e identidades, ejecute los siguientes comandos:
   + Para enumerar las identidades (usuarios de IAM, grupos de IAM y roles de IAM) a los que está asociada una política administrada: 
     + [aws iam list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)
   + Para enumerar las políticas administradas asociadas a una identidad (un usuario, grupo de usuarios o rol), utilice uno de los siguientes comandos:
     + [aws iam list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)
     + [aws iam list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html)
     + [aws iam list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html)

1. Para desasociar una política administrada de una identidad (un usuario, grupo de usuarios o rol), utilice uno de los siguientes comandos:
   + [aws iam detach-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html)
   + [aws iam detach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-group-policy.html)
   + [aws iam detach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-role-policy.html)

**Para eliminar un límite de permisos (AWS CLI)**

1. (Opcional) Para ver qué política administrada se está utilizando actualmente para establecer el límite de permisos para un usuario o un rol, ejecute los comandos siguientes:
   + [aws iam get-user](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html)
   +  [aws iam get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) 

1. (Opcional) Para ver con qué usuarios o roles se está utilizando una política administrada para un límite de permisos, ejecute el comando siguiente:
   + [aws iam list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)

1. (Opcional) Para ver información sobre una política administrada, ejecute los siguientes comandos:
   + Para ver una lista de las políticas administradas: [aws iam list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Para recuperar información detallada sobre una política administrada: [aws iam get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html) 

1. Para eliminar un límite de permisos de un usuario o un rol, utilice uno de los comandos siguientes:
   + [aws iam delete-user-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html)
   + [aws iam delete-role-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-permissions-boundary.html)

**Para eliminar una política insertada (AWS CLI)**

1. (Opcional) Para enumerar todas las políticas insertadas asociadas a una identidad (un usuario, grupo de usuarios o rol), utilice uno de los siguientes comandos:
   + [aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)
   + [aws iam list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html)
   + [aws iam list-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-role-policies.html)

1. (Opcional) Para recuperar un documento de política insertada integrada en una identidad (usuario, grupo de usuarios o rol que no sea un rol vinculado a un servicio), utilice uno de los siguientes comandos:
   + [aws iam get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)
   + [aws iam get-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group-policy.html)
   + [aws iam get-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role-policy.html)

1. Para eliminar una política insertada de una identidad (usuario, grupo de usuarios o rol que no sea un rol *[vinculado a un servicio](id_roles.md#iam-term-service-linked-role)*), utilice uno de los siguientes comandos:
   + [aws iam delete-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html)
   + [aws iam delete-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-group-policy.html)
   + [aws iam delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)

## Adición de políticas de IAM (API de AWS)
<a name="add-policy-api"></a>

Puede utilizar la API de AWS para asociar las políticas administradas que controlan los permisos o especificar una política que sirva como [límite de permisos](access_policies_boundaries.md). También puede integrar una política insertada.

**Para utilizar una política administrada como una política de permisos para una entidad (API de AWS)**

1. (Opcional) Para ver información de topología sobre una política, llame a las siguientes operaciones: 
   + Para enumerar las políticas administradas: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html) 
   + Para recuperar información detallada sobre una política administrada: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. Para asociar una política administrada a una identidad (un usuario, grupo de usuarios o rol), llame a una de las siguientes operaciones:
   + [AttachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachUserPolicy.html)
   + [AttachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachGroupPolicy.html)
   + [AttachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachRolePolicy.html)

**Para utilizar una política administrada para configurar un límite de permisos (API de AWS)**

1. (Opcional) Para ver información sobre una política administrada, llame a las siguientes operaciones: 
   + Para enumerar las políticas administradas: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Para recuperar información detallada sobre una política administrada: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. Para utilizar una política administrada para establecer el límite de permisos para una entidad (usuario o rol), llame a una de las operaciones siguientes: 
   + [PutUserPermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPermissionsBoundary.html)
   + [PutRolePermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePermissionsBoundary.html)

**Para integrar una política insertada (API de AWS)**  
Para integrar una política insertada en una identidad (usuario, grupo de usuarios o rol que no sea un rol *[vinculado a un servicio](id_roles.md#iam-term-service-linked-role)*), llame a una de las siguientes operaciones:
+ [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)
+ [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)
+ [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)

## Eliminación de políticas de IAM (API de AWS)
<a name="remove-policy-api"></a>

Puede utilizar la API de AWS para desasociar las políticas administradas que controlan los permisos, o eliminar la política aplicada como [límite de permisos](access_policies_boundaries.md). También puede eliminar una política insertada.

**Para desasociar una política administrada utilizada como política de permisos (API de AWS)**

1. (Opcional) Para ver información de topología sobre una política, llame a las siguientes operaciones:
   + Para enumerar las políticas administradas: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Para recuperar información detallada sobre una política administrada: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. (Opcional) Para obtener información acerca de las relaciones entre las políticas e identidades, llame a las siguientes operaciones:
   + Para enumerar las identidades (usuarios de IAM, grupos de IAM y roles de IAM) a los que está asociada una política administrada:
     + [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)
   + Para enumerar las políticas administradas asociadas a una identidad (un usuario, grupo de usuarios o rol), llame a una de las siguientes operaciones:
     + [ListAttachedUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html)
     + [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html)
     + [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html)

1. Para desasociar una política administrada de una identidad (un usuario, grupo de usuarios o rol), llame a una de las siguientes operaciones:
   + [DetachUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html)
   + [DetachGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachGroupPolicy.html)
   + [DetachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachRolePolicy.html)

**Para eliminar un límite de permisos (API de AWS)**

1. (Opcional) Para ver qué política administrada se está utilizando actualmente para establecer el límite de permisos para un usuario o un rol, llame a las operaciones siguientes:
   + [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
   + [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)

1. (Opcional) Para ver con qué usuarios o roles se está utilizando una política administrada para un límite de permisos, llame a la operación siguiente:
   + [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)

1. (Opcional) Para ver información sobre una política administrada, llame a las siguientes operaciones:
   + Para enumerar las políticas administradas: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Para recuperar información detallada sobre una política administrada: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. Para eliminar un límite de permisos de un usuario o un rol, llame a una de las operaciones siguientes:
   + [DeleteUserPermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPermissionsBoundary.html)
   + [DeleteRolePermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePermissionsBoundary.html)

**Para eliminar una política insertada (API de AWS)**

1. (Opcional) Para enumerar todas las políticas insertadas asociadas a una identidad (un usuario, grupo de usuarios o rol), llame a una de las siguientes operaciones:
   + [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)
   + [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html)
   + [ListRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRolePolicies.html)

1. (Opcional) Para recuperar un documento de política insertada integrada en una identidad (usuario, grupo de usuarios o rol que no sea un rol vinculado a un servicio), llame a una de las siguientes operaciones:
   + [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)
   + [GetGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroupPolicy.html)
   + [GetRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRolePolicy.html)

1. Para eliminar una política insertada de una identidad (usuario, grupo de usuarios o rol que no sea un rol *[vinculado a un servicio](id_roles.md#iam-term-service-linked-role)*), llame a una de las siguientes operaciones:
   + [DeleteUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html)
   + [DeleteGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteGroupPolicy.html)
   + [DeleteRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePolicy.html)

# Control de versiones de políticas de IAM
<a name="access_policies_managed-versioning"></a>

Al realizar cambios en una política administrada por el cliente de IAM y cuando AWS realiza cambios en una política administrada por AWS, la política modificada no sobrescribirá la política existente. En cambio, IAM crea una nueva *versión* de la política administrada. IAM almacena hasta cinco versiones de las políticas administradas por el cliente. IAM no es compatible con el control de versiones para políticas insertadas. 

El siguiente diagrama ilustra el control de versiones para una política administrada por el cliente. En este ejemplo, las versiones de 1 a 4 se guardan. Puede guardar en IAM hasta cinco versiones de políticas administradas. Cuando edite una política que crearía una sexta versión para guardar, podrá elegir qué versión anterior ya no se deberá guardar. Puede volver a cualquiera de las otras cuatro versiones guardadas en cualquier momento.

![\[Los cambios realizados en las políticas administradas se convierten en nuevas versiones de la política\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-managed-policies-versions-overview.diagram.png)


Una versión de política es diferente de un elemento de política `Version`. El elemento de política `Version` se utiliza en una política y define la versión del lenguaje de la política. Para obtener más información sobre el elemento de política `Version`, consulte [Elementos de política JSON de IAM: Version](reference_policies_elements_version.md).

Puede utilizar las versiones para realizar un seguimiento de los cambios realizados en una política administrada. Por ejemplo, puede realizar un cambio en una política administrada y, a continuación, descubrir que el cambio tenía efectos no deseados. En este caso, puede volver a una versión anterior de la política administrada configurando la versión anterior como la versión *predeterminada*. 

En las siguientes secciones, se explica cómo puede utilizar el control de versiones para las políticas administradas.

**Topics**
+ [Límites de versión](#version-limits)
+ [Uso de versiones para revertir los cambios](#versions-roll-back)
+ [Permisos para configurar la versión predeterminada de una política](#policy-version-permissions)
+ [Configuración de la versión predeterminada de políticas administradas por el cliente](#default-version)

## Límites de versión
<a name="version-limits"></a>

Una política administrada puede tener hasta cinco versiones. Si necesita realizar cambios a partir de la quinta versión de la política administrada desde AWS Command Line Interface o la API de AWS, primero debe eliminar una o varias de las versiones anteriores. Si utiliza la Consola de administración de AWS, no tiene que eliminar una versión antes de editar su política. Al guardar una sexta versión, aparecerá un cuadro de diálogo que le pedirá que elimine una o varias versiones no predeterminadas de la política. Puede ver el documento de política JSON de cada versión que le será de ayuda para decidir. Para obtener más información sobre este cuadro de diálogo, consulte [Edición de políticas de IAM](access_policies_manage-edit.md).

Puede eliminar la versión de la política administrada que quiera, excepto la versión predeterminada. Al eliminar una versión, los identificadores de versión de las demás versiones no cambian. Por este motivo, es posible que los identificadores de versión no sean secuenciales. Por ejemplo, si elimina las versiones v2 y v4 de una política administrada y añade dos nuevas versiones, es posible que los demás identificadores de versión sean v1, v3, v5, v6 y v7. 

## Uso de versiones para revertir los cambios
<a name="versions-roll-back"></a>

Puede establecer la versión predeterminada de una política administrada por el cliente para revertir los cambios. Por ejemplo, fíjese en el siguiente escenario:

Cree una política administrada por el cliente que permita a los usuarios administrar un determinado bucket de Amazon S3 con la Consola de administración de AWS. Tras la creación, la política administrada por el cliente tiene una única versión, identificada como v1, por lo que dicha versión se establece automáticamente como la opción predeterminada. La política funciona según lo previsto. 

Posteriormente, puede actualizar la política para agregar permisos para administrar un segundo bucket de Amazon S3. IAM crea una nueva versión de la política, identificada como v2, que incluye los cambios. Establezca la versión v2 como la opción predeterminada y poco tiempo después los usuarios le informan que no tienen permiso para utilizar la consola de Amazon S3. En este caso, puede volver a la versión v1 de la política, que sabe que funciona según lo previsto. Para ello, establezca la versión v1 como la versión predeterminada. Los usuarios pueden ahora utilizar la consola de Amazon S3 para administrar el bucket original. 

Posteriormente, después de determinar el error en la versión v2 de la política, debe volver a actualizar la política para agregar permisos para administrar el segundo bucket de Amazon S3. IAM crea una nueva versión de la política, identificada como v3. Establezca la versión v3 como la opción predeterminada y esta versión funciona según lo previsto. En este momento, elimine la versión v2 de la política.

## Permisos para configurar la versión predeterminada de una política
<a name="policy-version-permissions"></a>

Los permisos que se requieren para establecer la versión predeterminada de una política corresponden a las operaciones de API de AWS para la tarea. Puede utilizar las operaciones de API `CreatePolicyVersion` o `SetDefaultPolicyVersion` para establecer la versión predeterminada de una política. Para permitir que alguien establezca la versión predeterminada de una política existente, puede permitir el acceso a la acción `iam:CreatePolicyVersion` o a la acción `iam:SetDefaultPolicyVersion`. La acción `iam:CreatePolicyVersion` permite crear una nueva versión de la política y establecerla como predeterminada. La acción `iam:SetDefaultPolicyVersion` permite definir cualquier versión existente de la política como predeterminada.

**importante**  
Para evitar que un usuario realice cambios en la versión predeterminada de una política, debe denegar tanto `iam:CreatePolicyVersion` como `iam:SetDefaultPolicyVersion`.

Puede utilizar la siguiente política para denegar a un usuario el acceso para cambiar una política existente administrada por el cliente:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "iam:CreatePolicyVersion",
                "iam:SetDefaultPolicyVersion"
            ],
            "Resource": "arn:aws:iam::*:policy/POLICY-NAME"
        }
    ]
}
```

------

## Configuración de la versión predeterminada de políticas administradas por el cliente
<a name="default-version"></a>

Una de las versiones de una política administrada se establece como la versión *predeterminada*. La versión predeterminada de la política es la versión operativa, es decir, se trata de la versión que está en vigor para todas las entidades principales (usuarios de IAM, grupos de IAM y roles de IAM) a las que la política administrada está asociada. 

Al crear una política administrada por el cliente, la política comienza con una única versión identificada como v1. En el caso de las políticas administradas con una versión única, dicha versión se establece automáticamente como la opción predeterminada. En el caso de las políticas administradas por el cliente con más de una versión, puede seleccionar la versión que quiere establecer como la opción predeterminada. En el caso de las políticas administradas por AWS, AWS establece la versión predeterminada. Los siguientes diagramas ilustran este concepto. 

![\[Política administrada con una versión única, que es la versión predeterminada\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-managed-policies-versions-default-one.diagram.png)




![\[Política administrada por el cliente con tres versiones, donde la versión v2 es la versión predeterminada.\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-managed-policies-versions-default-multiple.diagram.png)


Puede establecer la versión predeterminada de una política administrada por el cliente para aplicar dicha versión a cada identidad de IAM (usuario, grupo de usuarios y rol) a la que la política está asociada. No puede establecer la versión predeterminada de una política administrada por AWS o una política insertada.

**Para establecer la versión predeterminada de una política administrada por el cliente (consola)**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Políticas**.

1. En la lista de políticas, elija el nombre de la política de la que desea establecer la versión predeterminada. Puede utilizar el cuadro de búsqueda para filtrar la lista de políticas.

1. Elija la pestaña **Policy versions (Versiones de la política)**. Active la casilla de verificación situada junto a la versión que desea establecer como la versión predeterminada y, a continuación, elija **Establecer como predeterminada**.

Para descubrir cómo establecer la versión predeterminada de una política administrada por el cliente desde AWS Command Line Interface o la API de AWS, consulte [Edición de políticas de IAM (AWS CLI)](access_policies_manage-edit-cli.md). 

# Edición de políticas de IAM
<a name="access_policies_manage-edit"></a>

Una [política](access_policies.md) es una entidad que, cuando se asocia a una identidad o recurso, define sus permisos. Las políticas se almacenan en AWS como documentos JSON y se asocian a entidades principales como *políticas basadas en identidad* en IAM. Puede asociar una política basada en la identidad a una entidad principal (o identidad), como un grupo de usuarios, usuario o rol de IAM. Las políticas basadas en identidad incluyen políticas administradas por AWS, políticas administradas por el cliente y [políticas insertadas](access_policies_managed-vs-inline.md). Solo puede editar las políticas administradas por el cliente y las políticas insertadas en IAM. Las políticas administradas por AWS no se pueden editar. El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte [IAM y cuotas de AWS STS](reference_iam-quotas.md).

Por lo general, es mejor utilizar políticas administradas por el cliente en lugar de políticas insertadas o administradas de AWS. Las políticas administradas de AWS suelen proporcionar permisos administrativos amplios o de solo lectura. Las políticas insertadas no se pueden reutilizar en otras identidades ni administrarse fuera de la identidad donde existen. Para mayor seguridad, [conceda privilegios mínimos](best-practices.md#grant-least-privilege), es decir, solo conceda los permisos necesarios a fin de realizar tareas específicas.

Al crear o editar políticas de IAM, AWS puede realizar automáticamente la validación de políticas para ayudarle a crear una política eficaz con el menor privilegio en mente. En Consola de administración de AWS, IAM identifica errores de sintaxis JSON, mientras que IAM Access Analyzer proporciona verificaciones de políticas adicionales con recomendaciones para ayudarle a perfeccionar aún más las políticas. Para obtener más información acerca la validación de políticas, consulte [Validación de la política de IAM](access_policies_policy-validator.md). Para obtener más información acerca de las verificaciones de políticas de Analizador de acceso de IAM y las recomendaciones procesables, consulte [Validación de políticas de Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html).

Puede utilizar la Consola de administración de AWS, la AWS CLI o la API de AWS para editar políticas administradas por el cliente y políticas insertadas en IAM. Para más información sobre el uso de plantillas CloudFormation para agregar o actualizar políticas, consulte la [referencia del tipo de recurso de AWS Identity and Access Management](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) en la *Guía del usuario de CloudFormation*.

**Topics**
+ [Edición de políticas de IAM (consola)](access_policies_manage-edit-console.md)
+ [Edición de políticas de IAM (AWS CLI)](access_policies_manage-edit-cli.md)
+ [Edición de políticas de IAM (API de AWS)](access_policies_manage-edit-api.md)

# Edición de políticas de IAM (consola)
<a name="access_policies_manage-edit-console"></a>

Una [política](access_policies.md) es una entidad que, cuando se asocia a una identidad o recurso, define sus permisos. Puede utilizar la Consola de administración de AWS para editar las *políticas administradas por el cliente* y las *políticas insertadas* en IAM. Las políticas administradas de AWS no se pueden editar. El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte [IAM y cuotas de AWS STS](reference_iam-quotas.md).

Para obtener más información sobre la estructura y la sintaxis de la política, consulte las secciones [Políticas y permisos en AWS Identity and Access Management](access_policies.md) y [Referencia de los elementos de la política de JSON de IAM](reference_policies_elements.md).

## Requisitos previos
<a name="edit-customer-managed-policy-console-prerequisites"></a>

Antes de cambiar los permisos para una política, debe revisar su actividad de nivel de servicio reciente. Esto es importante porque no desea eliminar el acceso de un principal (persona o aplicación) que está utilizándolo. Para obtener más información acerca de cómo ver la información de acceso reciente, consulte [Ajuste de permisos en AWS con información sobre los últimos accesos](access_policies_last-accessed.md).

## Edición de políticas administradas por el cliente (Consola)
<a name="edit-customer-managed-policy-console"></a>

Puede editar políticas administradas por el cliente para cambiar los permisos definidos en la política desde la Consola de administración de AWS. Una política administrada por el cliente puede tener hasta cinco versiones. Esto es importante ya que si realiza cambios a partir de la quinta versión de la política administrada, la Consola de administración de AWS le pedirá que decida cuál de las versiones anteriores quiere eliminar. También puede cambiar la versión predeterminada o eliminar una versión de una política antes de editarla para evitar indicaciones. Para obtener más información sobre las versiones de , consulte [Control de versiones de políticas de IAM](access_policies_managed-versioning.md).

------
#### [ Console ]

**Para editar una política administrada por el cliente**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Políticas**.

1. En la lista de políticas, elija el nombre de la política que desea editar. Puede utilizar el cuadro de búsqueda para filtrar la lista de políticas.

1. Seleccione la pestaña **Permisos** y, a continuación, **Editar**. 

1. Realice una de las siguientes acciones:
   + Seleccione la opción **Visual** para cambiar la política sin conocer la sintaxis JSON. Puede realizar cambios en el servicio, acciones, recursos o condiciones opcionales para cada bloque de permisos en su política. También puede importar una política para añadir permisos adicionales en la parte inferior de la política. Cuando haya terminado con los cambios, seleccione **Siguiente** para continuar.
   + Seleccione la opción **JSON** para modificar la política escribiendo o pegando texto en el cuadro de texto JSON. También puede importar una política para añadir permisos adicionales en la parte inferior de la política. Resuelva las advertencias de seguridad, errores o advertencias generales generadas durante la [validación de política](access_policies_policy-validator.md) y luego elija **Siguiente**. 
**nota**  
Puede alternar entre las opciones **Visual** y **JSON** del editor en todo momento. No obstante, si realiza cambios o selecciona **Siguiente** en la opción **Visual** del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte [Reestructuración de políticas](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. En la página **Revisar y guardar**, revise los **Permisos definidos en esta política** y, a continuación, seleccione **Guardar cambios** para guardar su trabajo.

1. Si la política administrada ya tiene el máximo de cinco versiones, al seleccionar **Guardar cambios** aparecerá un cuadro de diálogo. Para guardar la nueva versión, se elimina la versión no predeterminada más antigua de la política y se sustituye con esta nueva versión. También puede configurar la nueva versión como versión predeterminada de la política.

   Seleccione **Guardar cambios** para guardar la nueva versión de la política.

------

## Configuración de la versión predeterminada de una política administrada por el cliente (consola)
<a name="edit-customer-managed-policy-console-set-default-policy-version"></a>

Puede configurar una versión predeterminada de una política administrada por el cliente desde la Consola de administración de AWS. Puede usar esta política para establecer una configuración de línea de base coherente para los permisos en toda la organización. Todos los adjuntos nuevos de la política utilizarán este conjunto estandarizado de permisos.

------
#### [  Console  ]

**Para establecer la versión predeterminada de una política administrada por el cliente (consola)**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Políticas**.

1. En la lista de políticas, elija el nombre de la política de la que desea establecer la versión predeterminada. Puede utilizar el cuadro de búsqueda para filtrar la lista de políticas.

1. Elija la pestaña **Policy versions (Versiones de la política)**. Active la casilla de verificación situada junto a la versión que desea establecer como la versión predeterminada y, a continuación, elija **Set as default (Establecer como predeterminada)**.

------

## Eliminación de una versión de una política administrada por el cliente (consola)
<a name="edit-customer-managed-policy-console-delete-policy-version"></a>

Es posible que tenga que eliminar una versión de una política administrada por el cliente para eliminar los permisos desactualizados o incorrectos que ya no sean necesarios o que supongan posibles riesgos de seguridad. Al mantener solo las versiones necesarias, puede ayudar a garantizar que se mantenga dentro del límite de cinco versiones de políticas administradas, lo que deja espacio para futuras actualizaciones y mejoras. Puede eliminar una versión de una política administrada por el cliente desde la Consola de administración de AWS.

------
#### [ Console ]

**Para eliminar una versión de una política administrada por el cliente**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Políticas**.

1. Elija el nombre de la política administrada por el cliente que tenga una versión que desea eliminar. Puede utilizar el cuadro de búsqueda para filtrar la lista de políticas.

1. Elija la pestaña **Policy versions (Versiones de la política)**. Seleccione la casilla de verificación situada junto a la versión que desea eliminar. A continuación, elija **Eliminar**.

1. Confirme que desea eliminar la versión y, a continuación, seleccione **Delete (Eliminar)**.

------

## Edición de políticas insertadas (consola)
<a name="edit-inline-policy-console"></a>

Es posible que tenga que editar una política administrada por el cliente para actualizar o ajustar los permisos concedidos, lo que garantiza que estén alineados con los requisitos de seguridad y las necesidades de control de acceso en constante evolución de la organización. Editar le permite ajustar el documento JSON de la política, agregar, modificar o eliminar acciones, recursos o condiciones específicos para mantener el principio del privilegio mínimo y adaptarse a los cambios en el entorno o los procesos. Puede editar una política insertada desde la Consola de administración de AWS.

------
#### [ Console ]

**Edición de una política insertada para un grupo de usuarios, un usuario o un rol**

1. En el panel de navegación, elija **Grupos de usuarios**, **Usuarios** o **Roles**.

1. Seleccione el nombre del grupo de usuarios, usuario o rol que tenga la política que quiere modificar. A continuación, seleccione la pestaña **Permissions (Permisos)** y expanda la política.

1. Para editar una política insertada, elija **Edit policy (Editar política)**. 

1. Realice una de las siguientes acciones:
   + Seleccione la opción **Visual** para cambiar la política sin conocer la sintaxis JSON. Puede realizar cambios en el servicio, acciones, recursos o condiciones opcionales para cada bloque de permisos en su política. También puede importar una política para añadir permisos adicionales en la parte inferior de la política. Cuando haya terminado con los cambios, seleccione **Siguiente** para continuar.
   + Seleccione la opción **JSON** para modificar la política escribiendo o pegando texto en el cuadro de texto JSON. También puede importar una política para añadir permisos adicionales en la parte inferior de la política. Resuelva las advertencias de seguridad, errores o advertencias generales que se generen durante la[ validación de la política](access_policies_policy-validator.md) y luego elija **Siguiente**. Para guardar los cambios sin afectar a las entidades asociadas actualmente, desactive la casilla de verificación **Save as default version (Guardar como versión predeterminada)**.
**nota**  
Puede alternar entre las opciones **Visual** y **JSON** del editor en todo momento. No obstante, si realiza cambios o selecciona **Siguiente** en la opción **Visual** del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte [Reestructuración de políticas](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. En la página **Revisar**, revise el resumen de la política y después seleccione **Guardar cambios** para guardar su trabajo.

------

# Edición de políticas de IAM (AWS CLI)
<a name="access_policies_manage-edit-cli"></a>

Una [política](access_policies.md) es una entidad que, cuando se asocia a una identidad o recurso, define sus permisos. Puede utilizar la AWS Command Line Interface (AWS CLI) para editar las *políticas administradas por el cliente* y las *políticas insertadas* en IAM. Las políticas administradas de AWS no se pueden editar. El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte [IAM y cuotas de AWS STS](reference_iam-quotas.md).

Para obtener más información sobre la estructura y la sintaxis de la política, consulte las secciones [Políticas y permisos en AWS Identity and Access Management](access_policies.md) y [Referencia de los elementos de la política de JSON de IAM](reference_policies_elements.md).

## Requisitos previos
<a name="edit-customer-managed-policy-cli-prerequisites"></a>

Antes de cambiar los permisos para una política, debe revisar su actividad de nivel de servicio reciente. Esto es importante porque no desea eliminar el acceso de un principal (persona o aplicación) que está utilizándolo. Para obtener más información acerca de cómo ver la información de acceso reciente, consulte [Ajuste de permisos en AWS con información sobre los últimos accesos](access_policies_last-accessed.md).

## Edición de políticas administradas por el cliente (AWS CLI)
<a name="edit-customer-managed-policy-cli"></a>

Puede editar una política administrada por el cliente desde AWS CLI.

**nota**  
Una política administrada puede tener hasta cinco versiones. Si necesita realizar cambios a partir de la quinta versión de la política administrada del cliente, primero debe eliminar una o varias de las versiones anteriores.

**Para editar una política administrada por el cliente (AWS CLI)**

1. (Opcional) Para ver información de topología sobre una política, ejecute los siguientes comandos:
   + Para enumerar las políticas administradas: [list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Para recuperar información detallada sobre una política administrada: [get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)

1. (Opcional) Para obtener información acerca de las relaciones entre las políticas e identidades, ejecute los siguientes comandos:
   + Para enumerar las identidades (usuarios de IAM, grupos de IAM y roles de IAM) a los que está asociada una política administrada: 
     + [list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)
   + Para enumerar las políticas administradas asociadas a una identidad (un usuario, grupo de usuarios o rol):
     + [list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)
     + [list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html)
     + [list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html)

1. Para editar una política administrada por el cliente, ejecute el siguiente comando:
   + [create-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy-version.html)

1. (Opcional) Para validar una política administrada por el cliente, ejecute el siguiente comando de IAM Access Analyzer:
   + [validate-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)

## Configuración de la versión predeterminada de una política administrada por el cliente (AWS CLI)
<a name="edit-customer-managed-policy-cli-set-default-policy-version"></a>

Puede configurar una versión predeterminada de una política administrada por el cliente desde la AWS CLI.

**Para establecer la versión predeterminada de una política administrada por el cliente (AWS CLI)**

1. (Opcional) Para obtener una lista de políticas administradas, ejecute el siguiente comando:
   + [list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)

1. Para establecer la versión predeterminada de una política administrada por el cliente, ejecute el siguiente comando:
   + [set-default-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/set-default-policy-version.html)

## Eliminación de una versión de una política administrada por el cliente (AWS CLI)
<a name="edit-customer-managed-policy-cli-delete-policy-version"></a>

Puede eliminar una versión de una política administrada por el cliente desde la AWS CLI.

**Para eliminar una versión de una política administrada por el cliente (AWS CLI)**

1. (Opcional) Para obtener una lista de políticas administradas, ejecute el siguiente comando:
   + [list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)

1. Para eliminar una política administrada por el cliente, ejecute el siguiente comando:
   + [delete-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-policy-version.html)

## Edición de políticas insertadas (AWS CLI)
<a name="edit-inline-policy-cli"></a>

Puede editar una política insertada desde la AWS CLI.

**Cómo editar una política insertada (AWS CLI)**

1. (Opcional) Para ver información de topología sobre una política, ejecute los siguientes comandos:
   + Para enumerar las políticas insertadas asociadas a una identidad (un usuario, grupo de usuarios o rol): 
     + [list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)
     + [list-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-role-policies.html)
     + [list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html)
   + Para recuperar información detallada sobre una política insertada: 
     + [get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)
     + [get-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role-policy.html)
     + [get-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group-policy.html)

1. Para editar una política insertada, ejecute el siguiente comando:
   + [put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)
   + [put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)
   + [put-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html)

1. (Opcional) Para validar una política insertada, ejecute el siguiente comando del Analizador de acceso de IAM:
   + [validate-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html)

# Edición de políticas de IAM (API de AWS)
<a name="access_policies_manage-edit-api"></a>

Una [política](access_policies.md) es una entidad que, cuando se asocia a una identidad o recurso, define sus permisos. Puede utilizar la API de AWS para editar las *políticas administradas por el cliente* y las *políticas insertadas* en IAM. Las políticas administradas de AWS no se pueden editar. El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte [IAM y cuotas de AWS STS](reference_iam-quotas.md).

Para obtener más información sobre la estructura y la sintaxis de la política, consulte las secciones [Políticas y permisos en AWS Identity and Access Management](access_policies.md) y [Referencia de los elementos de la política de JSON de IAM](reference_policies_elements.md).

## Requisitos previos
<a name="edit-customer-managed-policy-api-prerequisites"></a>

Antes de cambiar los permisos para una política, debe revisar su actividad de nivel de servicio reciente. Esto es importante porque no desea eliminar el acceso de un principal (persona o aplicación) que está utilizándolo. Para obtener más información acerca de cómo ver la información de acceso reciente, consulte [Ajuste de permisos en AWS con información sobre los últimos accesos](access_policies_last-accessed.md).

## Edición de políticas administradas por el cliente (API de AWS)
<a name="edit-customer-managed-policy-api"></a>

Puede editar una política administrada por el cliente con la API de AWS.

**nota**  
Una política administrada puede tener hasta cinco versiones. Si necesita realizar cambios a partir de la quinta versión de la política administrada del cliente, primero debe eliminar una o varias de las versiones anteriores.

**Para editar una política administrada por el cliente (API de AWS)**

1. (Opcional) Para ver información de topología sobre una política, llame a las siguientes operaciones:
   + Para enumerar las políticas administradas: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Para recuperar información detallada sobre una política administrada: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. (Opcional) Para obtener información acerca de las relaciones entre las políticas e identidades, llame a las siguientes operaciones:
   + Para enumerar las identidades (usuarios de IAM, grupos de IAM y roles de IAM) a los que está asociada una política administrada: 
     + [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)
   + Para enumerar las políticas administradas asociadas a una identidad (un usuario, grupo de usuarios o rol):
     + [ListAttachedUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html)
     + [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html)
     + [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html)

1. Para editar una política administrada por el cliente, llame a la siguiente operación:
   + [CreatePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreatePolicyVersion.html)

1. (Opcional) Para validar una política administrada por el cliente, llame a la siguiente operación de IAM Access Analyzer:
   + [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)

## Configuración de la versión predeterminada de una política administrada por el cliente (API de AWS)
<a name="edit-customer-managed-policy-api-set-default-policy-version"></a>

Puede configurar una versión predeterminada de una política administrada por el cliente desde la API de AWS.

**Para establecer la versión predeterminada de una política administrada por el cliente (API de AWS)**

1. (Opcional) Para obtener una lista de políticas administradas, llame a la siguiente operación:
   + [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)

1. Para establecer la versión predeterminada de una política administrada por el cliente, llame a la siguiente operación:
   + [SetDefaultPolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SetDefaultPolicyVersion.html)

## Eliminación de una versión de una política administrada por el cliente (API de AWS)
<a name="edit-customer-managed-policy-api-delete-policy-version"></a>

Puede eliminar una versión de una política administrada por el cliente (API de AWS).

**Para eliminar una versión de una política administrada por el cliente (API de AWS)**

1. (Opcional) Para obtener una lista de políticas administradas, llame a la siguiente operación:
   + [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)

1. Para eliminar una política administrada por el cliente, llame a la siguiente operación:
   + [DeletePolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicyVersion.html)

## Edición de políticas insertadas (API de AWS)
<a name="edit-inline-policy-api"></a>

Puede editar una política insertada desde la API de AWS.

**Cómo editar una política insertada (API de AWS)**

1. (Opcional) Para ver información sobre una política insertada, realice a las siguientes operaciones:
   + Para enumerar las políticas insertadas asociadas a una identidad (un usuario, grupo de usuarios o rol): 
     + [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)
     + [ListRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRolePolicies.html)
     + [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html)
   + Para recuperar información detallada sobre una política insertada: 
     + [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)
     + [GetRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRolePolicy.html)
     + [GetGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroupPolicy.html)

1. Para editar una política insertada, realice las siguientes operaciones:
   + [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)
   + [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)
   + [PutGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutGroupPolicy.html)

1. (Opcional) Para validar una política insertada, realice a la siguiente operación del Analizador de acceso de IAM:
   + [ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)

# Eliminación de políticas de IAM
<a name="access_policies_manage-delete"></a>

Puede eliminar políticas de IAM mediante la Consola de administración de AWS, la AWS Command Line Interface (AWS CLI) o la API de AWS.

**nota**  
La eliminación de las políticas de IAM es permanente. Una vez que se elimina la política, no se puede recuperar.

Para obtener más información sobre la estructura y la sintaxis de la política de IAM, consulte [Políticas y permisos en AWS Identity and Access Management](access_policies.md) y las [Referencia de los elementos de la política de JSON de IAM](reference_policies_elements.md).

Para obtener más información acerca de la diferencia entre las políticas administradas e insertadas, consulte [Políticas administradas y políticas insertadas](access_policies_managed-vs-inline.md). 

El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte [IAM y cuotas de AWS STS](reference_iam-quotas.md).

**Topics**
+ [Eliminación de políticas de IAM (consola)](access_policies_manage-delete-console.md)
+ [Eliminación de políticas de IAM (AWS CLI)](access_policies_manage-delete-cli.md)
+ [Eliminación de políticas de IAM (API de AWS)](access_policies_manage-delete-api.md)

# Eliminación de políticas de IAM (consola)
<a name="access_policies_manage-delete-console"></a>

Puede utilizar la Consola de administración de AWS para eliminar las *políticas administradas por el cliente* y las *políticas insertadas* en IAM. El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte [IAM y cuotas de AWS STS](reference_iam-quotas.md).

**nota**  
La eliminación de las políticas de IAM es permanente. Una vez que se elimina la política, no se puede recuperar.

Para obtener más información sobre la estructura y la sintaxis de la política de IAM, consulte [Políticas y permisos en AWS Identity and Access Management](access_policies.md) y las [Referencia de los elementos de la política de JSON de IAM](reference_policies_elements.md).

Para obtener más información acerca de la diferencia entre las políticas administradas e insertadas, consulte [Políticas administradas y políticas insertadas](access_policies_managed-vs-inline.md). 

## Requisitos previos
<a name="delete-policy-prerequisites-console"></a>

Antes de eliminar una política debe revisar su actividad de nivel de servicio reciente. Esto es importante porque no desea eliminar el acceso de un principal (persona o aplicación) que está utilizándolo. Para obtener más información acerca de cómo ver la información de acceso reciente, consulte [Ajuste de permisos en AWS con información sobre los últimos accesos](access_policies_last-accessed.md).

## Eliminar políticas de IAM (Consola)
<a name="delete-customer-managed-policy-console"></a>

Es posible que tenga que eliminar una política administrada por el cliente cuando quede obsoleta o deje de ajustarse a los requisitos de seguridad y las necesidades de control de acceso de su organización. Al eliminar las políticas innecesarias, reduce los posibles riesgos de seguridad asociados a las políticas obsoletas o no utilizadas. Puede eliminar una política administrada por el cliente para quitarla de su cuenta de Cuenta de AWS. No se puede eliminar políticas administradas por AWS.

------
#### [ Console ]

**Para eliminar una política administrada por el cliente**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Políticas**.

1. Seleccione el botón de radio situado junto a la política administrada por el cliente que desee eliminar. Puede utilizar el cuadro de búsqueda para filtrar la lista de políticas.

1. Elija **Acciones** y, a continuación, elija **Eliminar**.

1. Siga las instrucciones para confirmar que desea eliminar la política y, a continuación, seleccione **Eliminar**.

------

## Eliminación de políticas insertadas (consola)
<a name="delete-inline-policy-console"></a>

Es posible que tenga que eliminar una política insertada cuando los permisos específicos que concede ya no sean necesarios para el rol, el grupo o el usuario de IAM al que está directamente adjunta. Eliminar las políticas insertadas innecesarias ayuda a reducir el riesgo de acceso no deseado, especialmente porque las políticas insertadas no se pueden reutilizar ni compartir entre varias identidades, como ocurre con las políticas administradas. Puede eliminar una política insertada para quitarla de su Cuenta de AWS. No se puede eliminar políticas administradas por AWS.

------
#### [ Console ]

**Edición o eliminación de una política insertada de un rol, un grupo o un usuario de IAM**

1. En el panel de navegación, elija **Grupos de usuarios**, **Usuarios** o **Roles**.

1. Seleccione el nombre del grupo de usuarios, usuario o rol que tenga la política que desea eliminar. Después seleccione la pestaña **Permissions (Permisos)**.

1. Seleccione las casillas de verificación situadas junto a las políticas que desee eliminar, y luego **Eliminar**. A continuación, en el cuadro de diálogo de confirmación, confirme la eliminación de la política.
   + Para eliminar una política insertada en **Usuarios** o **Roles**, seleccione **Eliminar** con el fin de confirmar su eliminación.
   + Si va a eliminar una única política insertada en **Grupos de usuarios**, escriba el nombre de la política y elija **Eliminar**. Si va a eliminar varias políticas insertadas en **Grupos de usuarios**, escriba el número de políticas que está eliminando seguido de **inline policies** y elija **Eliminar**. Por ejemplo, si va a eliminar tres políticas insertadas, escriba **3 inline policies**.

------

# Eliminación de políticas de IAM (AWS CLI)
<a name="access_policies_manage-delete-cli"></a>

Puede utilizar la AWS Command Line Interface (AWS CLI) para eliminar las *políticas administradas por el cliente* y las *políticas insertadas* en IAM. El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte [IAM y cuotas de AWS STS](reference_iam-quotas.md).

**nota**  
La eliminación de las políticas de IAM es permanente. Una vez que se elimina la política, no se puede recuperar.

Para obtener más información sobre la estructura y la sintaxis de la política de IAM, consulte [Políticas y permisos en AWS Identity and Access Management](access_policies.md) y las [Referencia de los elementos de la política de JSON de IAM](reference_policies_elements.md).

Para obtener más información acerca de la diferencia entre las políticas administradas e insertadas, consulte [Políticas administradas y políticas insertadas](access_policies_managed-vs-inline.md). 

## Requisitos previos
<a name="delete-policy-prerequisites-cli"></a>

Antes de eliminar una política debe revisar su actividad de nivel de servicio reciente. Esto es importante porque no desea eliminar el acceso de un principal (persona o aplicación) que está utilizándolo. Para obtener más información acerca de cómo ver la información de acceso reciente, consulte [Ajuste de permisos en AWS con información sobre los últimos accesos](access_policies_last-accessed.md).

## Eliminación de políticas administradas por el cliente (AWS CLI)
<a name="delete-customer-managed-policy-cli"></a>

Puede eliminar una política administrada por el cliente desde AWS Command Line Interface.

**Para eliminar una política administrada por el cliente (AWS CLI)**

1. (Opcional) Para ver información de topología sobre una política, ejecute los siguientes comandos:
   + Para enumerar las políticas administradas: [list-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies.html)
   + Para recuperar información detallada sobre una política administrada: [get-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy.html)

1. (Opcional) Para obtener información acerca de las relaciones entre las políticas e identidades, ejecute los siguientes comandos:
   + Para enumerar las identidades (usuarios de IAM, grupos de IAM y roles de IAM) a los que está asociada una política administrada, ejecute el siguiente comando: 
     + [list-entities-for-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/list-entities-for-policy.html)
   + Para enumerar las políticas administradas asociadas a una identidad (un usuario, grupo de usuarios o rol), ejecute uno de los siguientes comandos:
     + [list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)
     + [list-attached-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-group-policies.html)
     + [list-attached-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-role-policies.html)

1. Para eliminar una política administrada por el cliente, ejecute el siguiente comando:
   + [delete-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-policy.html)

## Eliminación de políticas insertadas (AWS CLI)
<a name="delete-inline-policy-cli"></a>

Puede eliminar una política insertada desde la AWS CLI.

**Para eliminar una política insertada (AWS CLI)**

1. (Opcional) Para enumerar todas las políticas insertadas asociadas a una identidad (un usuario, grupo de usuarios o rol), utilice uno de los siguientes comandos:
   + [aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)
   + [aws iam list-group-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-group-policies.html)
   + [aws iam list-role-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-role-policies.html)

1. (Opcional) Para recuperar un documento de política insertada integrada en una identidad (usuario, grupo de usuarios o rol que no sea un rol vinculado a un servicio), utilice uno de los siguientes comandos:
   + [aws iam get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)
   + [aws iam get-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group-policy.html)
   + [aws iam get-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role-policy.html)

1. Para eliminar una política insertada de una identidad (usuario, grupo de usuarios o rol que no sea un rol *[vinculado a un servicio](id_roles.md#iam-term-service-linked-role)*), utilice uno de los siguientes comandos:
   + [aws iam delete-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html)
   + [aws iam delete-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-group-policy.html)
   + [aws iam delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)

# Eliminación de políticas de IAM (API de AWS)
<a name="access_policies_manage-delete-api"></a>

Puede utilizar la API de AWS para eliminar las *políticas administradas por el cliente* y las *políticas insertadas* en IAM. El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte [IAM y cuotas de AWS STS](reference_iam-quotas.md).

**nota**  
La eliminación de las políticas de IAM es permanente. Una vez que se elimina la política, no se puede recuperar.

Para obtener más información sobre la estructura y la sintaxis de la política de IAM, consulte [Políticas y permisos en AWS Identity and Access Management](access_policies.md) y las [Referencia de los elementos de la política de JSON de IAM](reference_policies_elements.md).

Para obtener más información acerca de la diferencia entre las políticas administradas e insertadas, consulte [Políticas administradas y políticas insertadas](access_policies_managed-vs-inline.md). 

## Requisitos previos
<a name="delete-policy-prerequisites-api"></a>

Antes de eliminar una política debe revisar su actividad de nivel de servicio reciente. Esto es importante porque no desea eliminar el acceso de un principal (persona o aplicación) que está utilizándolo. Para obtener más información acerca de cómo ver la información de acceso reciente, consulte [Ajuste de permisos en AWS con información sobre los últimos accesos](access_policies_last-accessed.md).

## Eliminación de políticas administradas por el cliente (API de AWS)
<a name="delete-customer-managed-policy-api"></a>

Puede eliminar una política administrada por el cliente con la API de AWS.

**Para eliminar una política administrada por el cliente (API de AWS)**

1. (Opcional) Para ver información de topología sobre una política, llame a las siguientes operaciones:
   + Para enumerar las políticas administradas: [ListPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPolicies.html)
   + Para recuperar información detallada sobre una política administrada: [GetPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicy.html)

1. (Opcional) Para obtener información acerca de las relaciones entre las políticas e identidades, llame a las siguientes operaciones:
   + Para enumerar las identidades (usuarios de IAM, grupos de IAM y roles de IAM) a los que está asociada una política administrada, llame a la siguiente operación: 
     + [ListEntitiesForPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListEntitiesForPolicy.html)
   + Para enumerar las políticas administradas asociadas a una identidad (un usuario, grupo de usuarios o rol), llame a una de las siguientes operaciones:
     + [ListAttachedUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html)
     + [ListAttachedGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedGroupPolicies.html)
     + [ListAttachedRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedRolePolicies.html)

1. Para eliminar una política administrada por el cliente, llame a la siguiente operación:
   + [DeletePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeletePolicy.html)

## Eliminación de políticas insertadas (API de AWS)
<a name="delete-inline-policy-api"></a>

Puede eliminar una política insertada mediante la API de AWS.

**Para eliminar una política insertada (API de AWS)**

1. (Opcional) Para enumerar todas las políticas insertadas asociadas a una identidad (un usuario, grupo de usuarios o rol), llame a una de las siguientes operaciones:
   + [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)
   + [ListGroupPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupPolicies.html)
   + [ListRolePolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListRolePolicies.html)

1. (Opcional) Para recuperar un documento de política insertada integrada en una identidad (usuario, grupo de usuarios o rol que no sea un rol vinculado a un servicio), llame a una de las siguientes operaciones:
   + [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)
   + [GetGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroupPolicy.html)
   + [GetRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRolePolicy.html)

1. Para eliminar una política insertada de una identidad (usuario, grupo de usuarios o rol que no sea un rol *[vinculado a un servicio](id_roles.md#iam-term-service-linked-role)*), llame a una de las siguientes operaciones:
   + [DeleteUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html)
   + [DeleteGroupPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteGroupPolicy.html)
   + [DeleteRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteRolePolicy.html)

# Ajuste de permisos en AWS con información sobre los últimos accesos
<a name="access_policies_last-accessed"></a>

Como administrador, puede conceder permisos a recursos de IAM (roles, usuarios, grupos de usuarios o políticas) más allá de lo que necesitan. IAM proporciona información sobre los últimos accesos, lo que puede permitirle identificar los permisos que no se han utilizado para eliminarlos. Puede utilizar la información sobre los últimos accesos para perfeccionar las políticas y permitir el acceso exclusivo a los servicios y acciones que las identidades y políticas de IAM utilizan. Esto le permite cumplir mejor las [prácticas recomendadas del principio de privilegio mínimo](best-practices.md#grant-least-privilege). Puede consultar la información sobre los últimos accesos de identidades o políticas existentes en IAM o AWS Organizations.

Puede supervisar continuamente la información a la que se accedió por última vez con analizadores de acceso no utilizados. Para obtener más información, consulte [Resultados de acceso externo y no utilizado](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html).

**Topics**
+ [Tipos de información para IAM sobre los últimos accesos](#access_policies_last-accessed-data-types)
+ [Información de acceso reciente de AWS Organizations](#access_policies_last-accessed-orgs)
+ [Cosas que debe saber sobre la información de acceso reciente](#access_policies_last-accessed-know)
+ [Permisos necesarios](#access_policies_last-accessed-permissions)
+ [Actividad de resolución de problemas para entidades de AWS Organizations e IAM](#access_policies_last-accessed-troubleshooting)
+ [Dónde AWS se hace un seguimiento de la información de acceso reciente](#last-accessed_tracking-period)
+ [Ver la información a la que se tuvo acceso por última vez correspondiente a IAM](access_policies_last-accessed-view-data.md)
+ [Visualización de información de acceso reciente de AWS Organizations](access_policies_last-accessed-view-data-orgs.md)
+ [Ejemplos de escenarios sobre el uso de información de acceso reciente](access_policies_last-accessed-example-scenarios.md)
+ [Servicios y acciones de la información sobre los últimos accesos a la acción de IAM](access_policies_last-accessed-action-last-accessed.md)

## Tipos de información para IAM sobre los últimos accesos
<a name="access_policies_last-accessed-data-types"></a>

Puede ver dos tipos de información sobre los últimos accesos para las identidades de IAM: información sobre los servicios de AWS permitidos e información sobre las acciones permitidas. Esta información incluye la fecha y la hora en las que se intentó acceder a la API de AWS. En el caso de las acciones, la información sobre los últimos accesos brinda información sobre las acciones de administración del servicio. Las acciones de la gerencia incluyen la creación, eliminación y modificación de acciones. Para conocer más acerca de cómo ver la información de IAM sobre los últimos accesos, consulte [Ver la información a la que se tuvo acceso por última vez correspondiente a IAM](access_policies_last-accessed-view-data.md).

Si desea ver escenarios de ejemplo en los que la información sobre los últimos accesos se utiliza para tomar decisiones sobre los permisos concedidos a las identidades de IAM, consulte [Ejemplos de escenarios sobre el uso de información de acceso reciente](access_policies_last-accessed-example-scenarios.md).

Para obtener más información acerca de cómo se suministra la información sobre las acciones de administración, consulte [Cosas que debe saber sobre la información de acceso reciente](#access_policies_last-accessed-know).

## Información de acceso reciente de AWS Organizations
<a name="access_policies_last-accessed-orgs"></a>

Si inicia sesión con las credenciales de la cuenta de administración, podrá ver información sobre los últimos accesos a servicios de una política o entidad de AWS Organizations de la organización. Las entidades de AWS Organizations pueden ser cuentas, unidades organizativas o la raíz de la organización. En la información de acceso reciente de AWS Organizations, se incluyen los servicios permitidos por una política de control de servicios (SCP). Esta información indica qué entidades principales (usuario raíz, usuario de IAM o rol) en una organización o cuenta intentaron acceder por última vez al servicio, además de cuándo lo hicieron. Para obtener más información sobre el informe y cómo consultar la información de AWS Organizations sobre acceso reciente, consulte [Visualización de información de acceso reciente de AWS Organizations](access_policies_last-accessed-view-data-orgs.md).

Si desea ver escenarios de ejemplo en los que la información de acceso reciente se utiliza para tomar decisiones sobre los permisos concedidos a las entidades de AWS Organizations, consulte [Ejemplos de escenarios sobre el uso de información de acceso reciente](access_policies_last-accessed-example-scenarios.md).

## Cosas que debe saber sobre la información de acceso reciente
<a name="access_policies_last-accessed-know"></a>

Antes de usar los datos de un informe con información de acceso reciente para cambiar los permisos de una identidad de IAM o entidad de AWS Organizations, revise la siguiente información.
+ **Periodo de seguimiento**: la actividad reciente aparece en la consola de IAM dentro de las cuatro horas. El periodo de seguimiento de la información sobre los servicios es de al menos 400 días, dependiendo de cuándo el servicio comenzó el seguimiento de la información sobre las acciones. El periodo de seguimiento de la información de las acciones de Amazon S3 comenzó el 12 de abril de 2020. El período de seguimiento de las acciones de Amazon EC2, IAM y Lambda comenzó el 7 de abril de 2021. El periodo de seguimiento de todos los demás servicios comenzó el 23 de mayo de 2023. Para ver una lista de los servicios sobre los que hay disponible información sobre los últimos accesos a la acción, consulte [Servicios y acciones de la información sobre los últimos accesos a la acción de IAM](access_policies_last-accessed-action-last-accessed.md). Para obtener más información sobre las regiones en las que hay disponible información sobre los últimos accesos a la acción, consulte [Dónde AWS se hace un seguimiento de la información de acceso reciente](#last-accessed_tracking-period).
+ **Intentos informados**: los datos de los últimos servicios a los que se ha accedido incluyen todos los intentos de acceso a una API de AWS, no solo los intentos que hayan funcionado. Esto incluye todos los intentos que se realizaron mediante la Consola de administración de AWS, la API de AWS a través de cualquiera de los SDK, o cualquiera de las herramientas de la línea de comandos. Una entrada inesperada en los datos de los últimos servicios a los que se ha accedido no significa que su cuenta se haya visto comprometida, ya que puede haberse denegado la solicitud. Consulte los logs de CloudTrail, como la fuente autorizada de información sobre todas las llamadas a la API, y si funcionaron o se les denegó el acceso.
+ **PassRole**: no se realiza ningún seguimiento de la acción `iam:PassRole` y esta acción no se incluye en la información de IAM sobre los últimos accesos.
+ **Información sobre los últimos accesos a la acción**: la información sobre los últimos accesos a la acción está disponible para las acciones de administración de servicios a las que acceden las identidades de IAM. Consulte la [lista de servicios y sus acciones](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed-action-last-accessed.html#access_policies_last-accessed-action-last-accessed-supported-actions) sobre los que se informa acerca de la acción a la que se accedió por última vez.
**nota**  
La información sobre los últimos accesos a la acción no está disponible para ningún evento de plano de datos.
+ **Eventos de administración**: IAM proporciona información sobre acciones para los eventos de administración de servicios que CloudTrail registra. A veces, los eventos de administración de CloudTrail también se denominan «operaciones de plano de control» o «eventos de plano de control». Los eventos de administración proporcionan visibilidad sobre las operaciones administrativas que se realizan en los recursos de su Cuenta de AWS. Para obtener más información sobre los eventos de administración en CloudTrail, consulte [Registro de eventos de administración](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html) en la *Guía del usuario AWS CloudTrail*.
+ **Propietario del informe**: solo la entidad principal que genera un informe puede ver los detalles del informe. Esto significa que, cuando consulte los datos en Consola de administración de AWS, es posible que tenga que esperar a que se generen y se carguen. Si utiliza la AWS CLI o la API de AWS para obtener los detalles del informe, sus credenciales deben coincidir con las credenciales de la entidad principal que generó el informe. Si utiliza credenciales temporales para un rol o una entidad principal de usuario federado de AWS STS, debe generar y recuperar el informe durante la misma sesión. Para obtener más información acerca de las entidades principales de sesión de rol asumible, consulte [AWS Elemento de la política de JSON de: Principal](reference_policies_elements_principal.md).
+ **Recursos de IAM**: la información sobre los últimos accesos para IAM incluye los recursos de IAM (roles, usuarios, grupos de IAM y políticas) en su cuenta. La información de acceso reciente al servicio de AWS Organizations incluye entidades principales (usuarios de IAM, roles de IAM o Usuario raíz de la cuenta de AWS) en la entidad de AWS Organizations especificada. La información sobre los últimos accesos no incluye los intentos no autenticados.
+ **Tipos de política de IAM**: la información sobre los últimos accesos para IAM incluye los servicios permitidos por las políticas de identidades de IAM. Estas son las políticas asociadas a un rol o asociadas a un usuario directamente o a través de un grupo. El acceso permitido por otros tipos de políticas no se incluye en su informe. Los tipos de políticas excluidos incluyen las políticas basadas en recursos, las listas de control de acceso, las SCP de AWS Organizations, los límites de permisos de IAM y las políticas de sesión. Los permisos que proporcionan los roles vinculados a servicios los define el servicio al que están vinculados y no se pueden modificar en IAM. Para obtener más información sobre los roles vinculados a servicios, consulte [Creación de un rol vinculado al servicio](id_roles_create-service-linked-role.md). Si necesita información acerca de cómo se evalúan los diferentes tipos de políticas para permitir o denegar el acceso, consulte [Lógica de evaluación de políticas](reference_policies_evaluation-logic.md).
+ **Tipos de políticas de AWS Organizations**: la información de AWS Organizations solo incluye los servicios permitidos por las políticas de control de servicio (SCP) heredadas de la entidad de AWS Organizations. Las SCP son políticas asociadas a una raíz, unidad organizativa o cuenta. El acceso permitido por otros tipos de políticas no se incluye en su informe. Los tipos de políticas excluidos incluyen las políticas basadas en identidades, las políticas basadas en recursos, las listas de control de acceso, los límites de permisos de IAM y las políticas de sesión. Para obtener información sobre cómo los diferentes tipos de políticas se evalúan para permitir o denegar el acceso, consulte [Lógica de evaluación de políticas](reference_policies_evaluation-logic.md).
+ **Especificación de un ID de política**: cuando usa AWS CLI o la API de AWS para generar un informe con información de acceso reciente de AWS Organizations, si lo desea, puede especificar el ID de una política. El informe resultante contendrá información sobre los servicios que están permitidos solo en esa política. Los datos contienen la actividad más reciente registrada en la cuenta de la entidad de AWS Organizations especificada o los elementos secundarios de la entidad. Para obtener más información, consulte [aws iam generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html) o [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html).
+ **Cuenta de administración de AWS Organizations**: debe iniciar sesión en la cuenta de administración de su organización para ver la información de acceso reciente al servicio. Puede ver los datos de la cuenta de administración utilizando la consola de IAM, AWS CLI o la API deAWS . El informe resultante muestra una lista de todos los servicios de AWS, ya que la cuenta de administración no se está limitada por SCP. Si especifica un ID de política en la CLI o la API, la política no se tiene en cuenta. En cada servicio, el informe incluye únicamente la información de la cuenta maestra. Sin embargo, los informes de otras entidades de AWS Organizations no devuelven información sobre la actividad de la cuenta de administración.
+ **Configuración de AWS Organizations**: un administrador debe [activar las SCP en su raíz de la organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html#enable_policies_on_root) antes de que pueda generar datos para AWS Organizations.

## Permisos necesarios
<a name="access_policies_last-accessed-permissions"></a>

Para poder ver la información de acceso reciente en Consola de administración de AWS, debe tener una política que conceda los permisos necesarios.

### Permisos para información de IAM
<a name="access_policies_last-accessed-permissions-iam"></a>

Si desea utilizar la consola de IAM para ver la información de acceso reciente de un usuario, rol o política de IAM, debe contar con una política que incluya las siguientes acciones:
+ `iam:GenerateServiceLastAccessedDetails`
+ `iam:Get*`
+ `iam:List*`

Estos permisos permiten a un usuario ver lo siguiente:
+ Qué usuarios, grupos o roles están asociados a una [política administrada](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#managed_policy)
+ A qué servicios puede acceder un usuario o rol
+ La última vez que se accedió al servicio
+ La última vez que intentaron utilizar una acción específica de Amazon EC2, IAM, Lambda, o Amazon S3

Para poder ver la información de acceso reciente de IAM con AWS CLI o la API de AWS, debe contar con los permisos adecuados sobre la operación que desee utilizar:
+ `iam:GenerateServiceLastAccessedDetails`
+ `iam:GetServiceLastAccessedDetails`
+ `iam:GetServiceLastAccessedDetailsWithEntities`
+ `iam:ListPoliciesGrantingServiceAccess`

Este ejemplo muestra cómo podría crear una política basada en identidad que permite ver la información del último acceso de IAM. Además, permite acceso de solo lectura a todas las partes de IAM. Esta política define los permisos para el acceso programático y a la consola. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateServiceLastAccessedDetails",
            "iam:Get*",
            "iam:List*"
        ],
        "Resource": "*"
    }
}
```

------

### Permisos para información de AWS Organizations
<a name="access_policies_last-accessed-permissions-orgs"></a>

Para utilizar la consola de IAM a fin de ver un informe de la raíz, unidad organizativa o entidades de la cuenta de AWS Organizations, debe contar con una política que incluya las siguientes acciones:
+ `iam:GenerateOrganizationsAccessReport`
+ `iam:GetOrganizationsAccessReport`
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganization`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:DescribePolicy`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListPoliciesForTarget`
+ `organizations:ListRoots`
+ `organizations:ListTargetsForPolicy`

Para ver la información de AWS CLI sobre los últimos servicios a los que se ha accedido con AWS o la API de AWS Organizations, debe tener una política que incluya las siguientes acciones:
+ `iam:GenerateOrganizationsAccessReport`
+ `iam:GetOrganizationsAccessReport`
+ `organizations:DescribePolicy`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListPoliciesForTarget`
+ `organizations:ListRoots`
+ `organizations:ListTargetsForPolicy`

Este ejemplo muestra cómo podría crear una política basada en identidad que permita ver la información de acceso reciente al servicio de AWS Organizations. Además, permite acceso de solo lectura a todas las partes de AWS Organizations. Esta política define los permisos para el acceso programático y a la consola. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateOrganizationsAccessReport",
            "iam:GetOrganizationsAccessReport",
            "organizations:Describe*",
            "organizations:List*"
        ],
        "Resource": "*"
    }
}
```

------

También puede utilizar la clave de condición [iam:OrganizationsPolicyId](reference_policies_iam-condition-keys.md#ck_OrganizationsPolicyId) para poder generar un informe solo para una política de AWS Organizations concreta. Para ver una política de ejemplo, consulte [IAM: visualización de la información de acceso reciente al servicio para una política de AWS Organizations](reference_policies_examples_iam_service-accessed-data-orgs.md).

## Actividad de resolución de problemas para entidades de AWS Organizations e IAM
<a name="access_policies_last-accessed-troubleshooting"></a>

En algunos casos, la tabla de información de acceso reciente de Consola de administración de AWS podría estar vacía. O es posible que AWS CLI o la API de AWS devuelvan un conjunto de información vacío o un campo nulo. En estos casos, revise los siguientes problemas:
+ En el caso de la información sobre las últimas acciones a las que se ha accedido, es posible que la acción que espera ver no aparezca en la lista. Esto puede ocurrir porque la identidad de IAM no tiene permisos para esta acción o porque AWS aún no hace un seguimiento de la información sobre los últimos accesos a la acción.
+ Para un usuario de IAM, asegúrese de que el usuario tenga al menos una política asociada administrada o insertada, ya sea directamente o a través de suscripciones a grupos.
+ Para un grupo de IAM, verifique que el grupo tenga al menos una política asociada administrada o insertada.
+ En el caso de los grupos de IAM, el informe solo devuelve información de acceso reciente de los servicios a los que accedieron los miembros que utilizaron las políticas del grupo para acceder al servicio. Para saber si un miembro ha utilizado otras políticas, consulte la información de acceso reciente de dicho usuario.
+ Para un rol de IAM, verifique que el rol tenga al menos una política asociada administrada o insertada.
+ Para una entidad de IAM (usuario o rol), revise otros tipos de políticas que puedan afectar a los permisos de dicha entidad. Estos incluyen las políticas basadas en recursos, las listas de control de acceso, las políticas de AWS Organizations, los límites de permisos de IAM o las políticas de sesión. Para obtener más información, consulte [Tipos de políticas](access_policies.md#access_policy-types) o [Evaluación de políticas para solicitudes dentro de una misma cuenta](reference_policies_evaluation-logic_policy-eval-basics.md).
+ Para una política de IAM, asegúrese de que la política administrada especificada esté asociada al menos con un usuario, grupo con miembros o rol.
+ Para una entidad de AWS Organizations (raíz, unidad organizativa o cuenta), asegúrese de que ha iniciado sesión con las credenciales de la cuenta de administración de AWS Organizations.
+ Compruebe que las [SCP están habilitadas en la raíz de su organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html#enable_policies_on_root).
+ La información sobre los últimos accesos de acciones solo está disponible para las acciones detalladas en [Servicios y acciones de la información sobre los últimos accesos a la acción de IAM](access_policies_last-accessed-action-last-accessed.md).

Cuando realice los cambios, espere al menos 4 horas para que aparezca la actividad en su informe de la consola de IAM. Si utiliza AWS CLI o la API de AWS, debe generar un nuevo informe para ver la información actualizada.

## Dónde AWS se hace un seguimiento de la información de acceso reciente
<a name="last-accessed_tracking-period"></a>

AWS recopila la información de acceso reciente en las regiones estándar de AWS. Si se incorporan nuevas regiones en AWS, se agregarán a la tabla siguiente y se incluirá la fecha en que AWS comenzó a hacer un seguimiento de la información en cada región:
+ **Información sobre el servicio**: el periodo de seguimiento para los servicios es de al menos 400 días, aunque puede ser inferior si la región comenzó a hacer seguimiento de esta característica dentro de los últimos 400 días.
+ **Información sobre las acciones**: el período de seguimiento de las acciones de administración de Amazon S3 comenzó el 12 de abril de 2020. El período de seguimiento de las acciones de administración de Amazon EC2, IAM y Lambda comenzó el 7 de abril de 2021. El periodo de seguimiento para las acciones de administración de todos los demás servicios comenzó el 23 de mayo de 2023. Si la fecha de seguimiento de una región es posterior al 23 de mayo de 2023, la información sobre los últimos accesos a la acción de esa región se iniciará en la fecha posterior.


| Nombre de la región | Región | Fecha de inicio del seguimiento | 
| --- | --- | --- | 
| Este de EE. UU. (Ohio) | us-east-2 | 27 de octubre de 2017 | 
| Este de EE. UU. (Norte de Virginia) | us-east-1 | 1 de octubre de 2015 | 
| Oeste de EE. UU. (Norte de California) | us-west-1 | 1 de octubre de 2015 | 
| Oeste de EE. UU. (Oregón) | us-west-2 | 1 de octubre de 2015 | 
| África (Ciudad del Cabo) | af-south-1 | 22 de abril de 2020 | 
| Asia-Pacífico (Hong Kong) | ap-east-1 | 24 de abril de 2019 | 
| Asia-Pacífico (Hyderabad) | ap-south-2 | 22 de noviembre de 2022 | 
| Asia-Pacífico (Yakarta) | ap-southeast-3 | 13 de diciembre de 2021 | 
| Asia-Pacífico (Melbourne) | ap-southeast-4 | 23 de enero de 2023 | 
| Asia-Pacífico (Bombay) | ap-south-1 | 27 de junio de 2016 | 
| Asia-Pacífico (Osaka) | ap-northeast-3 | 11 de febrero de 2018 | 
| Asia-Pacífico (Seúl) | ap-northeast-2 | 6 de enero de 2016 | 
| Asia-Pacífico (Singapur) | ap-southeast-1 | 1 de octubre de 2015 | 
| Asia-Pacífico (Sídney) | ap-southeast-2 | 1 de octubre de 2015 | 
| Asia-Pacífico (Tokio) | ap-northeast-1 | 1 de octubre de 2015 | 
| Canadá (Central) | ca-central-1 | 28 de octubre de 2017 | 
| Europa (Frankfurt) | eu-central-1 | 1 de octubre de 2015 | 
| Europa (Irlanda) | eu-west-1 | 1 de octubre de 2015 | 
| Europa (Londres) | eu-west-2 | 28 de octubre de 2017 | 
| Europa (Milán) | eu-south-1 | 28 de abril de 2020 | 
| Europa (París) | eu-west-3 | 18 de diciembre de 2017 | 
| Europa (España) | eu-south-2 | 15 de noviembre de 2022 | 
| Europa (Estocolmo) | eu-north-1 | 12 de diciembre de 2018 | 
| Europa (Zúrich) | eu-central-2 | 8 de noviembre de 2022 | 
| Israel (Tel Aviv) | il-central-1 | 1 de agosto de 2023 | 
| Medio Oriente (Baréin) | me-south-1 | 29 de julio de 2019 | 
| Medio Oriente (EAU) | me-central-1 | 30 de agosto de 2022 | 
| América del Sur (São Paulo) | sa-east-1 | 11 de diciembre de 2015 | 
| AWS GovCloud (Este de EE. UU.) | us-gov-este-1 | 1 de julio de 2023 | 
| AWS GovCloud (Oeste de EE. UU.) | us-gov-oeste-1 | 1 de julio de 2023 | 

Si una Región no aparece en la tabla anterior, significa que esa Región aún no proporciona información sobre el último acceso.

Una región de AWS es una colección de recursos de AWS que se encuentran en un área geográfica. Las regiones se agrupan en particiones. Las regiones estándar son las regiones que pertenecen a la partición `aws`. Para obtener más información de las distintas particiones, consulte este artículo sobre el [formato de los nombres de recurso de Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arns-syntax) en la Referencia general de AWS. Para obtener más información sobre las regiones, consulte [Acerca de las regiones de AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#region-what-is), también en la Referencia general de AWS. 

# Ver la información a la que se tuvo acceso por última vez correspondiente a IAM
<a name="access_policies_last-accessed-view-data"></a>

Puede ver la información de acceso reciente de IAM con Consola de administración de AWS, AWS CLI o la API de AWS. Consulte la [lista de servicios y sus acciones](access_policies_last-accessed-action-last-accessed.md) para los que se muestra la información sobre los últimos accesos. Para obtener más información sobre la información de acceso reciente, consulte [Ajuste de permisos en AWS con información sobre los últimos accesos](access_policies_last-accessed.md). 

Puede consultar información sobre los siguientes tipos de recursos en IAM. En cada caso, la información incluirá los servicios permitidos durante el período concreto del informe:
+ **Usuario**: ver la última vez que el usuario intentó acceder a cada servicio permitido.
+ **Grupo de usuarios**: muestra información acerca de la última vez que un miembro del grupo de usuarios intentó acceder a cada servicio permitido. Este informe también incluye el número total de miembros que intentaron el acceso.
+ **Rol**: muestra la última vez que alguien utilizó el rol en un intento de acceder a cada servicio permitido.
+ **Política**: muestra información acerca de la última vez que un usuario o rol intentó acceder a cada servicio permitido. Este informe también incluye el número total de entidades que intentaron el acceso.

**nota**  
Antes de ver la información de acceso de un recurso de IAM, asegúrese de que entiende el período del informe, las entidades consultadas y los tipos de política evaluados. Para obtener más información, consulte [Cosas que debe saber sobre la información de acceso reciente](access_policies_last-accessed.md#access_policies_last-accessed-know).

## Ver información de IAM (consola)
<a name="access_policies_last-accessed-viewing"></a>

Puede ver la información de acceso reciente de IAM en la pestaña **Último acceso** de la consola de IAM.

**Para ver información de IAM (consola)**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, elija **Grupos de usuarios**, **Usuarios**, **Roles** o **Políticas**.

1. Elija un nombre de usuario, grupo de usuarios, rol o política para abrir la página **Resumen** y elija la pestaña **Último acceso**. Verá la siguiente información, en función del recurso que elija:
   + **Grupo de usuarios**: consulte la lista de servicios a los que pueden acceder los miembros de los grupos de usuarios. También puede ver la última vez que un miembro accedió al servicio, qué políticas de grupo de usuarios utilizó y qué miembro del grupo de usuarios realizó la solicitud. Elija el nombre de la política para obtener información acerca de si se trata de una política administrada o una política de grupo insertada de usuarios. Elija el nombre del miembro del grupo de usuarios para ver todos los miembros del grupo de usuarios y la última vez que accedió al servicio.
   + **Usuario**: permite ver la lista de servicios a los que puede obtener acceso el usuario. También puede ver cuándo accedió por última vez al servicio y qué políticas están actualmente asociadas con el usuario. Elija el nombre de la política para saber si se trata de una política administrada, una política de usuario en línea o una política insertada del grupo de usuarios.
   + **Rol**: vea la lista de servicios a los que puede acceder el rol, cuándo el rol accedió por última vez al servicio y qué políticas se utilizaron. Elija el nombre de la política para obtener información acerca de si se trata de una política administrada o una política de rol insertada.
   + **Política**: vea la lista de servicios con acciones permitidas en la política. También puede ver cuándo se usó la política por última vez para acceder al servicio y qué entidad (usuario o rol) la utilizó. La fecha del **último acceso** también incluye cuándo se concede el acceso a esta política a través de otra política. Seleccione el nombre de la entidad que quiere saber qué entidades tienen esta política asociada y cuando han accedido por última vez al servicio.

1. En la columna **Servicio** de la tabla, elija el nombre de [uno de los servicios que incluye información sobre los últimos accesos a la acción](access_policies_last-accessed-action-last-accessed.md) para ver una lista de las acciones de administración a las que las entidades de IAM han intentado acceder. Podrá ver la Región de AWS y una marca de tiempo que indica la última vez que alguien intentó realizar la acción.

1. En la columna **Últimos accesos**, se muestran los servicios y las acciones de administración de [los servicios que incluyen información sobre los últimos accesos a la acción](access_policies_last-accessed-action-last-accessed.md). Consulte a continuación los resultados que pueden devolverse en esta columna. Estos resultados variarán en función de si un servicio o una acción están permitidos, si se ha accedido a ellos y si su información de acceso reciente se está supervisando en AWS.   
**hace <número de> días**  
Número de días desde que se utilizó el servicio o la acción en el período de seguimiento. El período de seguimiento de los servicios abarca los últimos 400 días. El periodo de seguimiento de las acciones de Amazon S3 comenzó el 12 de abril de 2020. El periodo de seguimiento de las acciones de Amazon EC2, IAM, y Lambda comenzó el 7 de abril de 2021. El periodo de seguimiento de todos los demás servicios comenzó el 23 de mayo de 2023. Para obtener más información sobre las fechas de inicio de seguimiento de cada Región de AWS, consulte [Dónde AWS se hace un seguimiento de la información de acceso reciente](access_policies_last-accessed.md#last-accessed_tracking-period).  
**No se ha accedido en el período de seguimiento**  
Ninguna entidad ha utilizado el servicio o la acción supervisados durante el período de seguimiento.

   Es posible que tenga permisos sobre una acción que no aparece en la lista. Esto puede suceder si AWS actualmente no incluye la información de seguimiento de la acción. No debe tomar decisiones de permisos basándose exclusivamente en la ausencia de cierta información de seguimiento. En su lugar, le recomendamos que utilice esta información para enriquecer y sustentar la estrategia general de conceder los mínimos privilegios posibles. Consulte sus políticas para confirmar que el nivel de acceso es el adecuado.

## Ver información de IAM (AWS CLI)
<a name="access_policies_last-accessed-viewing-cli"></a>

Puede utilizar la API de AWS CLI para recuperar información sobre la última vez que se utilizó un recurso de IAM para intentar acceder a servicios de AWS y acciones de Amazon S3, Amazon EC2, IAM, y Lambda. Un recurso de IAM puede ser un usuario, un grupo de usuarios, un rol o una política.

**Para ver información de IAM (AWS CLI)**

1. Genere un informe. La solicitud debe incluir el ARN del recurso de IAM (usuario, grupo de usuarios, rol o política) para el que desea un informe. Puede especificar el nivel de detalle con el que desea generar el informe para ver los datos de acceso solo de los servicios o tanto de los servicios como de las acciones. La solicitud devuelve un `job-id` que puede utilizar en las operaciones `get-service-last-accessed-details` y `get-service-last-accessed-details-with-entities` para monitorear el `job-status` hasta que se complete el trabajo.
   + [aws iam generate-service-last-accessed-details](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-service-last-accessed-details.html)

1. Recupere detalles sobre el informe utilizando el parámetro `job-id` del paso anterior.
   + [aws iam get-service-last-accessed-details](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details.html)

   Esta operación devuelve la siguiente información, en función del tipo de recurso y el nivel de detalle solicitado en la operación `generate-service-last-accessed-details`:
   + **Usuario**: devuelve una lista de los servicios a los que puede acceder el usuario especificado. Para cada servicio, la operación devuelve la fecha y la hora del último intento del usuario y el ARN del usuario.
   + **Grupo de usuarios**: devuelve una lista de servicios a los que pueden acceder los miembros del grupo de usuarios especificado mediante las políticas adjuntas al grupo de usuarios. Para cada servicio, la operación devuelve la fecha y la hora del último intento realizado por cualquier miembro del grupo de usuarios. También devuelve el ARN de dicho usuario y el número total de los miembros del grupo de usuarios que han intentado para acceder al servicio. Utilice la operación [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html) para recuperar una lista de todos los miembros.
   + **Rol**: devuelve una lista de los servicios a los que puede acceder el rol especificado. Para cada servicio, la operación devuelve la fecha y la hora del último intento del ro y el ARN del rol.
   + **Política**: devuelve una lista de servicios a los que la política especificada permite el acceso. Para cada servicio, la operación devuelve la fecha y la hora a la que una entidad (usuario o rol) intento acceder por última vez al servicio utilizando la política. También devuelve el ARN de dicha entidad y el número total de entidades que intentaron acceder.

1. Obtenga más información sobre las entidades que utilizaron permisos de política de grupo de usuarios o política en un intento por acceder a un servicio específico. Esta operación devuelve una lista de entidades con cada ARN, ID, nombre, ruta, tipo de entidad (usuario o rol) y cuando intentaron acceder al servicio por última vez. También puede utilizar esta operación para usuarios y roles, pero solo devuelve información acerca de dicha entidad.
   + [aws iam get-service-last-accessed-details-with-entities](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-last-accessed-details-with-entities.html)

1. Más información sobre las políticas basadas en identidad que una identidad (usuario, grupo de usuarios o rol) utiliza en un intento de acceder a un servicio específico. Cuando se especifica una identidad y un servicio, esta operación devuelve una lista de políticas de permisos que la identidad puede utilizar para acceder al servicio especificado. Esta operación proporciona el estado actual de las políticas y no depende del informe generado. Tampoco devuelve otros tipos de políticas, como las políticas basadas en recursos, las listas de control de acceso, las políticas de AWS Organizations, los límites de permisos de IAM o las políticas de sesión. Para obtener más información, consulte [Tipos de políticas](access_policies.md#access_policy-types) o [Evaluación de políticas para solicitudes dentro de una misma cuenta](reference_policies_evaluation-logic_policy-eval-basics.md).
   + [aws iam list-policies-granting-service-access](https://docs.aws.amazon.com/cli/latest/reference/iam/list-policies-granting-service-access.html)

## Ver información de IAM (API de AWS)
<a name="access_policies_last-accessed-viewing-api"></a>

Puede utilizar la API de AWS para recuperar información sobre la última vez que se utilizó un recurso de IAM para intentar acceder a servicios de AWS y acciones de Amazon S3, Amazon EC2, IAM, y Lambda. Un recurso de IAM puede ser un usuario, un grupo de usuarios, un rol o una política. Puede especificar el nivel de detalle con el que se va a generar el informe para ver los datos de acceso solo de los servicios o tanto de los servicios como de las acciones. 

**Para ver información de IAM (API de AWS)**

1. Genere un informe. La solicitud debe incluir el ARN del recurso de IAM (usuario, grupo de usuarios, rol o política) para el que desea un informe. Devuelve un `JobId` que puede utilizar en las operaciones `GetServiceLastAccessedDetails` y `GetServiceLastAccessedDetailsWithEntities` para monitorizar el `JobStatus` hasta que se complete el trabajo.
   + [GenerateServiceLastAccessedDetails](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateServiceLastAccessedDetails.html)

1. Recupere detalles sobre el informe utilizando el parámetro `JobId` del paso anterior.
   + [GetServiceLastAccessedDetails](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetails.html)

   Esta operación devuelve la siguiente información, en función del tipo de recurso y el nivel de detalle solicitado en la operación `GenerateServiceLastAccessedDetails`:
   + **Usuario**: devuelve una lista de los servicios a los que puede acceder el usuario especificado. Para cada servicio, la operación devuelve la fecha y la hora del último intento del usuario y el ARN del usuario.
   + **Grupo de usuarios**: devuelve una lista de servicios a los que pueden acceder los miembros del grupo de usuarios especificado mediante las políticas adjuntas al grupo de usuarios. Para cada servicio, la operación devuelve la fecha y la hora del último intento realizado por cualquier miembro del grupo de usuarios. También devuelve el ARN de dicho usuario y el número total de los miembros del grupo de usuarios que han intentado para acceder al servicio. Utilice la operación [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html) para recuperar una lista de todos los miembros.
   + **Rol**: devuelve una lista de los servicios a los que puede acceder el rol especificado. Para cada servicio, la operación devuelve la fecha y la hora del último intento del ro y el ARN del rol.
   + **Política**: devuelve una lista de servicios a los que la política especificada permite el acceso. Para cada servicio, la operación devuelve la fecha y la hora a la que una entidad (usuario o rol) intento acceder por última vez al servicio utilizando la política. También devuelve el ARN de dicha entidad y el número total de entidades que intentaron acceder.

1. Obtenga más información sobre las entidades que utilizaron permisos de política de grupo de usuarios o política en un intento por acceder a un servicio específico. Esta operación devuelve una lista de entidades con cada ARN, ID, nombre, ruta, tipo de entidad (usuario o rol) y cuando intentaron acceder al servicio por última vez. También puede utilizar esta operación para usuarios y roles, pero solo devuelve información acerca de dicha entidad.
   + [GetServiceLastAccessedDetailsWithEntities](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLastAccessedDetailsWithEntities.html)

1. Más información sobre las políticas basadas en identidad que una identidad (usuario, grupo de usuarios o rol) utiliza en un intento de acceder a un servicio específico. Cuando se especifica una identidad y un servicio, esta operación devuelve una lista de políticas de permisos que la identidad puede utilizar para acceder al servicio especificado. Esta operación proporciona el estado actual de las políticas y no depende del informe generado. Tampoco devuelve otros tipos de políticas, como las políticas basadas en recursos, las listas de control de acceso, las políticas de AWS Organizations, los límites de permisos de IAM o las políticas de sesión. Para obtener más información, consulte [Tipos de políticas](access_policies.md#access_policy-types) o [Evaluación de políticas para solicitudes dentro de una misma cuenta](reference_policies_evaluation-logic_policy-eval-basics.md).
   + [ListPoliciesGrantingServiceAccess](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListPoliciesGrantingServiceAccess.html)

# Visualización de información de acceso reciente de AWS Organizations
<a name="access_policies_last-accessed-view-data-orgs"></a>

Puede consultar la información de acceso reciente de AWS Organizations con la consola de IAM, AWS CLI o la API de AWS. Para obtener información importante sobre los datos, los permisos necesarios, la solución de problemas y las regiones compatibles, consulte [Ajuste de permisos en AWS con información sobre los últimos accesos](access_policies_last-accessed.md).

Cuando inicia sesión en la consola de IAM con las credenciales de la cuenta de administración de AWS Organizations, puede ver los datos de cualquier entidad de la organización. Las entidades de AWS Organizations pueden ser cuentas, unidades organizativas o la raíz de la organización. También puede utilizar la consola de IAM para ver información sobre las políticas de control de servicios (SCP) de su organización. IAM muestra una lista de servicios permitidos por las SCP que se aplican a la entidad. En cada servicio, puede ver la información más reciente sobre la actividad de la entidad de AWS Organizations elegida o de sus elementos secundarios.

Si utiliza AWS CLI o la API de AWS con las credenciales de la cuenta de administración, podrá generar un informe de cualquier entidad o política de la organización. Un informe mediante programación de una entidad incluye una lista de los servicios que permiten las SCP que se aplican a la entidad. Para cada servicio, el informe incluye la actividad más reciente de las cuentas de la entidad de AWS Organizations especificada o el subárbol de la entidad.

Si genera un informe de una política mediante programación, debe especificar una entidad de AWS Organizations. Este informe incluye una lista de servicios permitidos por la SCP especificada. Para cada servicio, incluye la actividad de la cuenta más reciente en la entidad o los secundarios de la entidad a los que esa política concede permiso. Para obtener más información, consulte [aws iam generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html) o [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html).

Antes de ver el informe, asegúrese de que entiende los requisitos y la información de la cuenta de administración, el período del informe, las entidades consultadas y los tipos de política evaluados. Para obtener más información, consulte [Cosas que debe saber sobre la información de acceso reciente](access_policies_last-accessed.md#access_policies_last-accessed-know).

## Comprender la ruta de la entidad AWS Organizations
<a name="access_policies_last-accessed-viewing-orgs-entity-path"></a>

Cuando utilice las API de AWS CLI o AWS para generar un informe de acceso AWS Organizations, debe especificar una ruta de acceso de entidad. Una ruta es una representación de texto de la estructura de una entidad de AWS Organizations.

Puede crear una ruta de entidad utilizando la estructura conocida de su organización. Por ejemplo, suponga que tiene la siguiente estructura organizativa en AWS Organizations.

![\[Estructura de ruta de organización\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/ou-path-diagram.png)


La ruta de acceso para la unidad organizativa (OU) de **Dev Managers** se crea utilizando los ID de la organización, la raíz y todas las OU de la ruta hasta la OU incluida. 

```
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/
```

La ruta de acceso de la cuenta en la unidad organizativa de **Producción** se genera utilizando los identificadores de la organización, la raíz, la unidad organizativa y el número de cuenta. 

```
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-abc0-awsaaaaa/111111111111/
```

**nota**  
Los ID de organización son únicos globalmente, pero los ID de unidad organizativa y los ID de raíz solo son únicos dentro de una organización. Esto significa que no hay dos organizaciones que compartan el mismo ID de organización. Sin embargo, otra organización puede tener una unidad organizativa o raíz con el mismo ID que la suya. Recomendamos que incluya siempre el ID de organización cuando especifique una unidad organizativa o raíz.

## Visualización de la información de AWS Organizations (consola)
<a name="access_policies_last-accessed-viewing-orgs"></a>

Puede utilizar la consola de IAM para consultar información sobre los últimos servicios a los que ha accedido la raíz, la unidad organizativa, la cuenta o la política.

**Para ver información de la raíz (consola)**

1. Inicie sesión en la Consola de administración de AWS con las credenciales de la cuenta de administración de AWS Organizations y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación situado debajo de la sección **Access reports (Informes de acceso)**, elija **Organization activity (Actividad de la organización)**.

1. En la página de **Organization activity (Actividad de la organización)**, elija **Root (Raíz)**.

1. En la pestaña **Details and activity (Detalles y actividad)**, examine la sección **Service access report (Informe de acceso a servicios)**. La información contiene una lista de los servicios permitidos por las políticas que están asociadas directamente a la raíz. La información indica desde qué cuenta se accedió por última vez al servicio y cuándo se hizo. Para obtener más información sobre las entidades principales que han accedido al servicio, inicie sesión como administrador en esa cuenta y [consulte la información sobre los últimos accesos al servicio de IAM](access_policies_last-accessed-view-data.md).

1. Elija la pestaña **SCP asociadas** para ver la lista de políticas de control de servicio (SCP) que están asociadas a la raíz. IAM muestra el número de entidades de destino a las que está asociada cada política. Puede utilizar esta información para decidir qué SCP revisar.

1. Elija el nombre de una SCP para ver todos los servicios que permite la política. Para cada servicio, examine desde qué cuenta se accedió al servicio por última vez, y cuándo.

1. Seleccione **Editar en AWS Organizations** para ver detalles adicionales y editar la SCP en la consola de AWS Organizations. Para obtener más información, consulte [Actualización de SCP](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy) en la *Guía del usuario de AWS Organizations*.

**Para ver información de una unidad organizativa o una cuenta (consola)**

1. Inicie sesión en la Consola de administración de AWS con las credenciales de la cuenta de administración de AWS Organizations y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación situado debajo de la sección **Access reports (Informes de acceso)**, elija **Organization activity (Actividad de la organización)**.

1. En la página **Organization activity (Actividad de la organización)**, amplíe la estructura de la organización. A continuación, elija el nombre de la unidad organizativa o cuenta que desea ver, excepto la cuenta de administración.

1. En la pestaña **Details and activity (Detalles y actividad)**, examine la sección **Service access report (Informe de acceso a servicios)**. La información contiene una lista de los servicios permitidos por las SCP asociadas a la unidad organizativa o la cuenta *y* todos sus elementos principales. La información indica desde qué cuenta se accedió por última vez al servicio y cuándo se hizo. Para obtener más información sobre las entidades principales que han accedido al servicio, inicie sesión como administrador en esa cuenta y [consulte la información sobre los últimos accesos al servicio de IAM](access_policies_last-accessed-view-data.md).

1. Elija la pestaña **SCP asociadas** para ver la lista de políticas de control de servicio (SCP) que están asociadas directamente a la unidad organizativa o la cuenta. IAM muestra el número de entidades de destino a las que está asociada cada política. Puede utilizar esta información para decidir qué SCP revisar.

1. Elija el nombre de una SCP para ver todos los servicios que permite la política. Para cada servicio, examine desde qué cuenta se accedió al servicio por última vez, y cuándo.

1. Seleccione **Editar en AWS Organizations** para ver detalles adicionales y editar la SCP en la consola de AWS Organizations. Para obtener más información, consulte [Actualización de SCP](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy) en la *Guía del usuario de AWS Organizations*.

**Para ver información de la cuenta de administración (consola)**

1. Inicie sesión en la Consola de administración de AWS con las credenciales de la cuenta de administración de AWS Organizations y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación situado debajo de la sección **Access reports (Informes de acceso)**, elija **Organization activity (Actividad de la organización)**.

1. En la página **Actividad de la organización**, amplíe la estructura de la organización y elija el nombre de la cuenta de administración.

1. En la pestaña **Details and activity (Detalles y actividad)**, examine la sección **Service access report (Informe de acceso a servicios)**. La información contiene una lista de todos los servicios de AWS. La cuenta de administración no está limitada por las SCP. La información indica si la cuenta accedió al servicio la última vez y cuándo lo hizo. Para obtener más información sobre las entidades principales que han accedido al servicio, inicie sesión como administrador en esa cuenta y [consulte la información sobre los últimos accesos al servicio de IAM](access_policies_last-accessed-view-data.md).

1. Elija la pestaña **SCP asociadas** para confirmar que no hay SCP asociadas porque la cuenta es la cuenta de administración.

**Para ver información de una política (consola)**

1. Inicie sesión en la Consola de administración de AWS con las credenciales de la cuenta de administración de AWS Organizations y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación situado debajo de la sección **Access reports (Informes de acceso)**, elija **Service control policies (SCPs) (Políticas de control de servicios [SCP])**.

1. En la página **Service control policies (SCPs) (Políticas de control de servicios [SCP])**, consulte la lista de las políticas de su organización. Puede ver el número de entidades de destino a las que está asociada cada política.

1. Elija el nombre de una SCP para ver todos los servicios que permite la política. Para cada servicio, examine desde qué cuenta se accedió al servicio por última vez, y cuándo.

1. Seleccione **Editar en AWS Organizations** para ver detalles adicionales y editar la SCP en la consola de AWS Organizations. Para obtener más información, consulte [Actualización de SCP](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy) en la *Guía del usuario de AWS Organizations*.

## Visualización de información de AWS Organizations (AWS CLI)
<a name="access_policies_last-accessed-viewing-orgs-cli"></a>

Puede utilizar AWS CLI para recuperar información de la raíz, una unidad organizativa, una cuenta o una política de AWS Organizations sobre los últimos accesos al servicio.

**Para ver la información de AWS Organizations sobre los últimos accesos al servicio (AWS CLI)**

1. Utilice las credenciales de la cuenta de administración de AWS Organizations con los permisos necesarios de AWS Organizations y confirme que las SCP están activadas para su raíz. Para obtener más información, consulte [Cosas que debe saber sobre la información de acceso reciente](access_policies_last-accessed.md#access_policies_last-accessed-know). 

1. Genere un informe. La solicitud debe incluir la ruta de la entidad de AWS Organizations (raíz, unidad organizativa o cuenta) para la que desea un informe. Si lo desea, puede incluir un parámetro `organization-policy-id` para ver un informe para una política específica. El comando devuelve un `job-id` que puede utilizar en el comando `get-organizations-access-report` para monitorizarr el `job-status` hasta que se complete el trabajo.
   + [aws iam generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html)

1. Recupere detalles sobre el informe utilizando el parámetro `job-id` del paso anterior.
   + [aws iam get-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/get-organizations-access-report.html)

   Este comando devuelve una lista de los servicios a los que pueden acceder los miembros de la entidad. Para cada servicio, el comando devuelve la fecha y la hora del último intento del miembro de la cuenta y la ruta de la entidad de la cuenta. También devuelve el número total de servicios a los que es posible acceder y el número de servicios a los que no se ha accedido. Si ha especificado el parámetro `organizations-policy-id` opcional, entonces, los servicios a los que es posible acceder son aquellos que están permitidos por la política especificada.

## Visualización de información de AWS Organizations (API de AWS)
<a name="access_policies_last-accessed-viewing-orgs-api"></a>

Puede utilizar la API de AWS para recuperar información de la raíz, la unidad organizativa, la cuenta o la política de AWS Organizations sobre los últimos accesos al servicio.

**Para ver la información de AWS Organizations sobre los últimos accesos al servicio (API de AWS)**

1. Utilice las credenciales de la cuenta de administración de AWS Organizations con los permisos necesarios de AWS Organizations y confirme que las SCP están activadas para su raíz. Para obtener más información, consulte [Cosas que debe saber sobre la información de acceso reciente](access_policies_last-accessed.md#access_policies_last-accessed-know). 

1. Genere un informe. La solicitud debe incluir la ruta de la entidad de AWS Organizations (raíz, unidad organizativa o cuenta) para la que desea un informe. Si lo desea, puede incluir un parámetro `OrganizationsPolicyId` para ver un informe para una política específica. La operación devuelve un `JobId` que puede utilizar en la operación `GetOrganizationsAccessReport` para monitorizar el `JobStatus` hasta que se complete el trabajo.
   + [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html)

1. Recupere detalles sobre el informe utilizando el parámetro `JobId` del paso anterior.
   + [GetOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetOrganizationsAccessReport.html)

   Este operación devuelve una lista de los servicios a los que pueden acceder los miembros de la entidad. Para cada servicio, la operación devuelve la fecha y la hora del último intento del miembro de la cuenta y la ruta de la entidad de la cuenta. También devuelve el número total de servicios a los que es posible acceder y el número de servicios a los que no se ha accedido. Si ha especificado el parámetro `OrganizationsPolicyId` opcional, entonces, los servicios a los que es posible acceder son aquellos que están permitidos por la política especificada.

# Ejemplos de escenarios sobre el uso de información de acceso reciente
<a name="access_policies_last-accessed-example-scenarios"></a>

Puede utilizar la información de acceso reciente para tomar decisiones sobre los permisos que se conceden a las entidades de IAM o a las entidades de AWS Organizations. Para obtener más información, consulte [Ajuste de permisos en AWS con información sobre los últimos accesos](access_policies_last-accessed.md). 

**nota**  
Antes de consultar la información de acceso de una entidad o política de IAM o AWS Organizations, asegúrese de que entiende el período del informe, las entidades consultadas y los tipos de política evaluados. Para obtener más información, consulte [Cosas que debe saber sobre la información de acceso reciente](access_policies_last-accessed.md#access_policies_last-accessed-know).

Es responsabilidad del administrador elegir la accesibilidad y el principio de privilegios mínimos apropiado para su empresa. 

## Uso de información para reducir los permisos de un grupo de IAM
<a name="last-accessed-sample-reduce-permissions-group"></a>

Puede utilizar la información de acceso reciente para reducir los permisos de un grupo de IAM e incluir exclusivamente aquellos servicios que necesitan los usuarios. Este método es un importante paso en la [concesión de privilegios mínimos](best-practices.md#grant-least-privilege) en un nivel de servicio.

Por ejemplo, Paulo Santos es el administrador encargado de definir los permisos de usuarios de AWS para Example Corp. Esta empresa acaba de comenzar a utilizar AWS, y el equipo de desarrollo de software aún no ha definido qué servicios de AWS que utilizarán. Paulo quiere dar el equipo permiso para obtener acceso solo a los servicios que necesitan, pero como aún no se ha definido, les proporciona temporalmente permisos de usuario avanzado. Decide utilizar la información de acceso reciente para reducir los permisos del grupo.

Paulo crea una política administrada denominada `ExampleDevelopment` utilizando el siguiente texto JSON. A continuación, lo asocia a un grupo denominado `Development` y añade todos los desarrolladores al grupo.

**nota**  
Es posible que los usuarios avanzados de Paulo necesiten permisos de `iam:CreateServiceLinkedRole` para utilizar algunos servicios y características. Él entiende que agregar este permiso los habilitará para crear cualquier rol vinculado al servicio. Acepta este riesgo para sus usuarios avanzados.

------
#### [ JSON ]

****  

```
{

    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccessToAllServicesExceptPeopleManagement",
            "Effect": "Allow",
            "NotAction": [
                "iam:*",
                "organizations:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "RequiredIamAndOrgsActions",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole",
                "iam:ListRoles",
                "organizations:DescribeOrganization"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Paulo decide esperar 90 días antes de [ver la información de acceso reciente](access_policies_last-accessed-view-data.md#access_policies_last-accessed-viewing) del grupo `Development` a través de Consola de administración de AWS. Ve la lista de servicios a los que han accedido los miembros del grupo. Se entera de que los usuarios accedieron a cinco servicios en la última semana: AWS CloudTrail, Amazon CloudWatch Logs, Amazon EC2, AWS KMS y Amazon S3. Accedieron a otros servicios cuando estaban evaluando por primera vez AWS y desde entonces no lo hicieron.

Paulo decide reducir los permisos de la política para incluir solo los cinco servicios y las acciones de IAM y AWS Organizations necesarias. Edita la política de `ExampleDevelopment` con el siguiente texto JSON.

**nota**  
Es posible que los usuarios avanzados de Paulo necesiten permisos de `iam:CreateServiceLinkedRole` para utilizar algunos servicios y características. Él entiende que agregar este permiso los habilitará para crear cualquier rol vinculado al servicio. Acepta este riesgo para sus usuarios avanzados.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccessToListedServices",
            "Effect": "Allow",
            "Action": [
                "s3:*",
                "kms:*",
                "cloudtrail:*",
                "logs:*",
                "ec2:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "RequiredIamAndOrgsActions",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole",
                "iam:ListRoles",
                "organizations:DescribeOrganization"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Para reducir aún más los permisos, Paulo puede ver los eventos de la cuenta en el **historial de eventos** de AWS CloudTrail. Allí puede ver información de eventos detallada que puede utilizar para reducir los permisos de la política para incluir solo las acciones y los recursos que los desarrolladores necesitan. Para obtener más información, consulte [Ver eventos de CloudTrail en la consola de CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) en la *Guía del usuario de AWS CloudTrail*.

## Uso de información para reducir los permisos de un usuario de IAM
<a name="access_policies_last-accessed-reduce-permissions-users"></a>

Puede utilizar la información de acceso reciente para reducir los permisos de un usuario específico de IAM.

Por ejemplo, Martha Rivera es una administradora de TI responsable de garantizar que las personas de su empresa no tengan demasiados permisos de AWS. En el marco de una comprobación de seguridad periódica, revisa los permisos de todos los usuarios de IAM. Uno de ellos es un desarrollador de aplicaciones llamado Nikhil Jayashankar, que previamente trabajaba como ingeniero de seguridad. Debido al cambio en los requisitos de trabajo, Nikhil es miembro del grupo `app-dev` y del grupo `security-team`. El grupo de `app-dev` por su nuevo trabajo concede permisos a varios servicios, como Amazon EC2, Amazon EBS, Auto Scaling, Amazon S3, Route 53 y Elastic Transcoder. El grupo `security-team` para su trabajo anterior concede permisos para IAM y CloudTrail.

Como administradora, Martha inicia sesión en la consola de IAM y elige **Usuarios**, selecciona el nombre `nikhilj` y elige la pestaña **Último acceso**.

Martha revisa la columna **Último acceso** y se da cuenta de que Nikhil no ha accedido recientemente a IAM, CloudTrail, Route 53, Amazon Elastic Transcoder ni a una serie de otros servicios de AWS. Nikhil ha accedido a Amazon S3. Martha elige **S3** en la lista de servicios y se entera de que Nikhil ha realizado algunas acciones `List` de Amazon S3 en las últimas dos semanas. Dentro de la empresa, Martha confirma que Nikhil ya no necesita acceder a IAM y CloudTrail porque ya no es miembro del equipo de seguridad interna. 

Martha ahora está lista para actuar con arreglo a la información sobre los últimos accesos al servicio o la acción. Sin embargo, a diferencia del grupo del ejemplo anterior, un usuario de IAM como `nikhilj` podría estar sujeto a varias políticas y ser miembro de varios grupos. Martha debe continuar con precaución para evitar interrumpir de forma inadvertida el acceso de `nikhilj` u otros los miembros del grupo. Además de descubrir el acceso que Nikhil debe tener, debe determinar *cómo* está recibiendo estos permisos. 

Martha elige la pestaña **Permissions (Permisos)**, donde ve qué políticas están asociadas directamente a `nikhilj` y las asociadas desde un grupo. Amplía cada política y ve el resumen de la política para saber qué política permite el acceso a los servicios que Nikhil no está utilizando:
+ IAM: la política administrada `IAMFullAccess` AWS se asigna directamente a `nikhilj` y se asigna al grupo `security-team`.
+ CloudTrail: la política administrada de `AWSCloudTrailReadOnlyAccess` AWS se asigna al grupo `security-team`.
+ Route 53: la política administrada por el cliente `App-Dev-Route53` se asocia al grupo `app-dev`.
+ Elastic Transcoder: la política administrada por el cliente `App-Dev-ElasticTranscoder` se asocia al grupo `app-dev`.

Martha decide eliminar la política administrada `IAMFullAccess` AWS asociada directamente a `nikhilj`. También elimina la pertenencia de Nikhil al grupo `security-team`. Estas dos acciones eliminan el acceso innecesarios a IAM y CloudTrail. 

Los permisos de Nikhil para acceder a Route 53 y Elastic Transcoder los concede el grupo `app-dev`. Aunque Nikhil no está utilizando dichos servicios, otros miembros del grupo podrían. Martha consulta la información de acceso reciente del grupo `app-dev` y ve que varios miembros accedieron recientemente a Route 53 y Amazon S3. Sin embargo, ningún miembro del grupo ha accedido a Elastic Transcoder en el último año. Elimina política administrada por el cliente `App-Dev-ElasticTranscoder` del grupo.

A continuación, Martha revisa la información de acceso reciente de la política `App-Dev-ElasticTranscoder` administrada por el cliente. Descubre que la política no está asociada a ninguna otra entidad de IAM. Investiga dentro de su empresa para asegurarse de que la política no se necesitará en el futuro y, a continuación, la elimina.

## Uso de información antes de eliminar recursos de IAM
<a name="last-accessed-sample-delete-resources"></a>

Puede utilizar la información de acceso reciente antes de eliminar un recurso de IAM para asegurarse de que ha transcurrido una determinada cantidad de tiempo desde que alguien utilizó el recurso por última vez. Esto se aplica a usuarios, grupos, roles y políticas. Para obtener más información acerca de estas acciones, consulte los siguientes temas:
+ **Usuarios de IAM**: [Remove or deactivate an IAM user](id_users_remove.md)
+ **Grupos**: [Eliminación de un grupo de usuarios de IAM](id_groups_manage_delete.md)
+ **Roles**: [Eliminar roles o perfiles de instancia](id_roles_manage_delete.md)
+ **Políticas**: [Eliminación de políticas de IAM (esta también desasocia la política de las identidades)](access_policies_manage-delete.md)

## Uso de información antes de editar políticas de IAM
<a name="last-accessed-sample-edit-policies"></a>

Puede revisar la información de acceso reciente de una identidad de IAM (usuario, grupo o rol) o de una política de IAM antes de editar una política que afecte a dicho recurso. Esto es importante porque no desea eliminar el acceso de alguien que lo está utilizando.

Por ejemplo, Arnav Desai es desarrollador y administrador de AWS de Example Corp. Cuando su equipo comenzó a utilizar AWS, le dieron acceso a todos los desarrolladores de usuarios avanzados que les permitían acceso completo a todos los servicios, excepto IAM y AWS Organizations. Como primer paso hacia la [concesión de privilegios mínimos](best-practices.md#grant-least-privilege), Arnav quiere utilizar la AWS CLI para revisar las políticas administradas de su cuenta. 

Para ello, Arnav primero lista las políticas de permisos administrados por el cliente de su cuenta asociadas a una identidad, utilizando el comando siguiente:

```
aws iam list-policies --scope Local --only-attached --policy-usage-filter PermissionsPolicy
```

De la respuesta, captura el ARN de cada política. Arnav, a continuación, genera un informe con la información de acceso reciente de cada política utilizando el siguiente comando.

```
aws iam generate-service-last-accessed-details --arn arn:aws:iam::123456789012:policy/ExamplePolicy1
```

De esa respuesta, captura el ID del informe generado desde el campo `JobId`. Arnav a continuación, sondea el siguiente comando hasta que el campo `JobStatus` devuelva un valor de `COMPLETED` o `FAILED`. Si se produjo un error en el trabajo, captura el error.

```
aws iam get-service-last-accessed-details --job-id 98a765b4-3cde-2101-2345-example678f9
```

Cuando el trabajo tiene un estado de `COMPLETED`, Arnav analiza el contenido de la matriz `ServicesLastAccessed` con formato JSON.

```
 "ServicesLastAccessed": [
        {
            "TotalAuthenticatedEntities": 1,
            "LastAuthenticated": 2018-11-01T21:24:33.222Z,
            "ServiceNamespace": "dynamodb",
            "LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/IAMExampleUser",
            "ServiceName": "Amazon DynamoDB"
        },

        {
            "TotalAuthenticatedEntities": 0,
            "ServiceNamespace": "ec2",
            "ServiceName": "Amazon EC2"
        },

        {
            "TotalAuthenticatedEntities": 3,
            "LastAuthenticated": 2018-08-25T15:29:51.156Z,
            "ServiceNamespace": "s3",
            "LastAuthenticatedEntity": "arn:aws:iam::123456789012:role/IAMExampleRole",
            "ServiceName": "Amazon S3"
        }
    ]
```

A partir de esta información, Arnav descubre que la política `ExamplePolicy1` permite el acceso a tres servicios, Amazon DynamoDB, Amazon S3, y Amazon EC2. El usuario de IAM llamado `IAMExampleUser` intentó accede por última vez a DynamoDB el 1 de noviembre y alguien utilizó el rol `IAMExampleRole` para intentar acceder a Amazon S3 el 25 de agosto. También hay dos entidades más que han intentado acceder a Amazon S3 en el último año. Sin embargo, nadie ha intentado acceder a Amazon EC2 en el último año.

Esto significa que Arnav puede eliminar de forma segura las acciones de Amazon EC2 de la política. Arnav desea revisar el documento JSON actual de la política. En primer lugar, debe determinar el número de versión de la política utilizando el siguiente comando.

```
aws iam list-policy-versions --policy-arn arn:aws:iam::123456789012:policy/ExamplePolicy1
```

De la respuesta, Arnav recopila los número de versión predeterminada actual de la matriz `Versions`. A continuación, utiliza ese número de versión (`v2`) para solicitar el documento de política JSON utilizando el siguiente comando.

```
aws iam get-policy-version --policy-arn arn:aws:iam::123456789012:policy/ExamplePolicy1 --version-id v2
```

Arnav almacena el documento de política de JSON devuelto en el campo `Document` de la matriz `PolicyVersion`. Dentro del documento de política, Arnav busca acciones con el espacio de nombres `ec2`. Si no hay acciones de otros espacios de nombres restantes en la política, desasociará la política de las identidades afectadas (usuarios, grupos y roles). A continuación, elimina la política. En este caso, la política no incluye los servicios Amazon DynamoDB y Amazon S3. Por lo tanto, Arnav elimina las acciones de Amazon EC2 del documento y guarda los cambios. A continuación, utiliza el siguiente comando para actualizar la política utilizando la nueva versión del documento y establecer que dicha versión es la versión de política predeterminada.

```
aws iam create-policy-version --policy-arn arn:aws:iam::123456789012:policy/ExamplePolicy1 --policy-document file://UpdatedPolicy.json --set-as-default
```

La política `ExamplePolicy1` ahora está actualizada para eliminar el acceso al servicio de Amazon EC2 innecesario.

## Otros escenarios de IAM
<a name="last-accessed-scenarios-other"></a>

La información sobre cuando un recurso de IAM (usuario, grupo, rol o política) ha intentado por última vez acceder a un servicio puede ser de ayuda al completar cualquiera de las siguientes tareas:
+ **Políticas**: [Edición de una política administrada por el cliente o insertada existente para eliminar permisos](access_policies_manage-edit.md)
+ **Políticas**: [Conversión de una política insertada en una política administrada y su eliminación a continuación](access_policies-convert-inline-to-managed.md)
+ **Políticas**: [adición de una denegación explícita a una política existente](reference_policies_evaluation-logic_AccessPolicyLanguage_Interplay.md)
+ **Políticas**: [desconexión de una política administrada de una identidad (usuario, grupo o rol)](access_policies_manage-attach-detach.md#detach-managed-policy-console)
+ **Entidades**: [Establecer un límite de permisos para controlar los permisos máximos que una entidad (usuario o rol) puede tener](access_policies_manage-attach-detach.md)
+ **Grupos**: [Eliminación de usuarios de un grupo](id_groups_manage_add-remove-users.md)

## Uso de información para perfeccionar los permisos de una unidad organizativa
<a name="access_policies_last-accessed-reduce-permissions-orgs"></a>

Puede utilizar la información de acceso reciente para perfeccionar los permisos de una unidad organizativa de AWS Organizations.

Por ejemplo, John Stiles es un administrador de AWS Organizations. Es responsable de garantizar que las personas de las cuentas de Cuentas de AWS de la empresa no tengan demasiados permisos. En el marco de una auditoría de seguridad periódica, revisa los permisos de la organización. Su unidad organizativa `Development` incluye cuentas que se suelen utilizar para probar nuevos servicios de AWS. John decide revisar periódicamente el informe de los servicios a los que no se ha accedido en más de 180 días. Luego elimina los permisos de los miembros de la unidad organizativa para acceder a dichos servicios. 

John inicia sesión en la consola de IAM con sus credenciales de cuenta de administración. En la consola de IAM, localiza los datos de AWS Organizations de la unidad organizativa `Development`. Revisa la tabla **Service access report (Informe de acceso a servicios)** y ve dos servicios de AWS a los que no se ha accedido en más de su período preferido de 180 días. Recuerda que añadió permisos para que los equipos de desarrollo accedieran a Amazon Lex y AWS Database Migration Service. John se pone en contacto con los equipos de desarrollo y confirma que ya no tienen una necesidad comercial de probar estos servicios.

Ahora John está listo para actuar con arreglo a la información de acceso reciente. Elije **Editar en AWS Organizations** y se le recuerda que la SCP está asociada a varias entidades. Elije **Continue (Continuar)**. En AWS Organizations, revisa los destinos para averiguar a qué entidades de AWS Organizations está asociada la SCP. Todas las entidades se encuentran dentro de la unidad organizativa `Development`.

John decide denegar el acceso a las acciones de Amazon Lex y AWS Database Migration Service en la SCP `NewServiceTest`. Esta acción elimina el acceso innecesario a los servicios.

# Servicios y acciones de la información sobre los últimos accesos a la acción de IAM
<a name="access_policies_last-accessed-action-last-accessed"></a>

En la siguiente tabla, se enumeran los servicios de AWS para los que se muestra la [información sobre los últimos accesos a la acción de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed.html). Para obtener una lista de acciones de cada servicio, consulte [Acciones, recursos y claves de condiciones de Servicios de AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) en la Referencia de autorizaciones de servicio.

AWS proporciona información de las últimas acciones a las que se accedió en formato JSON para agilizar la automatización de los flujos de trabajo de administración de políticas. Al contar con información de referencia del servicio, puede acceder a las últimas acciones a las que se accedió en los Servicios de AWS desde archivos legibles por máquina. Para obtener más información, consulte [Información simplificada de Servicio de AWS para el acceso programático](https://docs.aws.amazon.com/service-authorization/latest/reference/service-reference.html) en la Referencia de autorización de servicio.


|  **Servicio de**  |  **Prefijo de servicio**  | 
| --- | --- | 
|  [AWS Identity and Access Management y Access Analyzer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html)  | access-analyzer | 
|  [AWS Account Management](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsaccountmanagement.html)  | account | 
|  [AWS Certificate Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscertificatemanager.html)  | acm | 
|  [Flujo de trabajo administrado de Amazon para Apache Airflow](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedworkflowsforapacheairflow.html)  | airflow | 
|  [AWS Amplify](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsamplify.html)  | amplify | 
|  [AWS Amplify Creador de UI de](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsamplifyuibuilder.html)  | amplifyuibuilder | 
|  [Integraciones de aplicaciones de Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonappintegrations.html)  | app-integrations | 
|  [AWS AppConfig](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappconfig.html)  | appconfig | 
|  [Amazon AppFlow](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonappflow.html)  | appflow | 
|  [AWS Application Cost Profiler](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationcostprofilerservice.html)  | application-cost-profiler | 
|  [Información de aplicaciones de Amazon CloudWatch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchapplicationinsights.html)  | applicationinsights | 
|  [AWS App Mesh](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappmesh.html)  | appmesh | 
|  [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonappstream2.0.html)  | appstream | 
|  [AWS AppSync](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappsync.html)  | appsync | 
|  [Servicio administrado por Amazon para Prometheus](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedserviceforprometheus.html)  | aps | 
|  [Amazon Athena](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html)  | athena | 
|  [AWS Audit Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsauditmanager.html)  | auditmanager | 
|  [AWS Auto Scaling](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsautoscaling.html)  | autoscaling | 
|  [AWS Marketplace](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmarketplace.html)  | aws-marketplace | 
|  [AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html)  | backup | 
|  [AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html)  | batch | 
|  [Amazon Braket](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbraket.html)  | braket | 
|  [AWS Budgets](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbudgetservice.html)  | budgets | 
|  [AWS Cloud9](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloud9.html)  | cloud9 | 
|  [AWS CloudFormation](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudformation.html)  | cloudformation | 
|  [Amazon CloudFront](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudfront.html)  | cloudfront | 
|  [AWS CloudHSM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudhsm.html)  | cloudhsm | 
|  [Amazon CloudSearch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudsearch.html)  | cloudsearch | 
|  [AWS CloudTrail](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudtrail.html)  | cloudtrail | 
|  [Amazon CloudWatch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatch.html)  | cloudwatch | 
|  [AWS CodeArtifact](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodeartifact.html)  | codeartifact | 
|  [AWS CodeDeploy](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodedeploy.html)  | codedeploy | 
|  [Generador de perfiles de Amazon CodeGuru](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncodeguruprofiler.html)  | codeguru-profiler | 
|  [Revisor de Amazon CodeGuru](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncodegurureviewer.html)  | codeguru-reviewer | 
|  [AWS CodePipeline](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodepipeline.html)  | codepipeline | 
|  [AWS CodeStar](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodestar.html)  | codestar | 
|  [AWS CodeStar Notificaciones de](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscodestarnotifications.html)  | codestar-notifications | 
|  [Amazon Cognito Identity](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitoidentity.html)  | cognito-identity | 
|  [Grupos de usuarios de Amazon Cognito](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitouserpools.html)  | cognito-idp | 
|  [Amazon Cognito Sync](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncognitosync.html)  | cognito-sync | 
|  [Amazon Comprehend Medical](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncomprehendmedical.html)  | comprehendmedical | 
|  [AWS Compute Optimizer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscomputeoptimizer.html)  | compute-optimizer | 
|  [AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html)  | config | 
|  [Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html)  | connect | 
|  [AWS Cost and Usage Report](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostandusagereport.html)  | cur | 
|  [AWS Glue DataBrew](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsgluedatabrew.html)  | databrew | 
|  [AWS Data Exchange](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdataexchange.html)  | dataexchange | 
|  [AWS Data Pipeline](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatapipeline.html)  | datapipeline | 
|  [DynamoDB Accelerator](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondynamodbacceleratordax.html)  | dax | 
|  [AWS Device Farm](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdevicefarm.html)  | devicefarm | 
|  [Amazon DevOps Guru](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondevopsguru.html)  | devops-guru | 
|  [AWS Direct Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdirectconnect.html)  | directconnect | 
|  [Administrador de vida útil de datos de Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondatalifecyclemanager.html)  | dlm | 
|  [AWS Database Migration Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdatabasemigrationservice.html)  | dms | 
|  [Clústeres elásticos de Amazon DocumentDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondocumentdbelasticclusters.html)  | docdb-elastic | 
|  [Amazon DynamoDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondynamodb.html)  | dynamodb | 
|  [Amazon Elastic Block Store](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticblockstore.html)  | ebs | 
|  [Amazon Elastic Compute Cloud](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html)  | ec2 | 
|  [Amazon Elastic Container Registry](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistry.html)  | ecr | 
|  [Amazon Elastic Container Registry Public](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerregistrypublic.html)  | ecr-public | 
|  [Amazon Elastic Container Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html)  | ecs | 
|  [Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html)  | eks | 
|  [Amazon ElastiCache](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticache.html)  | elasticache | 
|  [AWS Elastic Beanstalk](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselasticbeanstalk.html)  | elasticbeanstalk | 
|  [Amazon Elastic File System](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticfilesystem.html)  | elasticfilesystem | 
|  [Elastic Load Balancing](https://docs.aws.amazon.com/service-authorization/latest/reference/list_elasticloadbalancing.html)  | elasticloadbalancing | 
|  [Amazon Elastic Transcoder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastictranscoder.html)  | elastictranscoder | 
|  [Amazon EMR en EKS (Contenedores de EMR)](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonemroneksemrcontainers.html)  | emr-containers | 
|  [Amazon EMR sin servidor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonemrserverless.html)  | emr-serverless | 
|  [Amazon OpenSearch Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonopensearchservice.html)  | es | 
|  [Amazon EventBridge](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridge.html)  | events | 
|  [Amazon CloudWatch Evidently](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchevidently.html)  | evidently | 
|  [Amazon FinSpace](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfinspace.html)  | finspace | 
|  [Amazon Data Firehose](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisfirehose.html)  | firehose | 
|  [AWS Fault Injection Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfaultinjectionsimulator.html)  | fis | 
|  [AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html)  | fms | 
|  [Amazon Fraud Detector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfrauddetector)  | frauddetector | 
|  [Amazon FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx)  | fsx | 
|  [Amazon GameLift Servers](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazongamelift)  | gamelift | 
|  [Amazon Location Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlocation.html)  | geo | 
|  [de Amazon Glacier](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3glacier.html)  | glacier | 
|  [Amazon Managed Grafana](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedgrafana.html)  | grafana | 
|  [AWS IoT Greengrass](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotgreengrass.html)  | greengrass | 
|  [AWS Ground Station](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsgroundstation.html)  | groundstation | 
|  [Amazon GuardDuty](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html)  | guardduty | 
|  [AWS HealthLake](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonhealthlake.html)  | healthlake | 
|  [Amazon Honeycode](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonhoneycode.html)  | honeycode | 
|  [AWS Identity and Access Management](https://docs.aws.amazon.com/service-authorization/latest/reference/list_identityandaccessmanagement.html)  | iam | 
|  [AWS Almacén de identidades de](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentitystore.html)  | identitystore | 
|  [Generador de Imágenes de EC](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html)  | imagebuilder | 
|  [Amazon Inspector Classic](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector.html)  | inspector | 
|  [Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html)  | inspector2 | 
|  [AWS IoT](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html)  | iot | 
|  [AWS IoT Analytics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotanalytics.html)  | iotanalytics | 
|  [AWS IoT Core Device Advisor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotcoredeviceadvisor.html)  | iotdeviceadvisor | 
|  [AWS IoT Events](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotevents.html)  | iotevents | 
|  [AWS IoT Fleet Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotfleethubfordevicemanagement.html)  | iotfleethub | 
|  [AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html)  | iotsitewise | 
|  [AWS IoT TwinMaker](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiottwinmaker.html)  | iottwinmaker | 
|  [AWS IoT Wireless](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotwireless.html)  | iotwireless | 
|  [Amazon Interactive Video Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninteractivevideoservice.html)  | ivs | 
|  [Amazon Interactive Video Service Chat](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninteractivevideoservicechat.html)  | ivschat | 
|  [Transmisión gestionadada de Amazon para Apache Kafka](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedstreamingforapachekafka.html)  | kafka | 
|  [Amazon Managed Streaming para Kafka Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedstreamingforkafkaconnect.html)  | kafkaconnect | 
|  [Amazon Kendra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkendra.html)  | kendra | 
|  [Amazon Kinesis](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesis.html)  | kinesis | 
|  [Amazon Kinesis Analytics V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkinesisanalyticsv2.html)  | kinesisanalytics | 
|  [AWS Key Management Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html)  | kms | 
|  [AWS Lambda](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslambda.html)  | lambda | 
|  [Amazon Lex](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlexv2.html)  | lex | 
|  [AWS License Manager Administrador de suscripciones de Linux de](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awslicensemanagerlinuxsubscriptionsmanager.html)  | license-manager-linux-subscriptions | 
|  [Amazon Lightsail](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlightsail.html)  | lightsail | 
|  [Registros de Amazon CloudWatch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchlogs.html)  | logs | 
|  [Amazon Lookout for Equipment](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlookoutforequipment.html)  | lookoutequipment | 
|  [Amazon Lookout for Metrics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlookoutformetrics.html)  | lookoutmetrics | 
|  [Amazon Lookout for Vision](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonlookoutforvision.html)  | lookoutvision | 
|  [AWS Mainframe Modernization](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmainframemodernizationservice.html)  | m2 | 
|  [Amazon Managed Blockchain](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedblockchain.html)  | managedblockchain | 
|  [AWS Elemental MediaConnect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediaconnect.html)  | mediaconnect | 
|  [AWS Elemental MediaConvert](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediaconvert.html)  | mediaconvert | 
|  [AWS Elemental MediaLive](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmedialive.html)  | medialive | 
|  [AWS Elemental MediaStore](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediastore.html)  | mediastore | 
|  [AWS Elemental MediaTailor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awselementalmediatailor.html)  | mediatailor | 
|  [Amazon MemoryDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmemorydb.html)  | memorydb | 
|  [AWS Application Migration Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapplicationmigrationservice.html)  | mgn | 
|  [AWS Migration Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmigrationhub.html)  | mgh | 
|  [AWS Recomendaciones de estrategias de Migration Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmigrationhubstrategyrecommendations.html)  | migrationhub-strategy | 
|  [Amazon Pinpoint](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpinpoint.html)  | mobiletargeting | 
|  [Amazon MQ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmq.html)  | mq | 
|  [AWS Network Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsnetworkmanager.html)  | networkmanager | 
|  [Amazon Nimble Studio](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonnimblestudio.html)  | nimble | 
|  [AWS HealthOmics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthomics.html)  | omics | 
|  [AWS OpsWorks](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsopsworks.html)  | opsworks | 
|  [AWS OpsWorks CM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsopsworksconfigurationmanagement)  | opsworks-cm | 
|  [AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html)  | outposts | 
|  [AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html)  | organizations | 
|  [AWS Panorama](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awspanorama.html)  | panorama | 
|  [AWS Información de rendimiento de](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsperformanceinsights.html)  | pi | 
|  [Canalizaciones de Amazon EventBridge](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgepipes.html)  | pipes | 
|  [Amazon Polly](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpolly.html)  | polly | 
|  [Perfiles de clientes de Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnectcustomerprofiles.html)  | profile | 
|  [Amazon QLDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonqldb.html)  | qldb | 
|  [AWS Resource Access Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceaccessmanager.html)  | ram | 
|  [AWS Papelera de reciclaje de](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrecyclebin.html)  | rbin | 
|  [Amazon Relational Database Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrds.html)  | rds | 
|  [Amazon Redshift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshift.html)  | redshift | 
|  [API de datos de Amazon Redshift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshiftdataapi.html)  | redshift-data | 
|  [AWS Migration Hub Refactor Spaces](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmigrationhubrefactorspaces.html)  | refactor-spaces | 
|  [Amazon Rekognition](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrekognition.html)  | rekognition | 
|  [AWS Resilience Hub](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresiliencehub.html)  | resiliencehub | 
|  [Explorador de recursos de AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html)  | resource-explorer-2 | 
|  [Grupos de recursos de AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourcegroups.html)  | resource-groups | 
|  [AWS RoboMaker](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsrobomaker.html)  | robomaker | 
|  [AWS Identity and Access Management Roles de en cualquier lugar](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementrolesanywhere.html)  | rolesanywhere | 
|  [Amazon Route 53](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html)  | route53 | 
|  [Controles de recuperación Amazon Route](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoverycontrols.html)  | route53-recovery-control-config | 
|  [Preparación para la recuperación de Amazon Route](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53recoveryreadiness.html)  | route53-recovery-readiness | 
|  [Amazon Route 53 Resolver](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53resolver.html)  | route53resolver | 
|  [AWS CloudWatch RUM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudwatchrum.html)  | rum | 
|  [Amazon Simple Storage Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html)  | s3 | 
|  [Amazon S3 en Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3onoutposts.html)  | s3-outposts | 
|  [Capacidades geoespaciales de Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakergeospatialcapabilities.html)  | sagemaker-geospatial | 
|  [Savings Plans](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssavingsplans.html)  | savingsplans | 
|  [Esquemas de Amazon EventBridge](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoneventbridgeschemas.html)  | schemas | 
|  [Amazon SimpleDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsimpledb.html)  | sdb | 
|  [AWS Secrets Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecretsmanager.html)  | secretsmanager | 
|  [AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html)  | securityhub | 
|  [Amazon Security Lake](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsecuritylake.html)  | securitylake | 
|  [AWS Serverless Application Repository](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsserverlessapplicationrepository.html)  | serverlessrepo | 
|  [AWS Service Catalog](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsservicecatalog.html)  | servicecatalog | 
|  [AWS Cloud Map](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudmap.html)  | servicediscovery | 
|  [Service Quotas](https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html)  | servicequotas | 
|  [Amazon Simple Email Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonses.html)  | ses | 
|  [AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html)  | shield | 
|  [AWS Signer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssigner.html)  | signer | 
|  [AWS SimSpace Weaver](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssimspaceweaver.html)  | simspaceweaver | 
|  [AWS Server Migration Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsservermigrationservice.html)  | sms | 
|  [Servicio de SMS y voz de Amazon Pinpoint](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpinpointsmsandvoiceservice.html)  | sms-voice | 
|  [AWS Snowball Edge](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssnowball.html)  | snowball | 
|  [Amazon Simple Queue Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsqs.html)  | sqs | 
|  [AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html)  | ssm | 
|  [Administrador de incidentes de AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerincidentmanager.html)  | ssm-incidents | 
|  [AWS Systems Manager para SAP](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanagerforsap.html)  | ssm-sap | 
|  [AWS Step Functions](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsstepfunctions.html)  | states | 
|  [AWS Security Token Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecuritytokenservice.html)  | sts | 
|  [Amazon Simple Workflow Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsimpleworkflowservice.html)  | swf | 
|  [Amazon CloudWatch Synthetics](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchsynthetics.html)  | synthetics | 
|  [AWS Resource Groups Tagging API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonresourcegrouptaggingapi.html)  | tag | 
|  [Amazon Textract](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontextract.html)  | textract | 
|  [Amazon Timestream](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontimestream.html)  | timestream | 
|  [AWS Creador de red de telecomunicaciones de](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstelconetworkbuilder.html)  | tnb | 
|  [Amazon Transcribe](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranscribe.html)  | transcribe | 
|  [AWS Transfer Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html)  | transfer | 
|  [Amazon Translate](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontranslate.html)  | translate | 
|  [Amazon Connect Voice ID](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnectvoiceid.html)  | voiceid | 
|  [Amazon VPC Lattice](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclattice.html)  | vpc-lattice | 
|  [AWS WAFV2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html)  | wafv2 | 
|  [AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html)  | wellarchitected | 
|  [Amazon Connect Wisdom](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnectwisdom.html)  | wisdom | 
|  [Amazon WorkLink](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonworklink.html)  | worklink | 
|  [Amazon WorkSpaces](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonworkspaces.html)  | workspaces | 
|  [AWS X-Ray](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsx-ray.html)  | xray | 

## Acciones para la información sobre los últimos accesos a la acción
<a name="access_policies_last-accessed-action-last-accessed-supported-actions"></a>

En la siguiente tabla, se enumeran las acciones para las que está disponible la información sobre los últimos accesos a la acción.

**importante**  
La acción `iam:UpdateAccountName` quedará obsoleta el 22 de abril de 2026. Después del 22 de abril de 2026, solo el permiso `[account:PutAccountName](https://docs.aws.amazon.com/accounts/latest/reference/API_PutAccountName.html)` controlará el acceso a las actualizaciones del nombre de la cuenta. Le recomendamos que actualice las [políticas de control de servicio (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) que controlan las actualizaciones del nombre de la cuenta para usar permiso `account:PutAccountName`.


|  **Prefijo de servicio**  |  **Acciones**  | 
| --- | --- | 
| access-analyzer |  access-analyzer:ApplyArchiveRule access-analyzer:CancelPolicyGeneration access-analyzer:CheckAccessNotGranted access-analyzer:CheckNoNewAccess access-analyzer:CheckNoPublicAccess access-analyzer:CreateAccessPreview access-analyzer:CreateAnalyzer access-analyzer:CreateArchiveRule access-analyzer:DeleteAnalyzer access-analyzer:DeleteArchiveRule access-analyzer:GenerateFindingRecommendation access-analyzer:GetAccessPreview access-analyzer:GetAnalyzedResource access-analyzer:GetAnalyzer access-analyzer:GetArchiveRule access-analyzer:GetFinding access-analyzer:GetFindingRecommendation access-analyzer:GetFindingsStatistics access-analyzer:GetGeneratedPolicy access-analyzer:ListAccessPreviewFindings access-analyzer:ListAccessPreviews access-analyzer:ListAnalyzedResources access-analyzer:ListAnalyzers access-analyzer:ListArchiveRules access-analyzer:ListFindings access-analyzer:ListPolicyGenerations access-analyzer:StartPolicyGeneration access-analyzer:StartResourceScan access-analyzer:UpdateAnalyzer access-analyzer:UpdateArchiveRule access-analyzer:UpdateFindings access-analyzer:ValidatePolicy  | 
| inscrita |  account:AcceptPrimaryEmailUpdate account:DeleteAlternateContact account:DisableRegion account:EnableRegion account:GetAccountInformation account:GetAlternateContact account:GetContactInformation account:GetGovCloudAccountInformation account:GetPrimaryEmail account:GetRegionOptStatus account:ListRegions account:PutAccountName account:PutAlternateContact account:PutContactInformation account:StartPrimaryEmailUpdate  | 
| acm |  acm:DeleteCertificate acm:DescribeCertificate acm:ExportCertificate acm:GetAccountConfiguration acm:GetCertificate acm:ImportCertificate acm:ListCertificates acm:PutAccountConfiguration acm:RenewCertificate acm:RequestCertificate acm:ResendValidationEmail acm:UpdateCertificateOptions  | 
| airflow |  airflow:CreateCliToken airflow:CreateEnvironment airflow:CreateWebLoginToken airflow:DeleteEnvironment airflow:GetEnvironment airflow:ListEnvironments airflow:PublishMetrics airflow:UpdateEnvironment  | 
| amplify |  amplify:CreateApp amplify:CreateBackendEnvironment amplify:CreateBranch amplify:CreateDeployment amplify:CreateDomainAssociation amplify:CreateWebHook amplify:DeleteApp amplify:DeleteBackendEnvironment amplify:DeleteBranch amplify:DeleteDomainAssociation amplify:DeleteJob amplify:DeleteWebHook amplify:GenerateAccessLogs amplify:GetApp amplify:GetArtifactUrl amplify:GetBackendEnvironment amplify:GetBranch amplify:GetDomainAssociation amplify:GetJob amplify:GetWebHook amplify:ListApps amplify:ListArtifacts amplify:ListBackendEnvironments amplify:ListBranches amplify:ListDomainAssociations amplify:ListJobs amplify:ListWebHooks amplify:StartDeployment amplify:StartJob amplify:StopJob amplify:UpdateApp amplify:UpdateBranch amplify:UpdateDomainAssociation amplify:UpdateWebHook  | 
| amplifyuibuilder |  amplifyuibuilder:CreateComponent amplifyuibuilder:CreateForm amplifyuibuilder:CreateTheme amplifyuibuilder:DeleteComponent amplifyuibuilder:DeleteForm amplifyuibuilder:DeleteTheme amplifyuibuilder:ExportComponents amplifyuibuilder:ExportThemes amplifyuibuilder:GetCodegenJob amplifyuibuilder:ListCodegenJobs amplifyuibuilder:ListComponents amplifyuibuilder:ListForms amplifyuibuilder:ListThemes amplifyuibuilder:ResetMetadataFlag amplifyuibuilder:StartCodegenJob amplifyuibuilder:UpdateComponent amplifyuibuilder:UpdateForm amplifyuibuilder:UpdateTheme  | 
| app-integrations |  app-integrations:CreateApplication app-integrations:CreateDataIntegration app-integrations:CreateDataIntegrationAssociation app-integrations:CreateEventIntegration app-integrations:DeleteApplication app-integrations:DeleteDataIntegration app-integrations:DeleteEventIntegration app-integrations:GetApplication app-integrations:GetDataIntegration app-integrations:GetEventIntegration app-integrations:ListApplicationAssociations app-integrations:ListApplications app-integrations:ListDataIntegrationAssociations app-integrations:ListDataIntegrations app-integrations:ListEventIntegrationAssociations app-integrations:ListEventIntegrations app-integrations:UpdateApplication app-integrations:UpdateDataIntegration app-integrations:UpdateDataIntegrationAssociation app-integrations:UpdateEventIntegration  | 
| appconfig |  appconfig:CreateApplication appconfig:CreateConfigurationProfile appconfig:CreateDeploymentStrategy appconfig:CreateEnvironment appconfig:CreateExtension appconfig:CreateExtensionAssociation appconfig:CreateHostedConfigurationVersion appconfig:DeleteApplication appconfig:DeleteConfigurationProfile appconfig:DeleteDeploymentStrategy appconfig:DeleteEnvironment appconfig:DeleteExtension appconfig:DeleteExtensionAssociation appconfig:DeleteHostedConfigurationVersion appconfig:GetAccountSettings appconfig:GetApplication appconfig:GetConfiguration appconfig:GetConfigurationProfile appconfig:GetDeployment appconfig:GetDeploymentStrategy appconfig:GetEnvironment appconfig:GetExtension appconfig:GetExtensionAssociation appconfig:GetHostedConfigurationVersion appconfig:ListApplications appconfig:ListConfigurationProfiles appconfig:ListDeploymentStrategies appconfig:ListDeployments appconfig:ListEnvironments appconfig:ListExtensionAssociations appconfig:ListExtensions appconfig:ListHostedConfigurationVersions appconfig:StartDeployment appconfig:StopDeployment appconfig:UpdateAccountSettings appconfig:UpdateApplication appconfig:UpdateConfigurationProfile appconfig:UpdateDeploymentStrategy appconfig:UpdateEnvironment appconfig:UpdateExtension appconfig:UpdateExtensionAssociation appconfig:ValidateConfiguration  | 
| appflow |  appflow:CancelFlowExecutions appflow:CreateConnectorProfile appflow:CreateFlow appflow:DeleteConnectorProfile appflow:DeleteFlow appflow:DescribeConnector appflow:DescribeConnectorEntity appflow:DescribeConnectorProfiles appflow:DescribeConnectors appflow:DescribeFlow appflow:DescribeFlowExecutionRecords appflow:ListConnectorEntities appflow:ListConnectors appflow:ListFlows appflow:RegisterConnector appflow:ResetConnectorMetadataCache appflow:StartFlow appflow:StopFlow appflow:UnRegisterConnector appflow:UpdateConnectorProfile appflow:UpdateConnectorRegistration appflow:UpdateFlow  | 
| applicationinsights |  applicationinsights:AddWorkload applicationinsights:CreateApplication applicationinsights:CreateComponent applicationinsights:CreateLogPattern applicationinsights:DeleteApplication applicationinsights:DeleteComponent applicationinsights:DeleteLogPattern applicationinsights:DescribeApplication applicationinsights:DescribeComponent applicationinsights:DescribeComponentConfiguration applicationinsights:DescribeComponentConfigurationRecommendation applicationinsights:DescribeLogPattern applicationinsights:DescribeObservation applicationinsights:DescribeProblem applicationinsights:DescribeProblemObservations applicationinsights:DescribeWorkload applicationinsights:ListApplications applicationinsights:ListComponents applicationinsights:ListConfigurationHistory applicationinsights:ListLogPatternSets applicationinsights:ListLogPatterns applicationinsights:ListProblems applicationinsights:ListWorkloads applicationinsights:RemoveWorkload applicationinsights:UpdateApplication applicationinsights:UpdateComponent applicationinsights:UpdateComponentConfiguration applicationinsights:UpdateLogPattern applicationinsights:UpdateWorkload  | 
| appmesh |  appmesh:CreateGatewayRoute appmesh:CreateMesh appmesh:CreateRoute appmesh:CreateVirtualGateway appmesh:CreateVirtualNode appmesh:CreateVirtualRouter appmesh:CreateVirtualService appmesh:DeleteGatewayRoute appmesh:DeleteMesh appmesh:DeleteRoute appmesh:DeleteVirtualGateway appmesh:DeleteVirtualNode appmesh:DeleteVirtualRouter appmesh:DeleteVirtualService appmesh:DescribeGatewayRoute appmesh:DescribeMesh appmesh:DescribeRoute appmesh:DescribeVirtualGateway appmesh:DescribeVirtualNode appmesh:DescribeVirtualRouter appmesh:DescribeVirtualService appmesh:ListGatewayRoutes appmesh:ListMeshes appmesh:ListRoutes appmesh:ListVirtualGateways appmesh:ListVirtualNodes appmesh:ListVirtualRouters appmesh:ListVirtualServices appmesh:StreamAggregatedResources appmesh:UpdateGatewayRoute appmesh:UpdateMesh appmesh:UpdateRoute appmesh:UpdateVirtualGateway appmesh:UpdateVirtualNode appmesh:UpdateVirtualRouter appmesh:UpdateVirtualService  | 
| appstream |  appstream:AssociateAppBlockBuilderAppBlock appstream:AssociateApplicationFleet appstream:AssociateApplicationToEntitlement appstream:AssociateFleet appstream:AssociateSoftwareToImageBuilder appstream:BatchAssociateUserStack appstream:BatchDisassociateUserStack appstream:CopyImage appstream:CreateAppBlock appstream:CreateAppBlockBuilder appstream:CreateAppBlockBuilderStreamingURL appstream:CreateApplication appstream:CreateDirectoryConfig appstream:CreateEntitlement appstream:CreateFleet appstream:CreateImageBuilder appstream:CreateImageBuilderStreamingURL appstream:CreateStack appstream:CreateStreamingURL appstream:CreateThemeForStack appstream:CreateUpdatedImage appstream:CreateUsageReportSubscription appstream:CreateUser appstream:DeleteAppBlock appstream:DeleteAppBlockBuilder appstream:DeleteApplication appstream:DeleteDirectoryConfig appstream:DeleteEntitlement appstream:DeleteFleet appstream:DeleteImage appstream:DeleteImageBuilder appstream:DeleteImagePermissions appstream:DeleteStack appstream:DeleteThemeForStack appstream:DeleteUsageReportSubscription appstream:DeleteUser appstream:DescribeAppBlockBuilderAppBlockAssociations appstream:DescribeAppBlockBuilders appstream:DescribeAppBlocks appstream:DescribeAppLicenseUsage appstream:DescribeApplicationFleetAssociations appstream:DescribeApplications appstream:DescribeDirectoryConfigs appstream:DescribeEntitlements appstream:DescribeFleets appstream:DescribeImageBuilders appstream:DescribeImagePermissions appstream:DescribeImages appstream:DescribeSessions appstream:DescribeStacks appstream:DescribeThemeForStack appstream:DescribeUsageReportSubscriptions appstream:DescribeUserStackAssociations appstream:DescribeUsers appstream:DisableUser appstream:DisassociateAppBlockBuilderAppBlock appstream:DisassociateApplicationFleet appstream:DisassociateApplicationFromEntitlement appstream:DisassociateFleet appstream:DisassociateSoftwareFromImageBuilder appstream:EnableUser appstream:ExpireSession appstream:GetExportImageTask appstream:ListAssociatedFleets appstream:ListAssociatedStacks appstream:ListEntitledApplications appstream:ListExportImageTasks appstream:StartAppBlockBuilder appstream:StartFleet appstream:StartImageBuilder appstream:StartSoftwareDeploymentToImageBuilder appstream:StopAppBlockBuilder appstream:StopFleet appstream:StopImageBuilder appstream:UpdateAppBlockBuilder appstream:UpdateApplication appstream:UpdateDirectoryConfig appstream:UpdateEntitlement appstream:UpdateFleet appstream:UpdateImagePermissions appstream:UpdateStack appstream:UpdateThemeForStack  | 
| appsync |  appsync:AssociateApi appsync:AssociateMergedGraphqlApi appsync:AssociateSourceGraphqlApi appsync:AssociateWebACL appsync:CreateApi appsync:CreateApiCache appsync:CreateApiKey appsync:CreateChannelNamespace appsync:CreateDataSource appsync:CreateDomainName appsync:CreateFunction appsync:CreateGraphqlApi appsync:CreateResolver appsync:CreateType appsync:DeleteApi appsync:DeleteApiCache appsync:DeleteApiKey appsync:DeleteChannelNamespace appsync:DeleteDataSource appsync:DeleteDomainName appsync:DeleteFunction appsync:DeleteGraphqlApi appsync:DeleteResolver appsync:DeleteType appsync:DisassociateApi appsync:DisassociateMergedGraphqlApi appsync:DisassociateSourceGraphqlApi appsync:DisassociateWebACL appsync:EvaluateCode appsync:EvaluateMappingTemplate appsync:FlushApiCache appsync:GetApi appsync:GetApiAssociation appsync:GetApiCache appsync:GetChannelNamespace appsync:GetDataSource appsync:GetDataSourceIntrospection appsync:GetDomainName appsync:GetFunction appsync:GetGraphqlApi appsync:GetGraphqlApiEnvironmentVariables appsync:GetIntrospectionSchema appsync:GetResolver appsync:GetSchemaCreationStatus appsync:GetSourceApiAssociation appsync:GetType appsync:GetWebACLForResource appsync:ListApiKeys appsync:ListApis appsync:ListChannelNamespaces appsync:ListDataSources appsync:ListDomainNames appsync:ListFunctions appsync:ListGraphqlApis appsync:ListResolvers appsync:ListResolversByFunction appsync:ListResourcesForWebACL appsync:ListSourceApiAssociations appsync:ListTypes appsync:ListTypesByAssociation appsync:PutGraphqlApiEnvironmentVariables appsync:StartDataSourceIntrospection appsync:StartSchemaCreation appsync:StartSchemaMerge appsync:UpdateApi appsync:UpdateApiCache appsync:UpdateApiKey appsync:UpdateChannelNamespace appsync:UpdateDataSource appsync:UpdateDomainName appsync:UpdateFunction appsync:UpdateGraphqlApi appsync:UpdateResolver appsync:UpdateSourceApiAssociation appsync:UpdateType  | 
| aps |  aps:CreateAlertManagerDefinition aps:CreateAnomalyDetector aps:CreateLoggingConfiguration aps:CreateQueryLoggingConfiguration APS: Crear configuración de registro de consultas aps:CreateRuleGroupsNamespace aps:CreateWorkspace aps:DeleteAlertManagerDefinition aps:DeleteAnomalyDetector aps:DeleteLoggingConfiguration aps:DeleteQueryLoggingConfiguration APS: Eliminar configuración de registro de consultas aps:DeleteResourcePolicy aps:DeleteRuleGroupsNamespace aps:DeleteScraper aps:DeleteScraperLoggingConfiguration aps:DeleteWorkspace aps:DescribeAlertManagerDefinition aps:DescribeAnomalyDetector aps:DescribeLoggingConfiguration aps:DescribeQueryLoggingConfiguration APS: Describir la configuración de registro de consultas aps:DescribeResourcePolicy aps:DescribeRuleGroupsNamespace aps:DescribeScraper aps:DescribeScraperLoggingConfiguration aps:DescribeWorkspace aps:DescribeWorkspaceConfiguration aps:GetDefaultScraperConfiguration aps:ListAnomalyDetectors aps:ListRuleGroupsNamespaces aps:ListScrapers aps:ListWorkspaces aps:PutAlertManagerDefinition aps:PutAnomalyDetector aps:PutResourcePolicy aps:PutRuleGroupsNamespace aps:UpdateLoggingConfiguration aps:UpdateQueryLoggingConfiguration APS: Actualizar la configuración de registro de consultas aps:UpdateScraper aps:UpdateScraperLoggingConfiguration aps:UpdateWorkspaceAlias aps:UpdateWorkspaceConfiguration  | 
| athena |  athena:BatchGetNamedQuery athena:BatchGetPreparedStatement athena:BatchGetQueryExecution athena:CancelCapacityReservation athena:CreateCapacityReservation athena:CreateDataCatalog athena:CreateNamedQuery athena:CreateNotebook athena:CreatePreparedStatement athena:CreatePresignedNotebookUrl athena:CreateWorkGroup athena:DeleteCapacityReservation athena:DeleteDataCatalog athena:DeleteNamedQuery athena:DeleteNotebook athena:DeletePreparedStatement athena:DeleteWorkGroup athena:ExportNotebook athena:GetCalculationExecution athena:GetCalculationExecutionCode athena:GetCalculationExecutionStatus athena:GetCapacityAssignmentConfiguration athena:GetCapacityReservation athena:GetDataCatalog athena:GetDatabase athena:GetNamedQuery athena:GetNotebookMetadata athena:GetPreparedStatement athena:GetQueryExecution athena:GetQueryResults athena:GetQueryResultsStream athena:GetQueryRuntimeStatistics athena:GetResourceDashboard athena:GetSession athena:GetSessionEndpoint athena:GetSessionStatus athena:GetTableMetadata athena:GetWorkGroup athena:ImportNotebook athena:ListApplicationDPUSizes athena:ListCalculationExecutions athena:ListCapacityReservations athena:ListDataCatalogs athena:ListDatabases athena:ListEngineVersions athena:ListExecutors athena:ListNamedQueries athena:ListNotebookMetadata athena:ListNotebookSessions athena:ListPreparedStatements athena:ListQueryExecutions athena:ListSessions athena:ListTableMetadata athena:ListWorkGroups athena:PutCapacityAssignmentConfiguration athena:StartCalculationExecution athena:StartQueryExecution athena:StartSession athena:StopCalculationExecution athena:StopQueryExecution athena:TerminateSession athena:UpdateCapacityReservation athena:UpdateDataCatalog athena:UpdateNamedQuery athena:UpdateNotebook athena:UpdateNotebookMetadata athena:UpdatePreparedStatement athena:UpdateWorkGroup  | 
| auditmanager |  auditmanager:AssociateAssessmentReportEvidenceFolder auditmanager:BatchAssociateAssessmentReportEvidence auditmanager:BatchCreateDelegationByAssessment auditmanager:BatchDeleteDelegationByAssessment auditmanager:BatchDisassociateAssessmentReportEvidence auditmanager:BatchImportEvidenceToAssessmentControl auditmanager:CreateAssessment auditmanager:CreateAssessmentFramework auditmanager:CreateAssessmentReport auditmanager:CreateControl auditmanager:DeleteAssessment auditmanager:DeleteAssessmentFramework auditmanager:DeleteAssessmentFrameworkShare auditmanager:DeleteAssessmentReport auditmanager:DeleteControl auditmanager:DeregisterAccount auditmanager:DeregisterOrganizationAdminAccount auditmanager:DisassociateAssessmentReportEvidenceFolder auditmanager:GetAccountStatus auditmanager:GetAssessment auditmanager:GetAssessmentFramework auditmanager:GetAssessmentReportUrl auditmanager:GetChangeLogs auditmanager:GetControl auditmanager:GetDelegations auditmanager:GetEvidence auditmanager:GetEvidenceByEvidenceFolder auditmanager:GetEvidenceFileUploadUrl auditmanager:GetEvidenceFolder auditmanager:GetEvidenceFoldersByAssessment auditmanager:GetEvidenceFoldersByAssessmentControl auditmanager:GetInsights auditmanager:GetInsightsByAssessment auditmanager:GetOrganizationAdminAccount auditmanager:GetServicesInScope auditmanager:GetSettings auditmanager:ListAssessmentControlInsightsByControlDomain auditmanager:ListAssessmentFrameworkShareRequests auditmanager:ListAssessmentFrameworks auditmanager:ListAssessmentReports auditmanager:ListAssessments auditmanager:ListControlDomainInsights auditmanager:ListControlDomainInsightsByAssessment auditmanager:ListControlInsightsByControlDomain auditmanager:ListControls auditmanager:ListKeywordsForDataSource auditmanager:ListNotifications auditmanager:RegisterAccount auditmanager:RegisterOrganizationAdminAccount auditmanager:StartAssessmentFrameworkShare auditmanager:UpdateAssessment auditmanager:UpdateAssessmentControl auditmanager:UpdateAssessmentControlSetStatus auditmanager:UpdateAssessmentFramework auditmanager:UpdateAssessmentFrameworkShare auditmanager:UpdateAssessmentStatus auditmanager:UpdateControl auditmanager:UpdateSettings auditmanager:ValidateAssessmentReportIntegrity  | 
| autoscaling |  autoscaling:AttachInstances autoscaling:AttachLoadBalancerTargetGroups autoscaling:AttachLoadBalancers autoscaling:AttachTrafficSources autoscaling:BatchDeleteScheduledAction autoscaling:BatchPutScheduledUpdateGroupAction autoscaling:CancelInstanceRefresh autoscaling:CompleteLifecycleAction autoscaling:CreateAutoScalingGroup autoscaling:CreateLaunchConfiguration autoscaling:DeleteAutoScalingGroup autoscaling:DeleteLaunchConfiguration autoscaling:DeleteLifecycleHook autoscaling:DeleteNotificationConfiguration autoscaling:DeletePolicy autoscaling:DeleteScheduledAction autoscaling:DeleteWarmPool autoscaling:DescribeAccountLimits autoscaling:DescribeAdjustmentTypes autoscaling:DescribeAutoScalingGroups autoscaling:DescribeAutoScalingInstances autoscaling:DescribeAutoScalingNotificationTypes autoscaling:DescribeInstanceRefreshes autoscaling:DescribeLaunchConfigurations autoscaling:DescribeLifecycleHookTypes autoscaling:DescribeLifecycleHooks autoscaling:DescribeLoadBalancerTargetGroups autoscaling:DescribeLoadBalancers autoscaling:DescribeMetricCollectionTypes autoscaling:DescribeNotificationConfigurations autoscaling:DescribePolicies autoscaling:DescribeScalingActivities autoscaling:DescribeScalingProcessTypes autoscaling:DescribeScheduledActions autoscaling:DescribeTerminationPolicyTypes autoscaling:DescribeTrafficSources autoscaling:DescribeWarmPool autoscaling:DetachInstances autoscaling:DetachLoadBalancerTargetGroups autoscaling:DetachLoadBalancers autoscaling:DetachTrafficSources autoscaling:DisableMetricsCollection autoscaling:EnableMetricsCollection autoscaling:EnterStandby autoscaling:ExecutePolicy autoscaling:ExitStandby autoscaling:GetPredictiveScalingForecast autoscaling:PutLifecycleHook autoscaling:PutNotificationConfiguration autoscaling:PutScalingPolicy autoscaling:PutScheduledUpdateGroupAction autoscaling:PutWarmPool autoscaling:RecordLifecycleActionHeartbeat autoscaling:ResumeProcesses autoscaling:RollbackInstanceRefresh autoscaling:SetDesiredCapacity autoscaling:SetInstanceHealth autoscaling:SetInstanceProtection autoscaling:StartInstanceRefresh autoscaling:SuspendProcesses autoscaling:TerminateInstanceInAutoScalingGroup autoscaling:UpdateAutoScalingGroup  | 
| aws-marketplace |  aws-marketplace:GetEntitlements  | 
| copia de seguridad |  backup:CancelLegalHold backup:CreateBackupPlan backup:CreateBackupSelection backup:CreateBackupVault backup:CreateFramework backup:CreateLegalHold backup:CreateLogicallyAirGappedBackupVault backup:CreateReportPlan backup:CreateRestoreAccessBackupVault Copia de seguridad: Crear Restore Access BackupVault backup:CreateRestoreTestingPlan backup:CreateRestoreTestingSelection backup:CreateTieringConfiguration backup:DeleteBackupPlan backup:DeleteBackupSelection backup:DeleteBackupVault backup:DeleteBackupVaultAccessPolicy backup:DeleteBackupVaultLockConfiguration backup:DeleteBackupVaultNotifications backup:DeleteFramework backup:DeleteRecoveryPoint backup:DeleteReportPlan backup:DeleteRestoreTestingPlan backup:DeleteRestoreTestingSelection backup:DeleteTieringConfiguration backup:DescribeBackupJob backup:DescribeBackupVault backup:DescribeCopyJob backup:DescribeFramework backup:DescribeGlobalSettings backup:DescribeProtectedResource backup:DescribeRecoveryPoint backup:DescribeRegionSettings backup:DescribeReportJob backup:DescribeReportPlan backup:DescribeRestoreJob backup:DescribeScanJob backup:DisassociateRecoveryPoint backup:DisassociateRecoveryPointFromParent backup:ExportBackupPlanTemplate backup:GetBackupPlan backup:GetBackupPlanFromJSON backup:GetBackupPlanFromTemplate backup:GetBackupSelection backup:GetBackupVaultAccessPolicy backup:GetBackupVaultNotifications backup:GetLegalHold backup:GetRecoveryPointRestoreMetadata backup:GetRestoreJobMetadata backup:GetRestoreTestingInferredMetadata backup:GetRestoreTestingPlan backup:GetRestoreTestingSelection backup:GetSupportedResourceTypes backup:GetTieringConfiguration backup:ListBackupJobSummaries backup:ListBackupJobs backup:ListBackupPlanTemplates backup:ListBackupPlanVersions backup:ListBackupPlans backup:ListBackupSelections backup:ListBackupVaults backup:ListCopyJobSummaries backup:ListCopyJobs backup:ListFrameworks backup:ListIndexedRecoveryPoints backup:ListLegalHolds backup:ListProtectedResources backup:ListRecoveryPointsByBackupVault backup:ListRecoveryPointsByLegalHold backup:ListRecoveryPointsByResource backup:ListReportJobs backup:ListReportPlans backup:ListRestoreAccessBackupVaults Copia de seguridad: Listar Restore Access BackupVaults backup:ListRestoreJobSummaries backup:ListRestoreJobs backup:ListRestoreJobsByProtectedResource backup:ListRestoreTestingPlans backup:ListRestoreTestingSelections backup:ListScanJobSummaries backup:ListScanJobs backup:ListTieringConfigurations backup:PutBackupVaultAccessPolicy backup:PutBackupVaultLockConfiguration backup:PutBackupVaultNotifications backup:PutRestoreValidationResult backup:StartBackupJob backup:StartCopyJob backup:StartReportJob backup:StartRestoreJob backup:StopBackupJob backup:UpdateBackupPlan backup:UpdateFramework backup:UpdateGlobalSettings backup:UpdateRecoveryPointLifecycle backup:UpdateRegionSettings backup:UpdateReportPlan backup:UpdateRestoreTestingPlan backup:UpdateRestoreTestingSelection backup:UpdateTieringConfiguration  | 
| batch |  batch:CancelJob batch:CreateComputeEnvironment batch:CreateConsumableResource batch:CreateJobQueue batch:CreateSchedulingPolicy batch:CreateServiceEnvironment batch:DeleteComputeEnvironment batch:DeleteConsumableResource batch:DeleteJobQueue batch:DeleteSchedulingPolicy batch:DeleteServiceEnvironment batch:DeregisterJobDefinition batch:DescribeComputeEnvironments batch:DescribeConsumableResource batch:DescribeJobDefinitions batch:DescribeJobQueues batch:DescribeJobs batch:DescribeSchedulingPolicies batch:DescribeServiceEnvironments batch:DescribeServiceJob batch:GetJobQueueSnapshot batch:ListConsumableResources batch:ListJobs batch:ListJobsByConsumableResource batch:ListSchedulingPolicies batch:ListServiceJobs batch:RegisterJobDefinition batch:SubmitJob batch:SubmitServiceJob batch:TerminateJob batch:TerminateServiceJob batch:UpdateComputeEnvironment batch:UpdateConsumableResource batch:UpdateJobQueue batch:UpdateSchedulingPolicy batch:UpdateServiceEnvironment  | 
| braket |  braket:CancelJob braket:CancelQuantumTask braket:CreateJob braket:CreateQuantumTask braket:CreateSpendingLimit braket:GetDevice braket:GetJob braket:GetQuantumTask braket:SearchDevices braket:SearchJobs braket:SearchQuantumTasks braket:SearchSpendingLimits  | 
| budgets |  budgets:CreateBudgetAction budgets:DeleteBudgetAction budgets:DescribeBudgetAction budgets:DescribeBudgetActionHistories budgets:DescribeBudgetActionsForAccount budgets:DescribeBudgetActionsForBudget budgets:ExecuteBudgetAction budgets:ModifyBudget budgets:UpdateBudgetAction budgets:ViewBudget  | 
| cloud9 |  cloud9:CreateEnvironmentEC2 cloud9:CreateEnvironmentMembership cloud9:DeleteEnvironment cloud9:DeleteEnvironmentMembership cloud9:DescribeEnvironmentMemberships cloud9:DescribeEnvironmentStatus cloud9:DescribeEnvironments cloud9:ListEnvironments cloud9:UpdateEnvironment cloud9:UpdateEnvironmentMembership  | 
| cloudformation |  cloudformation:BatchDescribeTypeConfigurations cloudformation:CancelUpdateStack cloudformation:ContinueUpdateRollback cloudformation:CreateChangeSet cloudformation:CreateGeneratedTemplate cloudformation:CreateStack cloudformation:CreateStackInstances cloudformation:CreateStackSet cloudformation:DeactivateType cloudformation:DeleteChangeSet cloudformation:DeleteGeneratedTemplate cloudformation:DeleteStack cloudformation:DeleteStackInstances cloudformation:DeleteStackSet cloudformation:DeregisterType cloudformation:DescribeAccountLimits cloudformation:DescribeChangeSet cloudformation:DescribeChangeSetHooks cloudformation:DescribeEvents cloudformation:DescribeGeneratedTemplate cloudformation:DescribeOrganizationsAccess cloudformation:DescribePublisher cloudformation:DescribeResourceScan cloudformation:DescribeStackDriftDetectionStatus cloudformation:DescribeStackEvents cloudformation:DescribeStackInstance cloudformation:DescribeStackResource cloudformation:DescribeStackResourceDrifts cloudformation:DescribeStackResources cloudformation:DescribeStackSet cloudformation:DescribeStackSetOperation cloudformation:DescribeStacks cloudformation:DescribeType cloudformation:DescribeTypeRegistration cloudformation:DetectStackDrift cloudformation:DetectStackResourceDrift cloudformation:DetectStackSetDrift cloudformation:EstimateTemplateCost cloudformation:ExecuteChangeSet cloudformation:GetGeneratedTemplate cloudformation:GetHookResult cloudformation:GetStackPolicy cloudformation:GetTemplate cloudformation:GetTemplateSummary cloudformation:ImportStacksToStackSet cloudformation:ListChangeSets cloudformation:ListExports cloudformation:ListGeneratedTemplates cloudformation:ListHookResults cloudformation:ListImports cloudformation:ListResourceScanRelatedResources cloudformation:ListResourceScanResources cloudformation:ListResourceScans cloudformation:ListStackInstanceResourceDrifts cloudformation:ListStackInstances cloudformation:ListStackRefactors cloudformation:ListStackResources cloudformation:ListStackSetAutoDeploymentTargets cloudformation:ListStackSetOperationResults cloudformation:ListStackSetOperations cloudformation:ListStackSets cloudformation:ListTypeRegistrations cloudformation:ListTypeVersions cloudformation:ListTypes cloudformation:PublishType cloudformation:RecordHandlerProgress cloudformation:RegisterPublisher cloudformation:RegisterType cloudformation:RollbackStack cloudformation:SetStackPolicy cloudformation:SetTypeConfiguration cloudformation:SetTypeDefaultVersion cloudformation:SignalResource cloudformation:StartResourceScan cloudformation:StopStackSetOperation cloudformation:TestType cloudformation:UpdateGeneratedTemplate cloudformation:UpdateStack cloudformation:UpdateStackInstances cloudformation:UpdateStackSet cloudformation:UpdateTerminationProtection cloudformation:ValidateTemplate  | 
| cloudfront |  cloudfront:AssociateAlias cloudfront:AssociateDistributionTenantWebACL cloudfront:AssociateDistributionWebACL cloudfront:CreateCachePolicy cloudfront:CreateCloudFrontOriginAccessIdentity cloudfront:CreateConnectionFunction cloudfront:CreateContinuousDeploymentPolicy cloudfront:CreateDistributionTenant cloudfront:CreateFieldLevelEncryptionConfig cloudfront:CreateFieldLevelEncryptionProfile cloudfront:CreateFunction cloudfront:CreateInvalidation cloudfront:CreateKeyGroup cloudfront:CreateKeyValueStore cloudfront:CreateMonitoringSubscription cloudfront:CreateOriginAccessControl cloudfront:CreateOriginRequestPolicy cloudfront:CreatePublicKey cloudfront:CreateRealtimeLogConfig cloudfront:CreateResponseHeadersPolicy cloudfront:CreateTrustStore cloudfront:DeleteAnycastIpList cloudfront:DeleteCachePolicy cloudfront:DeleteCloudFrontOriginAccessIdentity cloudfront:DeleteConnectionFunction cloudfront:DeleteConnectionGroup cloudfront:DeleteContinuousDeploymentPolicy cloudfront:DeleteDistribution cloudfront:DeleteDistributionTenant cloudfront:DeleteFieldLevelEncryptionConfig cloudfront:DeleteFieldLevelEncryptionProfile cloudfront:DeleteFunction cloudfront:DeleteKeyGroup cloudfront:DeleteKeyValueStore cloudfront:DeleteMonitoringSubscription cloudfront:DeleteOriginAccessControl cloudfront:DeleteOriginRequestPolicy cloudfront:DeletePublicKey cloudfront:DeleteRealtimeLogConfig cloudfront:DeleteResponseHeadersPolicy cloudfront:DeleteStreamingDistribution cloudfront:DeleteTrustStore cloudfront:DeleteVpcOrigin cloudfront:DescribeFunction cloudfront:DescribeKeyValueStore cloudfront:DisassociateDistributionTenantWebACL cloudfront:DisassociateDistributionWebACL cloudfront:GetAnycastIpList cloudfront:GetCachePolicy cloudfront:GetCachePolicyConfig cloudfront:GetCloudFrontOriginAccessIdentity cloudfront:GetCloudFrontOriginAccessIdentityConfig cloudfront:GetContinuousDeploymentPolicy cloudfront:GetContinuousDeploymentPolicyConfig cloudfront:GetDistributionConfig cloudfront:GetFieldLevelEncryption cloudfront:GetFieldLevelEncryptionConfig cloudfront:GetFieldLevelEncryptionProfile cloudfront:GetFieldLevelEncryptionProfileConfig cloudfront:GetFunction cloudfront:GetInvalidation cloudfront:GetInvalidationForDistributionTenant cloudfront:GetKeyGroup cloudfront:GetKeyGroupConfig cloudfront:GetMonitoringSubscription cloudfront:GetOriginAccessControl cloudfront:GetOriginAccessControlConfig cloudfront:GetOriginRequestPolicy cloudfront:GetOriginRequestPolicyConfig cloudfront:GetPublicKey cloudfront:GetPublicKeyConfig cloudfront:GetRealtimeLogConfig cloudfront:GetResponseHeadersPolicy cloudfront:GetResponseHeadersPolicyConfig cloudfront:GetStreamingDistribution cloudfront:GetStreamingDistributionConfig cloudfront:GetVpcOrigin cloudfront:ListAnycastIpLists cloudfront:ListCachePolicies cloudfront:ListCloudFrontOriginAccessIdentities cloudfront:ListConflictingAliases cloudfront:ListConnectionFunctions cloudfront:ListConnectionGroups cloudfront:ListContinuousDeploymentPolicies cloudfront:ListDistributionTenants cloudfront:ListDistributionTenantsByCustomization cloudfront:ListDistributions cloudfront:ListDistributionsByAnycastIpListId cloudfront:ListDistributionsByCachePolicyId cloudfront:ListDistributionsByConnectionMode cloudfront:ListDistributionsByKeyGroup cloudfront:ListDistributionsByOriginRequestPolicyId cloudfront:ListDistributionsByRealtimeLogConfig cloudfront:ListDistributionsByResponseHeadersPolicyId cloudfront:ListDistributionsByVpcOriginId cloudfront:ListDistributionsByWebACLId cloudfront:ListFieldLevelEncryptionConfigs cloudfront:ListFieldLevelEncryptionProfiles cloudfront:ListFunctions cloudfront:ListInvalidations cloudfront:ListInvalidationsForDistributionTenant cloudfront:ListKeyGroups cloudfront:ListKeyValueStores cloudfront:ListOriginAccessControls cloudfront:ListOriginRequestPolicies cloudfront:ListPublicKeys cloudfront:ListRealtimeLogConfigs cloudfront:ListResponseHeadersPolicies cloudfront:ListStreamingDistributions cloudfront:ListTrustStores cloudfront:PublishConnectionFunction cloudfront:PublishFunction cloudfront:TestConnectionFunction cloudfront:TestFunction cloudfront:UpdateAnycastIpList cloudfront:UpdateCachePolicy cloudfront:UpdateCloudFrontOriginAccessIdentity cloudfront:UpdateConnectionFunction cloudfront:UpdateConnectionGroup cloudfront:UpdateContinuousDeploymentPolicy cloudfront:UpdateDistribution cloudfront:UpdateDistributionTenant cloudfront:UpdateFieldLevelEncryptionConfig cloudfront:UpdateFieldLevelEncryptionProfile cloudfront:UpdateFunction cloudfront:UpdateKeyGroup cloudfront:UpdateKeyValueStore cloudfront:UpdateOriginAccessControl cloudfront:UpdateOriginRequestPolicy cloudfront:UpdatePublicKey cloudfront:UpdateRealtimeLogConfig cloudfront:UpdateResponseHeadersPolicy cloudfront:UpdateTrustStore  | 
| cloudhsm |  cloudhsm:CreateHsm cloudhsm:DeleteBackup cloudhsm:DeleteHsm cloudhsm:DeleteResourcePolicy cloudhsm:DescribeBackups cloudhsm:DescribeClusters cloudhsm:GetResourcePolicy cloudhsm:InitializeCluster cloudhsm:ModifyBackupAttributes cloudhsm:ModifyCluster cloudhsm:PutResourcePolicy cloudhsm:RestoreBackup  | 
| cloudsearch |  cloudsearch:BuildSuggesters cloudsearch:CreateDomain cloudsearch:DefineAnalysisScheme cloudsearch:DefineExpression cloudsearch:DefineIndexField cloudsearch:DefineSuggester cloudsearch:DeleteAnalysisScheme cloudsearch:DeleteDomain cloudsearch:DeleteExpression cloudsearch:DeleteIndexField cloudsearch:DeleteSuggester cloudsearch:DescribeAnalysisSchemes cloudsearch:DescribeAvailabilityOptions cloudsearch:DescribeDomainEndpointOptions cloudsearch:DescribeDomains cloudsearch:DescribeExpressions cloudsearch:DescribeIndexFields cloudsearch:DescribeScalingParameters cloudsearch:DescribeServiceAccessPolicies cloudsearch:DescribeSuggesters cloudsearch:IndexDocuments cloudsearch:ListDomainNames cloudsearch:UpdateAvailabilityOptions cloudsearch:UpdateDomainEndpointOptions cloudsearch:UpdateScalingParameters cloudsearch:UpdateServiceAccessPolicies  | 
| cloudtrail |  cloudtrail:CancelQuery cloudtrail:CreateChannel cloudtrail:CreateDashboard cloudtrail:CreateEventDataStore cloudtrail:CreateTrail cloudtrail:DeleteChannel cloudtrail:DeleteDashboard cloudtrail:DeleteEventDataStore cloudtrail:DeleteResourcePolicy cloudtrail:DeleteTrail cloudtrail:DeregisterOrganizationDelegatedAdmin cloudtrail:DescribeQuery cloudtrail:DescribeTrails cloudtrail:DisableFederation cloudtrail:GenerateQuery cloudtrail:GetChannel cloudtrail:GetDashboard cloudtrail:GetEventConfiguration CloudTrail: Obtener la configuración del evento cloudtrail:GetEventDataStore cloudtrail:GetEventDataStoreData cloudtrail:GetEventSelectors cloudtrail:GetImport cloudtrail:GetInsightSelectors cloudtrail:GetResourcePolicy cloudtrail:GetTrail cloudtrail:GetTrailStatus cloudtrail:ListChannels cloudtrail:ListDashboards cloudtrail:ListEventDataStores cloudtrail:ListImportFailures cloudtrail:ListImports cloudtrail:ListInsightsData cloudtrail:ListPublicKeys cloudtrail:ListQueries cloudtrail:ListTrails cloudtrail:LookupEvents cloudtrail:PutEventConfiguration CloudTrail: Poner configuración de eventos cloudtrail:PutEventSelectors cloudtrail:PutInsightSelectors cloudtrail:PutResourcePolicy cloudtrail:RegisterOrganizationDelegatedAdmin cloudtrail:RestoreEventDataStore cloudtrail:SearchSampleQueries cloudtrail:StartEventDataStoreIngestion cloudtrail:StartImport cloudtrail:StartLogging cloudtrail:StartQuery cloudtrail:StopEventDataStoreIngestion cloudtrail:StopImport cloudtrail:StopLogging cloudtrail:UpdateChannel cloudtrail:UpdateDashboard cloudtrail:UpdateEventDataStore cloudtrail:UpdateTrail  | 
| cloudwatch |  cloudwatch:DeleteAlarms cloudwatch:DeleteAnomalyDetector cloudwatch:DeleteDashboards cloudwatch:DeleteInsightRules cloudwatch:DeleteMetricStream cloudwatch:DescribeAlarmHistory cloudwatch:DescribeAlarms cloudwatch:DescribeAlarmsForMetric cloudwatch:DescribeAnomalyDetectors cloudwatch:DescribeInsightRules cloudwatch:DisableAlarmActions cloudwatch:DisableInsightRules cloudwatch:EnableAlarmActions cloudwatch:EnableInsightRules cloudwatch:GetDashboard cloudwatch:GetInsightRuleReport cloudwatch:GetMetricStatistics cloudwatch:GetMetricStream cloudwatch:ListDashboards cloudwatch:ListManagedInsightRules cloudwatch:ListMetricStreams cloudwatch:PutAnomalyDetector cloudwatch:PutCompositeAlarm cloudwatch:PutDashboard cloudwatch:PutInsightRule cloudwatch:PutManagedInsightRules cloudwatch:PutMetricAlarm cloudwatch:PutMetricStream cloudwatch:SetAlarmState cloudwatch:StartMetricStreams cloudwatch:StopMetricStreams  | 
| codeartifact |  codeartifact:AssociateExternalConnection codeartifact:CopyPackageVersions codeartifact:CreateDomain codeartifact:CreateRepository codeartifact:DeleteDomain codeartifact:DeleteDomainPermissionsPolicy codeartifact:DeletePackage codeartifact:DeletePackageVersions codeartifact:DeleteRepository codeartifact:DeleteRepositoryPermissionsPolicy codeartifact:DescribeDomain codeartifact:DescribePackage codeartifact:DescribePackageVersion codeartifact:DescribeRepository codeartifact:DisassociateExternalConnection codeartifact:DisposePackageVersions CodeArtifact:GetAssociatedPackageGroup codeartifact:GetAuthorizationToken codeartifact:GetDomainPermissionsPolicy codeartifact:GetPackageVersionAsset codeartifact:GetPackageVersionReadme codeartifact:GetRepositoryEndpoint codeartifact:GetRepositoryPermissionsPolicy codeartifact:ListDomains codeartifact:ListPackageGroups codeartifact:ListPackageVersionAssets codeartifact:ListPackageVersionDependencies codeartifact:ListPackageVersions codeartifact:ListPackages codeartifact:ListRepositories codeartifact:ListRepositoriesInDomain codeartifact:PublishPackageVersion codeartifact:PutDomainPermissionsPolicy codeartifact:PutPackageMetadata codeartifact:PutPackageOriginConfiguration codeartifact:PutRepositoryPermissionsPolicy codeartifact:ReadFromRepository codeartifact:UpdatePackageVersionsStatus codeartifact:UpdateRepository  | 
| codedeploy |  codedeploy:BatchGetApplicationRevisions codedeploy:BatchGetApplications codedeploy:BatchGetDeploymentGroups codedeploy:BatchGetDeploymentInstances codedeploy:BatchGetDeploymentTargets codedeploy:BatchGetDeployments codedeploy:BatchGetOnPremisesInstances codedeploy:ContinueDeployment codedeploy:CreateApplication codedeploy:CreateDeployment codedeploy:CreateDeploymentConfig codedeploy:CreateDeploymentGroup codedeploy:DeleteApplication codedeploy:DeleteDeploymentConfig codedeploy:DeleteDeploymentGroup codedeploy:DeleteGitHubAccountToken codedeploy:DeleteResourcesByExternalId codedeploy:DeregisterOnPremisesInstance codedeploy:GetApplication codedeploy:GetApplicationRevision codedeploy:GetDeployment codedeploy:GetDeploymentConfig codedeploy:GetDeploymentGroup codedeploy:GetDeploymentInstance codedeploy:GetDeploymentTarget codedeploy:GetOnPremisesInstance codedeploy:ListApplicationRevisions codedeploy:ListApplications codedeploy:ListDeploymentConfigs codedeploy:ListDeploymentGroups codedeploy:ListDeploymentInstances codedeploy:ListDeploymentTargets codedeploy:ListDeployments codedeploy:ListGitHubAccountTokenNames codedeploy:ListOnPremisesInstances codedeploy:PutLifecycleEventHookExecutionStatus codedeploy:RegisterApplicationRevision codedeploy:RegisterOnPremisesInstance codedeploy:SkipWaitTimeForInstanceTermination codedeploy:StopDeployment codedeploy:UpdateApplication codedeploy:UpdateDeploymentGroup  | 
| codeguru-profiler |  codeguru-profiler:AddNotificationChannels codeguru-profiler:BatchGetFrameMetricData codeguru-profiler:CreateProfilingGroup codeguru-profiler:DeleteProfilingGroup codeguru-profiler:DescribeProfilingGroup codeguru-profiler:GetFindingsReportAccountSummary codeguru-profiler:GetNotificationConfiguration codeguru-profiler:GetPolicy codeguru-profiler:GetProfile codeguru-profiler:GetRecommendations codeguru-profiler:ListFindingsReports codeguru-profiler:ListProfileTimes codeguru-profiler:ListProfilingGroups codeguru-profiler:PutPermission codeguru-profiler:RemoveNotificationChannel codeguru-profiler:RemovePermission codeguru-profiler:SubmitFeedback codeguru-profiler:UpdateProfilingGroup  | 
| codeguru-reviewer |  codeguru-reviewer:AssociateRepository codeguru-reviewer:CreateCodeReview codeguru-reviewer:DescribeCodeReview codeguru-reviewer:DescribeRecommendationFeedback codeguru-reviewer:DescribeRepositoryAssociation codeguru-reviewer:DisassociateRepository codeguru-reviewer:ListCodeReviews codeguru-reviewer:ListRecommendationFeedback codeguru-reviewer:ListRecommendations codeguru-reviewer:ListRepositoryAssociations codeguru-reviewer:PutRecommendationFeedback  | 
| codepipeline |  codepipeline:AcknowledgeJob codepipeline:AcknowledgeThirdPartyJob codepipeline:CreateCustomActionType codepipeline:CreatePipeline codepipeline:DeleteCustomActionType codepipeline:DeletePipeline codepipeline:DeleteWebhook codepipeline:DeregisterWebhookWithThirdParty codepipeline:GetActionType codepipeline:GetJobDetails codepipeline:GetPipeline codepipeline:GetPipelineExecution codepipeline:GetPipelineState codepipeline:GetThirdPartyJobDetails codepipeline:ListActionExecutions codepipeline:ListActionTypes codepipeline:ListPipelineExecutions codepipeline:ListPipelines codepipeline:ListRuleExecutions codepipeline:ListRuleTypes codepipeline:ListWebhooks codepipeline:OverrideStageCondition codepipeline:PollForJobs codepipeline:PollForThirdPartyJobs codepipeline:PutActionRevision codepipeline:PutApprovalResult codepipeline:PutJobFailureResult codepipeline:PutJobSuccessResult codepipeline:PutThirdPartyJobFailureResult codepipeline:PutThirdPartyJobSuccessResult codepipeline:PutWebhook codepipeline:RegisterWebhookWithThirdParty codepipeline:RollbackStage codepipeline:StartPipelineExecution codepipeline:StopPipelineExecution codepipeline:UpdateActionType codepipeline:UpdatePipeline  | 
| codestar |  codestar:AssociateTeamMember codestar:CreateProject codestar:CreateUserProfile codestar:DeleteProject codestar:DeleteUserProfile codestar:DescribeProject codestar:DescribeUserProfile codestar:DisassociateTeamMember codestar:ListProjects codestar:ListResources codestar:ListTeamMembers codestar:ListUserProfiles codestar:UpdateProject codestar:UpdateTeamMember codestar:UpdateUserProfile  | 
| codestar-notifications |  codestar-notifications:CreateNotificationRule codestar-notifications:DeleteNotificationRule codestar-notifications:DeleteTarget codestar-notifications:DescribeNotificationRule codestar-notifications:ListEventTypes codestar-notifications:ListNotificationRules codestar-notifications:ListTargets codestar-notifications:Subscribe codestar-notifications:Unsubscribe codestar-notifications:UpdateNotificationRule  | 
| cognito-identity |  cognito-identity:CreateIdentityPool cognito-identity:DeleteIdentities cognito-identity:DeleteIdentityPool cognito-identity:DescribeIdentity cognito-identity:DescribeIdentityPool cognito-identity:GetIdentityPoolRoles cognito-identity:ListIdentities cognito-identity:ListIdentityPools cognito-identity:LookupDeveloperIdentity cognito-identity:MergeDeveloperIdentities cognito-identity:SetIdentityPoolRoles cognito-identity:UnlinkDeveloperIdentity cognito-identity:UpdateIdentityPool  | 
| cognito-idp |  cognito-idp:AddCustomAttributes cognito-idp:AdminAddUserToGroup cognito-idp:AdminConfirmSignUp cognito-idp:AdminCreateUser cognito-idp:AdminDeleteUser cognito-idp:AdminDeleteUserAttributes cognito-idp:AdminDisableProviderForUser cognito-idp:AdminDisableUser cognito-idp:AdminEnableUser cognito-idp:AdminForgetDevice cognito-idp:AdminGetDevice cognito-idp:AdminGetUser cognito-idp:AdminInitiateAuth cognito-idp:AdminLinkProviderForUser cognito-idp:AdminListDevices cognito-idp:AdminListGroupsForUser cognito-idp:AdminListUserAuthEvents cognito-idp:AdminRemoveUserFromGroup cognito-idp:AdminResetUserPassword cognito-idp:AdminRespondToAuthChallenge cognito-idp:AdminSetUserMFAPreference cognito-idp:AdminSetUserPassword cognito-idp:AdminSetUserSettings cognito-idp:AdminUpdateAuthEventFeedback cognito-idp:AdminUpdateDeviceStatus cognito-idp:AdminUpdateUserAttributes cognito-idp:AdminUserGlobalSignOut cognito-idp:AssociateSoftwareToken cognito-idp:ChangePassword cognito-idp:ConfirmDevice cognito-idp:ConfirmForgotPassword cognito-idp:ConfirmSignUp cognito-idp:CreateGroup cognito-idp:CreateIdentityProvider cognito-idp:CreateManagedLoginBranding cognito-idp:CreateResourceServer cognito-idp:CreateTerms cognito-idp:CreateUserImportJob cognito-idp:CreateUserPool cognito-idp:CreateUserPoolClient cognito-idp:CreateUserPoolDomain cognito-idp:DeleteGroup cognito-idp:DeleteIdentityProvider cognito-idp:DeleteManagedLoginBranding cognito-idp:DeleteResourceServer cognito-idp:DeleteTerms cognito-idp:DeleteUser cognito-idp:DeleteUserAttributes cognito-idp:DeleteUserPool cognito-idp:DeleteUserPoolClient cognito-idp:DeleteUserPoolDomain cognito-idp:DescribeIdentityProvider cognito-idp:DescribeManagedLoginBranding cognito-idp:DescribeManagedLoginBrandingByClient cognito-idp:DescribeResourceServer cognito-idp:DescribeRiskConfiguration cognito-idp:DescribeTerms cognito-idp:DescribeUserImportJob cognito-idp:DescribeUserPool cognito-idp:DescribeUserPoolClient cognito-idp:DescribeUserPoolDomain cognito-idp:ForgetDevice cognito-idp:ForgotPassword cognito-idp:GetCSVHeader cognito-idp:GetDevice cognito-idp:GetGroup cognito-idp:GetIdentityProviderByIdentifier cognito-idp:GetLogDeliveryConfiguration cognito-idp:GetSigningCertificate cognito-idp:GetUICustomization cognito-idp:GetUser cognito-idp:GetUserAttributeVerificationCode cognito-idp:GetUserPoolMfaConfig cognito-idp:GlobalSignOut cognito-idp:InitiateAuth cognito-idp:ListDevices cognito-idp:ListGroups cognito-idp:ListIdentityProviders cognito-idp:ListResourceServers cognito-idp:ListTerms cognito-idp:ListUserImportJobs cognito-idp:ListUserPoolClients cognito-idp:ListUserPools cognito-idp:ListUsers cognito-idp:ListUsersInGroup cognito-idp:ResendConfirmationCode cognito-idp:RespondToAuthChallenge cognito-idp:RevokeToken cognito-idp:SetLogDeliveryConfiguration cognito-idp:SetRiskConfiguration cognito-idp:SetUICustomization cognito-idp:SetUserMFAPreference cognito-idp:SetUserPoolMfaConfig cognito-idp:SetUserSettings cognito-idp:SignUp cognito-idp:StartUserImportJob cognito-idp:StopUserImportJob cognito-idp:UpdateAuthEventFeedback cognito-idp:UpdateDeviceStatus cognito-idp:UpdateGroup cognito-idp:UpdateIdentityProvider cognito-idp:UpdateResourceServer cognito-idp:UpdateTerms cognito-idp:UpdateUserAttributes cognito-idp:UpdateUserPool cognito-idp:UpdateUserPoolClient cognito-idp:UpdateUserPoolDomain cognito-idp:VerifySoftwareToken cognito-idp:VerifyUserAttribute  | 
| cognito-sync |  cognito-sync:BulkPublish cognito-sync:DeleteDataset cognito-sync:DescribeDataset cognito-sync:DescribeIdentityPoolUsage cognito-sync:DescribeIdentityUsage cognito-sync:GetBulkPublishDetails cognito-sync:GetCognitoEvents cognito-sync:GetIdentityPoolConfiguration cognito-sync:ListDatasets cognito-sync:ListIdentityPoolUsage cognito-sync:ListRecords cognito-sync:RegisterDevice cognito-sync:SetCognitoEvents cognito-sync:SetIdentityPoolConfiguration cognito-sync:SubscribeToDataset cognito-sync:UnsubscribeFromDataset cognito-sync:UpdateRecords  | 
| comprehendmedical |  comprehendmedical:DescribeEntitiesDetectionV2Job comprehendmedical:DescribeICD10CMInferenceJob comprehendmedical:DescribePHIDetectionJob comprehendmedical:DescribeRxNormInferenceJob comprehendmedical:DescribeSNOMEDCTInferenceJob comprehendmedical:DetectEntitiesV2 comprehendmedical:DetectPHI comprehendmedical:InferICD10CM comprehendmedical:InferRxNorm comprehendmedical:InferSNOMEDCT comprehendmedical:ListEntitiesDetectionV2Jobs comprehendmedical:ListICD10CMInferenceJobs comprehendmedical:ListPHIDetectionJobs comprehendmedical:ListRxNormInferenceJobs comprehendmedical:ListSNOMEDCTInferenceJobs comprehendmedical:StartEntitiesDetectionV2Job comprehendmedical:StartICD10CMInferenceJob comprehendmedical:StartPHIDetectionJob comprehendmedical:StartRxNormInferenceJob comprehendmedical:StartSNOMEDCTInferenceJob comprehendmedical:StopEntitiesDetectionV2Job comprehendmedical:StopICD10CMInferenceJob comprehendmedical:StopPHIDetectionJob comprehendmedical:StopRxNormInferenceJob comprehendmedical:StopSNOMEDCTInferenceJob  | 
| compute-optimizer |  compute-optimizer:DeleteRecommendationPreferences compute-optimizer:DescribeRecommendationExportJobs compute-optimizer:ExportAutoScalingGroupRecommendations compute-optimizer:ExportEBSVolumeRecommendations compute-optimizer:ExportEC2InstanceRecommendations compute-optimizer:ExportECSServiceRecommendations compute-optimizer:ExportIdleRecommendations compute-optimizer:ExportLambdaFunctionRecommendations compute-optimizer:ExportLicenseRecommendations compute-optimizer:ExportRDSDatabaseRecommendations compute-optimizer:GetEC2RecommendationProjectedMetrics compute-optimizer:GetECSServiceRecommendationProjectedMetrics compute-optimizer:GetEffectiveRecommendationPreferences compute-optimizer:GetEnrollmentStatus compute-optimizer:GetEnrollmentStatusesForOrganization compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics compute-optimizer:GetRecommendationPreferences compute-optimizer:GetRecommendationSummaries compute-optimizer:PutRecommendationPreferences compute-optimizer:UpdateEnrollmentStatus  | 
| config |  config:BatchGetResourceConfig config:DeleteAggregationAuthorization config:DeleteConfigRule config:DeleteConfigurationAggregator config:DeleteConfigurationRecorder config:DeleteConformancePack config:DeleteDeliveryChannel config:DeleteEvaluationResults config:DeleteOrganizationConfigRule config:DeleteOrganizationConformancePack config:DeletePendingAggregationRequest config:DeleteRemediationConfiguration config:DeleteRemediationExceptions config:DeleteResourceConfig config:DeleteRetentionConfiguration config:DeleteStoredQuery config:DeliverConfigSnapshot config:DescribeAggregateComplianceByConfigRules config:DescribeAggregateComplianceByConformancePacks config:DescribeAggregationAuthorizations config:DescribeComplianceByConfigRule config:DescribeComplianceByResource config:DescribeConfigRuleEvaluationStatus config:DescribeConfigRules config:DescribeConfigurationAggregatorSourcesStatus config:DescribeConfigurationAggregators config:DescribeConfigurationRecorderStatus config:DescribeConfigurationRecorders config:DescribeConformancePackCompliance config:DescribeConformancePackStatus config:DescribeConformancePacks config:DescribeDeliveryChannelStatus config:DescribeDeliveryChannels config:DescribeOrganizationConfigRuleStatuses config:DescribeOrganizationConfigRules config:DescribeOrganizationConformancePackStatuses config:DescribeOrganizationConformancePacks config:DescribePendingAggregationRequests config:DescribeRemediationConfigurations config:DescribeRemediationExceptions config:DescribeRemediationExecutionStatus config:DescribeRetentionConfigurations config:GetComplianceDetailsByConfigRule config:GetComplianceDetailsByResource config:GetComplianceSummaryByConfigRule config:GetComplianceSummaryByResourceType config:GetConformancePackComplianceDetails config:GetConformancePackComplianceSummary config:GetCustomRulePolicy config:GetDiscoveredResourceCounts config:GetOrganizationConfigRuleDetailedStatus config:GetOrganizationConformancePackDetailedStatus config:GetOrganizationCustomRulePolicy config:GetResourceConfigHistory config:GetResourceEvaluationSummary config:GetStoredQuery config:ListConfigurationRecorders config:ListConformancePackComplianceScores config:ListDiscoveredResources config:ListResourceEvaluations config:ListStoredQueries config:PutConfigRule config:PutConfigurationAggregator config:PutConfigurationRecorder config:PutConformancePack config:PutDeliveryChannel config:PutEvaluations config:PutExternalEvaluation config:PutOrganizationConfigRule config:PutOrganizationConformancePack config:PutRemediationConfigurations config:PutRemediationExceptions config:PutResourceConfig config:PutRetentionConfiguration config:PutStoredQuery config:SelectResourceConfig config:StartConfigRulesEvaluation config:StartConfigurationRecorder config:StartRemediationExecution config:StartResourceEvaluation config:StopConfigurationRecorder  | 
| connect |  connect:ActivateEvaluationForm connect:AssociateAnalyticsDataSet connect:AssociateApprovedOrigin connect:AssociateBot connect:AssociateContactWithUser connect:AssociateDefaultVocabulary connect:AssociateEmailAddressAlias connect:AssociateFlow connect:AssociateInstanceStorageConfig connect:AssociateLambdaFunction connect:AssociateLexBot connect:AssociatePhoneNumberContactFlow connect:AssociateQueueQuickConnects connect:AssociateRoutingProfileQueues connect:AssociateSecurityKey connect:AssociateUserProficiencies connect:BatchAssociateAnalyticsDataSet connect:BatchCreateDataTableValue connect:BatchDeleteDataTableValue connect:BatchDescribeDataTableValue connect:BatchDisassociateAnalyticsDataSet connect:BatchGetFlowAssociation Conectar:BatchPutContact connect:BatchUpdateDataTableValue connect:ClaimPhoneNumber connect:CreateAgentStatus connect:CreateContact connect:CreateContactFlow connect:CreateContactFlowModule connect:CreateContactFlowModuleAlias connect:CreateContactFlowModuleVersion connect:CreateContactFlowVersion connect:CreateDataTable connect:CreateDataTableAttribute connect:CreateEmailAddress connect:CreateEvaluationForm connect:CreateHoursOfOperation connect:CreateInstance connect:CreateIntegrationAssociation connect:CreateParticipant connect:CreatePersistentContactAssociation connect:CreatePredefinedAttribute connect:CreatePrompt connect:CreatePushNotificationRegistration connect:CreateQueue connect:CreateQuickConnect connect:CreateRoutingProfile connect:CreateRule connect:CreateSecurityProfile connect:CreateTaskTemplate connect:CreateTrafficDistributionGroup connect:CreateUseCase connect:CreateUser connect:CreateUserHierarchyGroup connect:CreateView connect:CreateViewVersion connect:CreateVocabulary connect:CreateWorkspace connect:DeactivateEvaluationForm connect:DeleteContactEvaluation connect:DeleteContactFlow connect:DeleteContactFlowModule connect:DeleteContactFlowModuleAlias connect:DeleteContactFlowModuleVersion connect:DeleteContactFlowVersion connect:DeleteDataTable connect:DeleteDataTableAttribute connect:DeleteEmailAddress connect:DeleteEvaluationForm connect:DeleteHoursOfOperation connect:DeleteHoursOfOperationOverride connect:DeleteInstance connect:DeleteIntegrationAssociation connect:DeletePredefinedAttribute connect:DeletePrompt connect:DeletePushNotificationRegistration connect:DeleteQueue connect:DeleteQuickConnect connect:DeleteRoutingProfile connect:DeleteRule connect:DeleteSecurityProfile connect:DeleteTaskTemplate connect:DeleteTrafficDistributionGroup connect:DeleteUseCase connect:DeleteUser connect:DeleteUserHierarchyGroup connect:DeleteView connect:DeleteVocabulary connect:DeleteWorkspace connect:DeleteWorkspaceMedia connect:DescribeAuthenticationProfile connect:DescribeContactFlowModuleAlias connect:DescribeDataTableAttribute connect:DescribeHoursOfOperationOverride connect:DescribeInstanceAttribute connect:DescribeInstanceStorageConfig connect:DescribePhoneNumber connect:DescribeRule connect:DescribeTrafficDistributionGroup connect:DescribeUserHierarchyStructure connect:DescribeVocabulary connect:DisassociateAnalyticsDataSet connect:DisassociateApprovedOrigin connect:DisassociateBot connect:DisassociateEmailAddressAlias connect:DisassociateFlow connect:DisassociateInstanceStorageConfig connect:DisassociateLambdaFunction connect:DisassociateLexBot connect:DisassociatePhoneNumberContactFlow connect:DisassociateQueueQuickConnects connect:DisassociateRoutingProfileQueues connect:DisassociateSecurityKey connect:DisassociateUserProficiencies connect:DismissUserContact connect:EvaluateDataTableValues connect:GetContactAttributes connect:GetContactMetrics connect:GetCurrentMetricData connect:GetCurrentUserData connect:GetEffectiveHoursOfOperations connect:GetFederationToken connect:GetFlowAssociation connect:GetMetricData connect:GetMetricDataV2 connect:GetPromptFile connect:GetTaskTemplate connect:GetTrafficDistribution connect:ImportPhoneNumber connect:ImportWorkspaceMedia connect:ListAnalyticsDataAssociations connect:ListAnalyticsDataLakeDataSets connect:ListApprovedOrigins connect:ListAssociatedContacts connect:ListAuthenticationProfiles connect:ListBots connect:ListContactEvaluations connect:ListContactFlowModuleAliases connect:ListContactFlowModuleVersions connect:ListContactFlowModules connect:ListContactFlowVersions connect:ListContactFlows connect:ListContactReferences connect:ListDataTableAttributes connect:ListDataTablePrimaryValues connect:ListDataTableValues connect:ListDataTables connect:ListDefaultVocabularies connect:ListEvaluationFormVersions connect:ListEvaluationForms connect:ListFlowAssociations connect:ListHoursOfOperations connect:ListInstanceAttributes connect:ListInstanceStorageConfigs connect:ListIntegrationAssociations connect:ListLambdaFunctions connect:ListLexBots connect:ListPhoneNumbers connect:ListPhoneNumbersV2 connect:ListPredefinedAttributes connect:ListPrompts connect:ListQueueQuickConnects connect:ListQueues connect:ListQuickConnects connect:ListRealtimeContactAnalysisSegmentsV2 connect:ListRoutingProfileManualAssignmentQueues connect:ListRoutingProfileQueues connect:ListRoutingProfiles connect:ListRules connect:ListSecurityKeys connect:ListSecurityProfileApplications connect:ListSecurityProfileFlowModules connect:ListSecurityProfilePermissions connect:ListSecurityProfiles connect:ListTaskTemplates connect:ListTrafficDistributionGroups connect:ListUseCases connect:ListUserHierarchyGroups connect:ListUsers connect:ListViewVersions connect:ListViews connect:ListWorkspaceMedia connect:ListWorkspacePages connect:ListWorkspaces connect:MonitorContact connect:PauseContact connect:PutUserStatus connect:ReleasePhoneNumber connect:ReplicateInstance connect:ResumeContact connect:ResumeContactRecording connect:SearchAgentStatuses connect:SearchAvailablePhoneNumbers connect:SearchContactEvaluations connect:SearchContactFlowModules connect:SearchContactFlows connect:SearchContacts connect:SearchDataTables connect:SearchEmailAddresses connect:SearchEvaluationForms connect:SearchHoursOfOperations connect:SearchPredefinedAttributes connect:SearchPrompts connect:SearchQueues connect:SearchQuickConnects connect:SearchRoutingProfiles connect:SearchSecurityProfiles connect:SearchUserHierarchyGroups connect:SearchViews connect:SearchVocabularies connect:SearchWorkspaceAssociations connect:SearchWorkspaces connect:SendChatIntegrationEvent connect:SendOutboundEmail connect:StartChatContact connect:StartContactEvaluation connect:StartContactMediaProcessing connect:StartContactRecording connect:StartContactStreaming connect:StartEmailContact connect:StartOutboundChatContact connect:StartOutboundEmailContact connect:StartOutboundVoiceContact connect:StartScreenSharing connect:StartTaskContact connect:StartWebRTCContact connect:StopContact connect:StopContactMediaProcessing connect:StopContactRecording connect:StopContactStreaming connect:SubmitContactEvaluation connect:SuspendContactRecording connect:TransferContact connect:UpdateAgentStatus connect:UpdateAuthenticationProfile connect:UpdateContact connect:UpdateContactAttributes connect:UpdateContactEvaluation connect:UpdateContactFlowContent connect:UpdateContactFlowMetadata connect:UpdateContactFlowModuleAlias connect:UpdateContactFlowModuleContent connect:UpdateContactFlowModuleMetadata connect:UpdateContactFlowName connect:UpdateContactRoutingData connect:UpdateContactSchedule connect:UpdateDataTableAttribute connect:UpdateDataTableMetadata connect:UpdateDataTablePrimaryValues connect:UpdateEmailAddressMetadata connect:UpdateEvaluationForm connect:UpdateHoursOfOperation connect:UpdateHoursOfOperationOverride connect:UpdateInstanceAttribute connect:UpdateInstanceStorageConfig connect:UpdateParticipantAuthentication connect:UpdateParticipantRoleConfig connect:UpdatePhoneNumber connect:UpdatePhoneNumberMetadata connect:UpdatePredefinedAttribute connect:UpdatePrompt connect:UpdateQueueHoursOfOperation connect:UpdateQueueMaxContacts connect:UpdateQueueName connect:UpdateQueueOutboundCallerConfig connect:UpdateQueueOutboundEmailConfig connect:UpdateQueueStatus connect:UpdateQuickConnectConfig connect:UpdateQuickConnectName connect:UpdateRoutingProfileAgentAvailabilityTimer connect:UpdateRoutingProfileConcurrency connect:UpdateRoutingProfileDefaultOutboundQueue connect:UpdateRoutingProfileName connect:UpdateRoutingProfileQueues connect:UpdateRule connect:UpdateSecurityProfile connect:UpdateTaskTemplate connect:UpdateTrafficDistribution connect:UpdateUserHierarchy connect:UpdateUserHierarchyGroupName connect:UpdateUserHierarchyStructure connect:UpdateUserIdentityInfo connect:UpdateUserPhoneConfig connect:UpdateUserProficiencies connect:UpdateUserRoutingProfile connect:UpdateUserSecurityProfiles connect:UpdateViewContent connect:UpdateViewMetadata connect:UpdateWorkspaceMetadata connect:UpdateWorkspaceTheme connect:UpdateWorkspaceVisibility  | 
| cur |  cur:DeleteReportDefinition cur:DescribeReportDefinitions cur:ModifyReportDefinition cur:PutReportDefinition  | 
| databrew |  databrew:BatchDeleteRecipeVersion databrew:CreateDataset databrew:CreateProfileJob databrew:CreateProject databrew:CreateRecipe databrew:CreateRecipeJob databrew:CreateRuleset databrew:CreateSchedule databrew:DeleteDataset databrew:DeleteJob databrew:DeleteProject databrew:DeleteRecipeVersion databrew:DeleteRuleset databrew:DeleteSchedule databrew:DescribeDataset databrew:DescribeJob databrew:DescribeJobRun databrew:DescribeProject databrew:DescribeRecipe databrew:DescribeRuleset databrew:DescribeSchedule databrew:ListDatasets databrew:ListJobRuns databrew:ListJobs databrew:ListProjects databrew:ListRecipeVersions databrew:ListRecipes databrew:ListRulesets databrew:ListSchedules databrew:PublishRecipe databrew:SendProjectSessionAction databrew:StartJobRun databrew:StartProjectSession databrew:StopJobRun databrew:UpdateDataset databrew:UpdateProfileJob databrew:UpdateProject databrew:UpdateRecipe databrew:UpdateRecipeJob databrew:UpdateRuleset databrew:UpdateSchedule  | 
| dataexchange |  dataexchange:AcceptDataGrant dataexchange:CancelJob dataexchange:CreateDataGrant dataexchange:CreateDataSet dataexchange:CreateEventAction dataexchange:CreateJob dataexchange:CreateRevision dataexchange:DeleteAsset dataexchange:DeleteDataGrant dataexchange:DeleteEventAction dataexchange:DeleteRevision dataexchange:GetDataGrant dataexchange:GetEventAction dataexchange:GetJob dataexchange:GetReceivedDataGrant dataexchange:ListDataGrants dataexchange:ListDataSetRevisions dataexchange:ListDataSets dataexchange:ListEventActions dataexchange:ListJobs dataexchange:ListReceivedDataGrants dataexchange:ListRevisionAssets dataexchange:RevokeRevision dataexchange:SendDataSetNotification dataexchange:StartJob dataexchange:UpdateAsset dataexchange:UpdateDataSet dataexchange:UpdateEventAction dataexchange:UpdateRevision  | 
| datapipeline |  datapipeline:ActivatePipeline datapipeline:CreatePipeline datapipeline:DeactivatePipeline datapipeline:DeletePipeline datapipeline:DescribeObjects datapipeline:DescribePipelines datapipeline:EvaluateExpression datapipeline:GetPipelineDefinition datapipeline:ListPipelines datapipeline:PollForTask datapipeline:PutPipelineDefinition datapipeline:QueryObjects datapipeline:ReportTaskProgress datapipeline:ReportTaskRunnerHeartbeat datapipeline:SetStatus datapipeline:SetTaskStatus datapipeline:ValidatePipelineDefinition  | 
| dax |  dax:CreateCluster dax:DecreaseReplicationFactor dax:DeleteCluster dax:DeleteParameterGroup dax:DeleteSubnetGroup dax:DescribeClusters dax:DescribeDefaultParameters dax:DescribeEvents dax:DescribeParameterGroups dax:DescribeParameters dax:DescribeSubnetGroups dax:IncreaseReplicationFactor dax:RebootNode dax:UpdateCluster dax:UpdateParameterGroup dax:UpdateSubnetGroup  | 
| devicefarm |  devicefarm:CreateDevicePool devicefarm:CreateInstanceProfile devicefarm:CreateNetworkProfile devicefarm:CreateProject devicefarm:CreateRemoteAccessSession devicefarm:CreateTestGridProject devicefarm:CreateTestGridUrl devicefarm:CreateUpload devicefarm:CreateVPCEConfiguration devicefarm:DeleteDevicePool devicefarm:DeleteInstanceProfile devicefarm:DeleteNetworkProfile devicefarm:DeleteProject devicefarm:DeleteRemoteAccessSession devicefarm:DeleteRun devicefarm:DeleteTestGridProject devicefarm:DeleteUpload devicefarm:DeleteVPCEConfiguration devicefarm:GetAccountSettings devicefarm:GetDevice devicefarm:GetDeviceInstance devicefarm:GetDevicePool devicefarm:GetDevicePoolCompatibility devicefarm:GetInstanceProfile devicefarm:GetJob devicefarm:GetNetworkProfile devicefarm:GetOfferingStatus devicefarm:GetProject devicefarm:GetRemoteAccessSession devicefarm:GetRun devicefarm:GetSuite devicefarm:GetTest devicefarm:GetTestGridProject devicefarm:GetTestGridSession devicefarm:GetUpload devicefarm:GetVPCEConfiguration devicefarm:ListArtifacts devicefarm:ListDeviceInstances devicefarm:ListDevicePools devicefarm:ListDevices devicefarm:ListInstanceProfiles devicefarm:ListJobs devicefarm:ListNetworkProfiles devicefarm:ListOfferingPromotions devicefarm:ListOfferingTransactions devicefarm:ListOfferings devicefarm:ListProjects devicefarm:ListRemoteAccessSessions devicefarm:ListRuns devicefarm:ListSamples devicefarm:ListSuites devicefarm:ListTestGridProjects devicefarm:ListTestGridSessionActions devicefarm:ListTestGridSessionArtifacts devicefarm:ListTestGridSessions devicefarm:ListTests devicefarm:ListUniqueProblems devicefarm:ListUploads devicefarm:ListVPCEConfigurations devicefarm:PurchaseOffering devicefarm:RenewOffering devicefarm:ScheduleRun devicefarm:StopJob devicefarm:StopRemoteAccessSession devicefarm:StopRun devicefarm:UpdateDeviceInstance devicefarm:UpdateDevicePool devicefarm:UpdateInstanceProfile devicefarm:UpdateNetworkProfile devicefarm:UpdateProject devicefarm:UpdateTestGridProject devicefarm:UpdateUpload devicefarm:UpdateVPCEConfiguration  | 
| devops-guru |  devops-guru:AddNotificationChannel devops-guru:DeleteInsight devops-guru:DescribeAccountHealth devops-guru:DescribeAccountOverview devops-guru:DescribeAnomaly devops-guru:DescribeEventSourcesConfig devops-guru:DescribeFeedback devops-guru:DescribeInsight devops-guru:DescribeOrganizationHealth devops-guru:DescribeOrganizationOverview devops-guru:DescribeOrganizationResourceCollectionHealth devops-guru:DescribeResourceCollectionHealth devops-guru:DescribeServiceIntegration devops-guru:GetCostEstimation devops-guru:GetResourceCollection devops-guru:ListAnomaliesForInsight devops-guru:ListAnomalousLogGroups devops-guru:ListEvents devops-guru:ListInsights devops-guru:ListMonitoredResources devops-guru:ListNotificationChannels devops-guru:ListOrganizationInsights devops-guru:ListRecommendations devops-guru:PutFeedback devops-guru:RemoveNotificationChannel devops-guru:SearchInsights devops-guru:SearchOrganizationInsights devops-guru:StartCostEstimation devops-guru:UpdateEventSourcesConfig devops-guru:UpdateResourceCollection devops-guru:UpdateServiceIntegration  | 
| directconnect |  directconnect:AcceptDirectConnectGatewayAssociationProposal directconnect:AllocateConnectionOnInterconnect directconnect:AllocateHostedConnection directconnect:AllocatePrivateVirtualInterface directconnect:AllocatePublicVirtualInterface directconnect:AllocateTransitVirtualInterface directconnect:AssociateConnectionWithLag directconnect:AssociateHostedConnection directconnect:AssociateMacSecKey directconnect:AssociateVirtualInterface directconnect:ConfirmConnection directconnect:ConfirmCustomerAgreement directconnect:ConfirmPrivateVirtualInterface directconnect:ConfirmPublicVirtualInterface directconnect:ConfirmTransitVirtualInterface directconnect:CreateBGPPeer directconnect:CreateConnection directconnect:CreateDirectConnectGateway directconnect:CreateDirectConnectGatewayAssociation directconnect:CreateDirectConnectGatewayAssociationProposal directconnect:CreateInterconnect directconnect:CreateLag directconnect:CreatePrivateVirtualInterface directconnect:CreatePublicVirtualInterface directconnect:CreateTransitVirtualInterface directconnect:DeleteBGPPeer directconnect:DeleteConnection directconnect:DeleteDirectConnectGateway directconnect:DeleteDirectConnectGatewayAssociation directconnect:DeleteDirectConnectGatewayAssociationProposal directconnect:DeleteInterconnect directconnect:DeleteLag directconnect:DeleteVirtualInterface directconnect:DescribeConnectionLoa directconnect:DescribeConnections directconnect:DescribeConnectionsOnInterconnect directconnect:DescribeCustomerMetadata directconnect:DescribeDirectConnectGatewayAssociationProposals directconnect:DescribeDirectConnectGatewayAssociations directconnect:DescribeDirectConnectGatewayAttachments directconnect:DescribeDirectConnectGateways directconnect:DescribeHostedConnections directconnect:DescribeInterconnectLoa directconnect:DescribeInterconnects directconnect:DescribeLags directconnect:DescribeLoa directconnect:DescribeLocations directconnect:DescribeRouterConfiguration directconnect:DescribeVirtualGateways directconnect:DescribeVirtualInterfaces directconnect:DisassociateConnectionFromLag directconnect:DisassociateMacSecKey directconnect:ListVirtualInterfaceTestHistory directconnect:StartBgpFailoverTest directconnect:StopBgpFailoverTest directconnect:UpdateConnection directconnect:UpdateDirectConnectGateway directconnect:UpdateDirectConnectGatewayAssociation directconnect:UpdateLag directconnect:UpdateVirtualInterfaceAttributes  | 
| dlm |  dlm:CreateLifecyclePolicy dlm:DeleteLifecyclePolicy dlm:GetLifecyclePolicies dlm:GetLifecyclePolicy dlm:UpdateLifecyclePolicy  | 
| dms |  dms:ApplyPendingMaintenanceAction dms:AssociateExtensionPack dms:BatchStartRecommendations dms:CancelMetadataModelCreation dms:CancelReplicationTaskAssessmentRun dms:CreateDataProvider dms:CreateEndpoint dms:CreateEventSubscription dms:CreateInstanceProfile dms:CreateMigrationProject dms:CreateReplicationConfig dms:CreateReplicationInstance dms:CreateReplicationSubnetGroup dms:CreateReplicationTask dms:DeleteCertificate dms:DeleteConnection dms:DeleteDataMigration dms:DeleteDataProvider dms:DeleteEndpoint dms:DeleteEventSubscription dms:DeleteFleetAdvisorCollector dms:DeleteFleetAdvisorDatabases dms:DeleteInstanceProfile dms:DeleteMigrationProject dms:DeleteReplicationConfig dms:DeleteReplicationInstance dms:DeleteReplicationSubnetGroup dms:DeleteReplicationTask dms:DeleteReplicationTaskAssessmentRun dms:DescribeAccountAttributes dms:DescribeApplicableIndividualAssessments dms:DescribeCertificates dms:DescribeConnections dms:DescribeDataMigrations dms:DescribeEndpointSettings dms:DescribeEndpointTypes dms:DescribeEndpoints dms:DescribeEngineVersions dms:DescribeEventCategories dms:DescribeEventSubscriptions dms:DescribeEvents dms:DescribeFleetAdvisorCollectors dms:DescribeFleetAdvisorDatabases dms:DescribeFleetAdvisorLsaAnalysis dms:DescribeFleetAdvisorSchemaObjectSummary dms:DescribeFleetAdvisorSchemas dms:DescribeMetadataModel dms:DescribeMetadataModelChildren dms:DescribeMetadataModelCreations dms:DescribeMetadataModelImports dms:DescribeOrderableReplicationInstances dms:DescribePendingMaintenanceActions dms:DescribeRecommendationLimitations dms:DescribeRecommendations dms:DescribeRefreshSchemasStatus dms:DescribeReplicationConfigs dms:DescribeReplicationInstanceTaskLogs dms:DescribeReplicationInstances dms:DescribeReplicationSubnetGroups dms:DescribeReplicationTableStatistics dms:DescribeReplicationTaskAssessmentResults dms:DescribeReplicationTaskAssessmentRuns dms:DescribeReplicationTaskIndividualAssessments dms:DescribeReplicationTasks dms:DescribeReplications dms:DescribeSchemas dms:DescribeTableStatistics dms:ExportMetadataModelAssessment dms:ImportCertificate dms:ListDataProviders dms:ListExtensionPacks dms:ListInstanceProfiles dms:ListMetadataModelAssessments dms:ListMetadataModelConversions dms:ListMetadataModelExports dms:ListMigrationProjects dms:ModifyDataMigration dms:ModifyEndpoint dms:ModifyEventSubscription dms:ModifyReplicationConfig dms:ModifyReplicationInstance dms:ModifyReplicationSubnetGroup dms:ModifyReplicationTask dms:MoveReplicationTask dms:RebootReplicationInstance dms:RefreshSchemas dms:ReloadReplicationTables dms:ReloadTables dms:RunFleetAdvisorLsaAnalysis dms:StartMetadataModelAssessment dms:StartMetadataModelConversion dms:StartMetadataModelCreation dms:StartMetadataModelExportAsScripts dms:StartMetadataModelExportToTarget dms:StartRecommendations dms:StartReplication dms:StartReplicationTask dms:StartReplicationTaskAssessment dms:StopDataMigration dms:StopReplicationTask dms:TestConnection dms:UpdateConversionConfiguration dms:UpdateDataProvider dms:UpdateInstanceProfile dms:UpdateMigrationProject dms:UpdateSubscriptionsToEventBridge  | 
| docdb-elastic |  docdb-elastic:ApplyPendingMaintenanceAction docdb-elastic:CopyClusterSnapshot docdb-elastic:DeleteCluster docdb-elastic:DeleteClusterSnapshot docdb-elastic:GetCluster docdb-elastic:GetClusterSnapshot docdb-elastic:GetPendingMaintenanceAction docdb-elastic:ListClusterSnapshots docdb-elastic:ListClusters docdb-elastic:ListPendingMaintenanceActions docdb-elastic:RestoreClusterFromSnapshot docdb-elastic:StartCluster docdb-elastic:StopCluster docdb-elastic:UpdateCluster  | 
| dynamodb |  dynamodb:AssociateTableReplica dynamodb:CreateBackup dynamodb:CreateGlobalTable dynamodb:CreateTable dynamodb:DeleteBackup dynamodb:DeleteTable dynamodb:DescribeBackup dynamodb:DescribeContinuousBackups dynamodb:DescribeContributorInsights dynamodb:DescribeEndpoints dynamodb:DescribeExport dynamodb:DescribeGlobalTable dynamodb:DescribeGlobalTableSettings dynamodb:DescribeImport dynamodb:DescribeKinesisStreamingDestination dynamodb:DescribeLimits dynamodb:DescribeStream dynamodb:DescribeTable dynamodb:DescribeTableReplicaAutoScaling dynamodb:DescribeTimeToLive dynamodb:DisableKinesisStreamingDestination dynamodb:EnableKinesisStreamingDestination dynamodb:ExportTableToPointInTime dynamodb:GetResourcePolicy dynamodb:ImportTable dynamodb:ListBackups dynamodb:ListContributorInsights dynamodb:ListExports dynamodb:ListGlobalTables dynamodb:ListImports dynamodb:ListStreams dynamodb:ListTables dynamodb:ReadDataForReplication dynamodb:ReplicateSettings dynamodb:RestoreTableFromBackup dynamodb:RestoreTableToPointInTime dynamodb:UpdateContinuousBackups dynamodb:UpdateContributorInsights dynamodb:UpdateGlobalTable dynamodb:UpdateGlobalTableSettings dynamodb:UpdateKinesisStreamingDestination dynamodb:UpdateTable dynamodb:UpdateTableReplicaAutoScaling dynamodb:UpdateTimeToLive dynamodb:WriteDataForReplication  | 
| ebs |  ebs:CompleteSnapshot ebs:StartSnapshot  | 
| ec2 |  ec2:AcceptAddressTransfer ec2:AcceptCapacityReservationBillingOwnership ec2:AcceptReservedInstancesExchangeQuote ec2:AcceptTransitGatewayMulticastDomainAssociations ec2:AcceptTransitGatewayPeeringAttachment ec2:AcceptTransitGatewayVpcAttachment ec2:AcceptVpcEndpointConnections ec2:AcceptVpcPeeringConnection ec2:AdvertiseByoipCidr ec2:AllocateAddress ec2:AllocateHosts ec2:AllocateIpamPoolCidr ec2:ApplySecurityGroupsToClientVpnTargetNetwork ec2:AssignIpv6Addresses ec2:AssignPrivateIpAddresses ec2:AssignPrivateNatGatewayAddress ec2:AssociateAddress ec2:AssociateCapacityReservationBillingOwner ec2:AssociateClientVpnTargetNetwork ec2:AssociateDhcpOptions ec2:AssociateEnclaveCertificateIamRole ec2:AssociateIamInstanceProfile ec2:AssociateInstanceEventWindow ec2:AssociateIpamByoasn ec2:AssociateIpamResourceDiscovery ec2:AssociateNatGatewayAddress ec2:AssociateRouteServer ec2:AssociateRouteTable ec2:AssociateSecurityGroupVpc ec2:AssociateSubnetCidrBlock ec2:AssociateTransitGatewayMulticastDomain ec2:AssociateTransitGatewayPolicyTable ec2:AssociateTransitGatewayRouteTable ec2:AssociateTrunkInterface ec2:AssociateVpcCidrBlock ec2:AttachClassicLinkVpc ec2:AttachInternetGateway ec2:AttachNetworkInterface ec2:AttachVerifiedAccessTrustProvider ec2:AttachVolume ec2:AttachVpnGateway ec2:AuthorizeClientVpnIngress ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:BundleInstance ec2:CancelBundleTask ec2:CancelCapacityReservation ec2:CancelCapacityReservationFleets ec2:CancelConversionTask ec2:CancelDeclarativePoliciesReport ec2:CancelExportTask ec2:CancelImageLaunchPermission ec2:CancelImportTask ec2:CancelReservedInstancesListing ec2:CancelSpotFleetRequests ec2:CancelSpotInstanceRequests ec2:ConfirmProductInstance ec2:CopyFpgaImage ec2:CopyImage ec2:CopySnapshot ec2:CopyVolumes ec2:CreateCapacityManagerDataExport ec2:CreateCapacityReservation ec2:CreateCapacityReservationBySplitting ec2:CreateCapacityReservationFleet ec2:CreateCarrierGateway ec2:CreateClientVpnEndpoint ec2:CreateClientVpnRoute ec2:CreateCoipCidr ec2:CreateCoipPool ec2:CreateCustomerGateway ec2:CreateDefaultSubnet ec2:CreateDefaultVpc ec2:CreateDelegateMacVolumeOwnershipTask ec2:CreateDhcpOptions ec2:CreateEgressOnlyInternetGateway ec2:CreateFleet ec2:CreateFlowLogs ec2:CreateFpgaImage ec2:CreateImage ec2:CreateImageUsageReport ec2:CreateInstanceConnectEndpoint ec2:CreateInstanceEventWindow ec2:CreateInstanceExportTask ec2:CreateInternetGateway ec2:CreateInterruptibleCapacityReservationAllocation ec2:CreateIpam ec2:CreateIpamExternalResourceVerificationToken ec2:CreateIpamPolicy ec2:CreateIpamPool ec2:CreateIpamPrefixListResolver ec2:CreateIpamPrefixListResolverTarget ec2:CreateIpamResourceDiscovery ec2:CreateIpamScope ec2:CreateKeyPair ec2:CreateLaunchTemplateVersion ec2:CreateLocalGatewayRoute ec2:CreateLocalGatewayRouteTable ec2:CreateLocalGatewayRouteTableVirtualInterfaceGroupAssociation ec2:CreateLocalGatewayRouteTableVpcAssociation ec2:CreateLocalGatewayVirtualInterface ec2:CreateLocalGatewayVirtualInterfaceGroup ec2:CreateMacSystemIntegrityProtectionModificationTask ec2:CreateManagedPrefixList ec2:CreateNatGateway ec2:CreateNetworkAcl ec2:CreateNetworkAclEntry ec2:CreateNetworkInsightsAccessScope ec2:CreateNetworkInsightsPath ec2:CreateNetworkInterface ec2:CreateNetworkInterfacePermission ec2:CreatePlacementGroup ec2:CreatePublicIpv4Pool ec2:CreateReplaceRootVolumeTask ec2:CreateReservedInstancesListing ec2:CreateRestoreImageTask ec2:CreateRoute ec2:CreateRouteServer ec2:CreateRouteServerEndpoint ec2:CreateRouteServerPeer ec2:CreateRouteTable ec2:CreateSecurityGroup ec2:CreateSnapshots ec2:CreateSpotDatafeedSubscription ec2:CreateStoreImageTask ec2:CreateSubnet ec2:CreateSubnetCidrReservation ec2:CreateTrafficMirrorFilter ec2:CreateTrafficMirrorFilterRule ec2:CreateTrafficMirrorSession ec2:CreateTrafficMirrorTarget ec2:CreateTransitGateway ec2:CreateTransitGatewayConnect ec2:CreateTransitGatewayConnectPeer ec2:CreateTransitGatewayMeteringPolicy ec2:CreateTransitGatewayMeteringPolicyEntry ec2:CreateTransitGatewayMulticastDomain ec2:CreateTransitGatewayPeeringAttachment ec2:CreateTransitGatewayPolicyTable ec2:CreateTransitGatewayPrefixListReference ec2:CreateTransitGatewayRoute ec2:CreateTransitGatewayRouteTable ec2:CreateTransitGatewayRouteTableAnnouncement ec2:CreateTransitGatewayVpcAttachment ec2:CreateVerifiedAccessEndpoint ec2:CreateVerifiedAccessGroup ec2:CreateVerifiedAccessInstance ec2:CreateVerifiedAccessTrustProvider ec2:CreateVolume ec2:CreateVpc ec2:CreateVpcBlockPublicAccessExclusion ec2:CreateVpcEncryptionControl ec2:CreateVpcEndpoint ec2:CreateVpcEndpointConnectionNotification ec2:CreateVpcEndpointServiceConfiguration ec2:CreateVpcPeeringConnection ec2:CreateVpnConcentrator ec2:CreateVpnConnection ec2:CreateVpnConnectionRoute ec2:CreateVpnGateway ec2:DeleteCapacityManagerDataExport ec2:DeleteCarrierGateway ec2:DeleteClientVpnEndpoint ec2:DeleteClientVpnRoute ec2:DeleteCoipCidr ec2:DeleteCoipPool ec2:DeleteCustomerGateway ec2:DeleteDhcpOptions ec2:DeleteEgressOnlyInternetGateway ec2:DeleteFleets ec2:DeleteFlowLogs ec2:DeleteFpgaImage ec2:DeleteImageUsageReport ec2:DeleteInstanceConnectEndpoint ec2:DeleteInstanceEventWindow ec2:DeleteInternetGateway ec2:DeleteIpam ec2:DeleteIpamExternalResourceVerificationToken ec2:DeleteIpamPolicy ec2:DeleteIpamPool ec2:DeleteIpamPrefixListResolver ec2:DeleteIpamPrefixListResolverTarget ec2:DeleteIpamResourceDiscovery ec2:DeleteIpamScope ec2:DeleteKeyPair ec2:DeleteLaunchTemplate ec2:DeleteLaunchTemplateVersions ec2:DeleteLocalGatewayRoute ec2:DeleteLocalGatewayRouteTable ec2:DeleteLocalGatewayRouteTableVirtualInterfaceGroupAssociation ec2:DeleteLocalGatewayRouteTableVpcAssociation ec2:DeleteLocalGatewayVirtualInterface ec2:DeleteLocalGatewayVirtualInterfaceGroup ec2:DeleteManagedPrefixList ec2:DeleteNatGateway ec2:DeleteNetworkAcl ec2:DeleteNetworkAclEntry ec2:DeleteNetworkInsightsAccessScope ec2:DeleteNetworkInsightsAccessScopeAnalysis ec2:DeleteNetworkInsightsAnalysis ec2:DeleteNetworkInsightsPath ec2:DeleteNetworkInterface ec2:DeleteNetworkInterfacePermission ec2:DeletePlacementGroup ec2:DeletePublicIpv4Pool ec2:DeleteQueuedReservedInstances ec2:DeleteRoute ec2:DeleteRouteServer ec2:DeleteRouteServerEndpoint ec2:DeleteRouteServerPeer ec2:DeleteRouteTable ec2:DeleteSecurityGroup ec2:DeleteSpotDatafeedSubscription ec2:DeleteSubnet ec2:DeleteSubnetCidrReservation ec2:DeleteTrafficMirrorFilter ec2:DeleteTrafficMirrorFilterRule ec2:DeleteTrafficMirrorSession ec2:DeleteTrafficMirrorTarget ec2:DeleteTransitGateway ec2:DeleteTransitGatewayConnect ec2:DeleteTransitGatewayConnectPeer ec2:DeleteTransitGatewayMeteringPolicy ec2:DeleteTransitGatewayMeteringPolicyEntry ec2:DeleteTransitGatewayMulticastDomain ec2:DeleteTransitGatewayPeeringAttachment ec2:DeleteTransitGatewayPolicyTable ec2:DeleteTransitGatewayPrefixListReference ec2:DeleteTransitGatewayRoute ec2:DeleteTransitGatewayRouteTable ec2:DeleteTransitGatewayRouteTableAnnouncement ec2:DeleteTransitGatewayVpcAttachment ec2:DeleteVerifiedAccessEndpoint ec2:DeleteVerifiedAccessGroup ec2:DeleteVerifiedAccessInstance ec2:DeleteVerifiedAccessTrustProvider ec2:DeleteVolume ec2:DeleteVpc ec2:DeleteVpcBlockPublicAccessExclusion ec2:DeleteVpcEncryptionControl ec2:DeleteVpcEndpointConnectionNotifications ec2:DeleteVpcEndpointServiceConfigurations ec2:DeleteVpcEndpoints ec2:DeleteVpcPeeringConnection ec2:DeleteVpnConcentrator ec2:DeleteVpnConnection ec2:DeleteVpnConnectionRoute ec2:DeleteVpnGateway ec2:DeprovisionByoipCidr ec2:DeprovisionIpamByoasn ec2:DeprovisionIpamPoolCidr ec2:DeprovisionPublicIpv4PoolCidr ec2:DeregisterImage ec2:DeregisterInstanceEventNotificationAttributes ec2:DeregisterTransitGatewayMulticastGroupMembers ec2:DeregisterTransitGatewayMulticastGroupSources ec2:DescribeAccountAttributes ec2:DescribeAddressTransfers ec2:DescribeAddresses ec2:DescribeAddressesAttribute ec2:DescribeAggregateIdFormat ec2:DescribeAvailabilityZones ec2:DescribeAwsNetworkPerformanceMetricSubscriptions ec2:DescribeBundleTasks ec2:DescribeByoipCidrs ec2:DescribeCapacityBlockExtensionHistory ec2:DescribeCapacityBlockExtensionOfferings ec2:DescribeCapacityBlockStatus ec2:DescribeCapacityBlocks ec2:DescribeCapacityManagerDataExports ec2:DescribeCapacityReservationBillingRequests ec2:DescribeCapacityReservationFleets ec2:DescribeCapacityReservationTopology ec2:DescribeCapacityReservations ec2:DescribeCarrierGateways ec2:DescribeClassicLinkInstances ec2:DescribeClientVpnAuthorizationRules ec2:DescribeClientVpnConnections ec2:DescribeClientVpnEndpoints ec2:DescribeClientVpnRoutes ec2:DescribeClientVpnTargetNetworks ec2:DescribeCoipPools ec2:DescribeConversionTasks ec2:DescribeCustomerGateways ec2:DescribeDeclarativePoliciesReports ec2:DescribeDhcpOptions ec2:DescribeEgressOnlyInternetGateways ec2:DescribeElasticGpus ec2:DescribeExportImageTasks ec2:DescribeExportTasks ec2:DescribeFastLaunchImages ec2:DescribeFastSnapshotRestores ec2:DescribeFleetHistory ec2:DescribeFleetInstances ec2:DescribeFleets ec2:DescribeFlowLogs ec2:DescribeFpgaImageAttribute ec2:DescribeFpgaImages ec2:DescribeHostReservationOfferings ec2:DescribeHostReservations ec2:DescribeHosts ec2:DescribeIamInstanceProfileAssociations ec2:DescribeIdFormat ec2:DescribeIdentityIdFormat ec2:DescribeImageAttribute ec2:DescribeImageReferences ec2:DescribeImageUsageReportEntries ec2:DescribeImageUsageReports ec2:DescribeImportImageTasks ec2:DescribeImportSnapshotTasks ec2:DescribeInstanceConnectEndpoints ec2:DescribeInstanceCreditSpecifications ec2:DescribeInstanceEventNotificationAttributes ec2:DescribeInstanceEventWindows ec2:DescribeInstanceImageMetadata ec2:DescribeInstanceSqlHaHistoryStates ec2:DescribeInstanceSqlHaStates ec2:DescribeInstanceTopology ec2:DescribeInstanceTypes ec2:DescribeInternetGateways ec2:DescribeIpamByoasn ec2:DescribeIpamExternalResourceVerificationTokens ec2:DescribeIpamPolicies ec2:DescribeIpamPools ec2:DescribeIpamPrefixListResolverTargets ec2:DescribeIpamPrefixListResolvers ec2:DescribeIpamResourceDiscoveries ec2:DescribeIpamResourceDiscoveryAssociations ec2:DescribeIpamScopes ec2:DescribeIpams ec2:DescribeIpv6Pools ec2:DescribeKeyPairs ec2:DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations ec2:DescribeLocalGatewayRouteTableVpcAssociations ec2:DescribeLocalGatewayRouteTables ec2:DescribeLocalGatewayVirtualInterfaceGroups ec2:DescribeLocalGatewayVirtualInterfaces ec2:DescribeLocalGateways ec2:DescribeLockedSnapshots ec2:DescribeMacHosts ec2:DescribeMacModificationTasks ec2:DescribeManagedPrefixLists ec2:DescribeMovingAddresses ec2:DescribeNatGateways ec2:DescribeNetworkAcls ec2:DescribeNetworkInsightsAccessScopeAnalyses ec2:DescribeNetworkInsightsAccessScopes ec2:DescribeNetworkInsightsAnalyses ec2:DescribeNetworkInsightsPaths ec2:DescribeNetworkInterfaceAttribute ec2:DescribeNetworkInterfacePermissions ec2:DescribeNetworkInterfaces ec2:DescribeOutpostLags ec2:DescribePlacementGroups ec2:DescribePrefixLists ec2:DescribePrincipalIdFormat ec2:DescribePublicIpv4Pools ec2:DescribeRegions ec2:DescribeReplaceRootVolumeTasks ec2:DescribeReservedInstances ec2:DescribeReservedInstancesListings ec2:DescribeReservedInstancesModifications ec2:DescribeReservedInstancesOfferings ec2:DescribeRouteServerEndpoints ec2:DescribeRouteServerPeers ec2:DescribeRouteServers ec2:DescribeRouteTables ec2:DescribeScheduledInstanceAvailability ec2:DescribeScheduledInstances ec2:DescribeSecurityGroupReferences ec2:DescribeSecurityGroupRules ec2:DescribeSecurityGroupVpcAssociations ec2:DescribeSecurityGroups ec2:DescribeServiceLinkVirtualInterfaces ec2:DescribeSnapshotAttribute ec2:DescribeSnapshotTierStatus ec2:DescribeSpotDatafeedSubscription ec2:DescribeSpotFleetInstances ec2:DescribeSpotFleetRequestHistory ec2:DescribeSpotFleetRequests ec2:DescribeSpotInstanceRequests ec2:DescribeSpotPriceHistory ec2:DescribeStaleSecurityGroups ec2:DescribeStoreImageTasks ec2:DescribeTrafficMirrorFilterRules ec2:DescribeTrafficMirrorFilters ec2:DescribeTrafficMirrorSessions ec2:DescribeTrafficMirrorTargets ec2:DescribeTransitGatewayAttachments ec2:DescribeTransitGatewayConnectPeers ec2:DescribeTransitGatewayConnects ec2:DescribeTransitGatewayMeteringPolicies ec2:DescribeTransitGatewayMulticastDomains ec2:DescribeTransitGatewayPeeringAttachments ec2:DescribeTransitGatewayPolicyTables ec2:DescribeTransitGatewayRouteTableAnnouncements ec2:DescribeTransitGatewayRouteTables ec2:DescribeTransitGatewayVpcAttachments ec2:DescribeTransitGateways ec2:DescribeTrunkInterfaceAssociations ec2:DescribeVerifiedAccessEndpoints ec2:DescribeVerifiedAccessGroups ec2:DescribeVerifiedAccessInstanceLoggingConfigurations ec2:DescribeVerifiedAccessInstances ec2:DescribeVerifiedAccessTrustProviders ec2:DescribeVolumeAttribute ec2:DescribeVolumeStatus ec2:DescribeVolumes ec2:DescribeVolumesModifications ec2:DescribeVpcAttribute ec2:DescribeVpcBlockPublicAccessExclusions ec2:DescribeVpcBlockPublicAccessOptions ec2:DescribeVpcClassicLink ec2:DescribeVpcClassicLinkDnsSupport ec2:DescribeVpcEncryptionControls ec2:DescribeVpcEndpointAssociations ec2:DescribeVpcEndpointConnectionNotifications ec2:DescribeVpcEndpointConnections ec2:DescribeVpcEndpointServiceConfigurations ec2:DescribeVpcEndpointServicePermissions ec2:DescribeVpcEndpointServices ec2:DescribeVpcEndpoints ec2:DescribeVpcPeeringConnections ec2:DescribeVpcs ec2:DescribeVpnConcentrators ec2:DescribeVpnConnections ec2:DescribeVpnGateways ec2:DetachClassicLinkVpc ec2:DetachInternetGateway ec2:DetachNetworkInterface ec2:DetachVerifiedAccessTrustProvider ec2:DetachVolume ec2:DetachVpnGateway ec2:DisableAddressTransfer ec2:DisableAllowedImagesSettings ec2:DisableAwsNetworkPerformanceMetricSubscription ec2:DisableCapacityManager ec2:DisableEbsEncryptionByDefault ec2:DisableFastLaunch ec2:DisableFastSnapshotRestores ec2:DisableImage ec2:DisableImageBlockPublicAccess ec2:DisableImageDeprecation ec2:DisableImageDeregistrationProtection ec2:DisableInstanceSqlHaStandbyDetections ec2:DisableIpamOrganizationAdminAccount ec2:DisableIpamPolicy ec2:DisableRouteServerPropagation ec2:DisableSerialConsoleAccess ec2:DisableSnapshotBlockPublicAccess ec2:DisableTransitGatewayRouteTablePropagation ec2:DisableVgwRoutePropagation ec2:DisableVpcClassicLink ec2:DisableVpcClassicLinkDnsSupport ec2:DisassociateAddress ec2:DisassociateCapacityReservationBillingOwner ec2:DisassociateClientVpnTargetNetwork ec2:DisassociateEnclaveCertificateIamRole ec2:DisassociateIamInstanceProfile ec2:DisassociateInstanceEventWindow ec2:DisassociateIpamByoasn ec2:DisassociateIpamResourceDiscovery ec2:DisassociateNatGatewayAddress ec2:DisassociateRouteServer ec2:DisassociateRouteTable ec2:DisassociateSecurityGroupVpc ec2:DisassociateSubnetCidrBlock ec2:DisassociateTransitGatewayMulticastDomain ec2:DisassociateTransitGatewayPolicyTable ec2:DisassociateTransitGatewayRouteTable ec2:DisassociateTrunkInterface ec2:DisassociateVpcCidrBlock ec2:EnableAddressTransfer ec2:EnableAllowedImagesSettings ec2:EnableAwsNetworkPerformanceMetricSubscription ec2:EnableCapacityManager ec2:EnableEbsEncryptionByDefault ec2:EnableFastLaunch ec2:EnableFastSnapshotRestores ec2:EnableImage ec2:EnableImageBlockPublicAccess ec2:EnableImageDeprecation ec2:EnableImageDeregistrationProtection ec2:EnableInstanceSqlHaStandbyDetections ec2:EnableIpamOrganizationAdminAccount ec2:EnableIpamPolicy ec2:EnableReachabilityAnalyzerOrganizationSharing ec2:EnableRouteServerPropagation ec2:EnableSerialConsoleAccess ec2:EnableSnapshotBlockPublicAccess ec2:EnableTransitGatewayRouteTablePropagation ec2:EnableVgwRoutePropagation ec2:EnableVolumeIO ec2:EnableVpcClassicLink ec2:EnableVpcClassicLinkDnsSupport ec2:ExportClientVpnClientCertificateRevocationList ec2:ExportClientVpnClientConfiguration ec2:ExportImage ec2:ExportTransitGatewayRoutes ec2:ExportVerifiedAccessInstanceClientConfiguration ec2:GetActiveVpnTunnelStatus ec2:GetAllowedImagesSettings ec2:GetAssociatedEnclaveCertificateIamRoles ec2:GetAssociatedIpv6PoolCidrs ec2:GetAwsNetworkPerformanceData ec2:GetCapacityManagerAttributes ec2:GetCapacityManagerMetricData ec2:GetCapacityManagerMetricDimensions ec2:GetCapacityReservationUsage ec2:GetCoipPoolUsage ec2:GetConsoleOutput ec2:GetConsoleScreenshot ec2:GetDeclarativePoliciesReportSummary ec2:GetDefaultCreditSpecification ec2:GetEbsDefaultKmsKeyId ec2:GetEbsEncryptionByDefault ec2:GetEnabledIpamPolicy ec2:GetFlowLogsIntegrationTemplate ec2:GetGroupsForCapacityReservation ec2:GetHostReservationPurchasePreview ec2:GetImageAncestry ec2:GetImageBlockPublicAccessState ec2:GetInstanceMetadataDefaults ec2:GetInstanceTpmEkPub ec2:GetInstanceTypesFromInstanceRequirements ec2:GetInstanceUefiData ec2:GetIpamAddressHistory ec2:GetIpamDiscoveredAccounts ec2:GetIpamDiscoveredPublicAddresses ec2:GetIpamDiscoveredResourceCidrs ec2:GetIpamPolicyAllocationRules ec2:GetIpamPolicyOrganizationTargets ec2:GetIpamPoolAllocations ec2:GetIpamPoolCidrs ec2:GetIpamPrefixListResolverRules ec2:GetIpamPrefixListResolverVersionEntries ec2:GetIpamPrefixListResolverVersions ec2:GetIpamResourceCidrs ec2:GetLaunchTemplateData ec2:GetManagedPrefixListAssociations ec2:GetManagedPrefixListEntries ec2:GetNetworkInsightsAccessScopeAnalysisFindings ec2:GetNetworkInsightsAccessScopeContent ec2:GetPasswordData ec2:GetReservedInstancesExchangeQuote ec2:GetRouteServerAssociations ec2:GetRouteServerPropagations ec2:GetRouteServerRoutingDatabase ec2:GetSecurityGroupsForVpc ec2:GetSerialConsoleAccessStatus ec2:GetSnapshotBlockPublicAccessState ec2:GetSpotPlacementScores ec2:GetSubnetCidrReservations ec2:GetTransitGatewayAttachmentPropagations ec2:GetTransitGatewayMeteringPolicyEntries ec2:GetTransitGatewayMulticastDomainAssociations ec2:GetTransitGatewayPolicyTableAssociations ec2:GetTransitGatewayPolicyTableEntries ec2:GetTransitGatewayPrefixListReferences ec2:GetTransitGatewayRouteTableAssociations ec2:GetTransitGatewayRouteTablePropagations ec2:GetVerifiedAccessEndpointPolicy ec2:GetVerifiedAccessEndpointTargets ec2:GetVerifiedAccessGroupPolicy ec2:GetVpcResourcesBlockingEncryptionEnforcement ec2:GetVpnConnectionDeviceSampleConfiguration ec2:GetVpnConnectionDeviceTypes ec2:GetVpnTunnelReplacementStatus ec2:ImportClientVpnClientCertificateRevocationList ec2:ImportImage ec2:ImportInstance ec2:ImportKeyPair ec2:ImportSnapshot ec2:ImportVolume ec2:InjectVolumeIOLatency ec2:ListImagesInRecycleBin ec2:ListSnapshotsInRecycleBin ec2:ListVolumesInRecycleBin ec2:LockSnapshot ec2:ModifyAddressAttribute ec2:ModifyAvailabilityZoneGroup ec2:ModifyCapacityReservation ec2:ModifyCapacityReservationFleet ec2:ModifyClientVpnEndpoint ec2:ModifyDefaultCreditSpecification ec2:ModifyEbsDefaultKmsKeyId ec2:ModifyFleet ec2:ModifyFpgaImageAttribute ec2:ModifyHosts ec2:ModifyIdFormat ec2:ModifyIdentityIdFormat ec2:ModifyImageAttribute ec2:ModifyInstanceAttribute ec2:ModifyInstanceCapacityReservationAttributes ec2:ModifyInstanceConnectEndpoint ec2:ModifyInstanceCpuOptions ec2:ModifyInstanceCreditSpecification ec2:ModifyInstanceEventStartTime ec2:ModifyInstanceEventWindow ec2:ModifyInstanceMaintenanceOptions ec2:ModifyInstanceMetadataDefaults ec2:ModifyInstanceMetadataOptions ec2:ModifyInstanceNetworkPerformanceOptions ec2:ModifyInstancePlacement ec2:ModifyIpam ec2:ModifyIpamPolicyAllocationRules ec2:ModifyIpamPool ec2:ModifyIpamPrefixListResolver ec2:ModifyIpamPrefixListResolverTarget ec2:ModifyIpamResourceCidr ec2:ModifyIpamResourceDiscovery ec2:ModifyIpamScope ec2:ModifyLaunchTemplate ec2:ModifyLocalGatewayRoute ec2:ModifyManagedPrefixList ec2:ModifyNetworkInterfaceAttribute ec2:ModifyPrivateDnsNameOptions ec2:ModifyPublicIpDnsNameOptions ec2:ModifyReservedInstances ec2:ModifyRouteServer ec2:ModifySecurityGroupRules ec2:ModifySnapshotAttribute ec2:ModifySnapshotTier ec2:ModifySpotFleetRequest ec2:ModifySubnetAttribute ec2:ModifyTrafficMirrorFilterNetworkServices ec2:ModifyTrafficMirrorFilterRule ec2:ModifyTrafficMirrorSession ec2:ModifyTransitGateway ec2:ModifyTransitGatewayMeteringPolicy ec2:ModifyTransitGatewayPrefixListReference ec2:ModifyTransitGatewayVpcAttachment ec2:ModifyVerifiedAccessEndpoint ec2:ModifyVerifiedAccessEndpointPolicy ec2:ModifyVerifiedAccessGroup ec2:ModifyVerifiedAccessGroupPolicy ec2:ModifyVerifiedAccessInstance ec2:ModifyVerifiedAccessInstanceLoggingConfiguration ec2:ModifyVerifiedAccessTrustProvider ec2:ModifyVolume ec2:ModifyVolumeAttribute ec2:ModifyVpcAttribute ec2:ModifyVpcBlockPublicAccessExclusion ec2:ModifyVpcBlockPublicAccessOptions ec2:ModifyVpcEncryptionControl ec2:ModifyVpcEndpoint ec2:ModifyVpcEndpointConnectionNotification ec2:ModifyVpcEndpointServiceConfiguration ec2:ModifyVpcEndpointServicePayerResponsibility ec2:ModifyVpcEndpointServicePermissions ec2:ModifyVpcPeeringConnectionOptions ec2:ModifyVpcTenancy ec2:ModifyVpnConnection ec2:ModifyVpnConnectionOptions ec2:ModifyVpnTunnelCertificate ec2:ModifyVpnTunnelOptions ec2:MonitorInstances ec2:MoveAddressToVpc ec2:MoveByoipCidrToIpam ec2:MoveCapacityReservationInstances ec2:ProvisionByoipCidr ec2:ProvisionIpamByoasn ec2:ProvisionIpamPoolCidr ec2:ProvisionPublicIpv4PoolCidr ec2:PurchaseCapacityBlockExtension ec2:PurchaseHostReservation ec2:PurchaseReservedInstancesOffering ec2:PurchaseScheduledInstances ec2:RebootInstances ec2:RegisterImage ec2:RegisterInstanceEventNotificationAttributes ec2:RegisterTransitGatewayMulticastGroupMembers ec2:RegisterTransitGatewayMulticastGroupSources ec2:RejectCapacityReservationBillingOwnership ec2:RejectTransitGatewayMulticastDomainAssociations ec2:RejectTransitGatewayPeeringAttachment ec2:RejectTransitGatewayVpcAttachment ec2:RejectVpcEndpointConnections ec2:RejectVpcPeeringConnection ec2:ReleaseAddress ec2:ReleaseHosts ec2:ReleaseIpamPoolAllocation ec2:ReplaceIamInstanceProfileAssociation ec2:ReplaceImageCriteriaInAllowedImagesSettings ec2:ReplaceNetworkAclAssociation ec2:ReplaceNetworkAclEntry ec2:ReplaceRoute ec2:ReplaceRouteTableAssociation ec2:ReplaceTransitGatewayRoute ec2:ReplaceVpnTunnel ec2:ReportInstanceStatus ec2:RequestSpotFleet ec2:RequestSpotInstances ec2:ResetAddressAttribute ec2:ResetEbsDefaultKmsKeyId ec2:ResetFpgaImageAttribute ec2:ResetImageAttribute ec2:ResetInstanceAttribute ec2:ResetNetworkInterfaceAttribute ec2:ResetSnapshotAttribute ec2:RestoreAddressToClassic ec2:RestoreImageFromRecycleBin ec2:RestoreManagedPrefixListVersion ec2:RestoreSnapshotFromRecycleBin ec2:RestoreSnapshotTier ec2:RestoreVolumeFromRecycleBin ec2:RevokeClientVpnIngress ec2:RevokeSecurityGroupEgress ec2:RevokeSecurityGroupIngress ec2:RunInstances ec2:RunScheduledInstances ec2:SearchLocalGatewayRoutes ec2:SearchTransitGatewayMulticastGroups ec2:SearchTransitGatewayRoutes ec2:SendDiagnosticInterrupt ec2:StartDeclarativePoliciesReport ec2:StartInstances ec2:StartNetworkInsightsAccessScopeAnalysis ec2:StartNetworkInsightsAnalysis ec2:StartVpcEndpointServicePrivateDnsVerification ec2:TerminateClientVpnConnections ec2:UnassignIpv6Addresses ec2:UnassignPrivateIpAddresses ec2:UnassignPrivateNatGatewayAddress ec2:UnlockSnapshot ec2:UnmonitorInstances ec2:UpdateCapacityManagerOrganizationsAccess ec2:UpdateInterruptibleCapacityReservationAllocation ec2:UpdateSecurityGroupRuleDescriptionsEgress ec2:UpdateSecurityGroupRuleDescriptionsIngress ec2:WithdrawByoipCidr  | 
| ecr |  ecr:BatchCheckLayerAvailability ecr:BatchDeleteImage ecr:BatchGetImage ecr:BatchGetRepositoryScanningConfiguration ecr:CompleteLayerUpload ecr:CreatePullThroughCacheRule ecr:CreateRepositoryCreationTemplate ecr:DeleteLifecyclePolicy ecr:DeletePullThroughCacheRule ecr:DeleteRegistryPolicy ecr:DeleteRepository ecr:DeleteRepositoryCreationTemplate ecr:DeleteRepositoryPolicy ecr:DeleteSigningConfiguration ecr:DescribeImageReplicationStatus ecr:DescribeImageScanFindings ecr:DescribeImages ecr:DescribePullThroughCacheRules ecr:DescribeRegistry ecr:DescribeRepositories ecr:DescribeRepositoryCreationTemplates ecr:GetAccountSetting ecr:GetAuthorizationToken ecr:GetDownloadUrlForLayer ecr:GetLifecyclePolicy ecr:GetLifecyclePolicyPreview ecr:GetRegistryPolicy ecr:GetRegistryScanningConfiguration ecr:GetRepositoryPolicy ecr:GetSigningConfiguration ecr:InitiateLayerUpload ecr:ListImages ecr:ListPullTimeUpdateExclusions ecr:PutAccountSetting ecr:PutImage ecr:PutImageScanningConfiguration ecr:PutRegistryPolicy ecr:PutRegistryScanningConfiguration ecr:PutReplicationConfiguration ecr:StartImageScan ecr:StartLifecyclePolicyPreview ecr:UpdatePullThroughCacheRule ecr:UpdateRepositoryCreationTemplate ecr:UploadLayerPart ecr:ValidatePullThroughCacheRule  | 
| ecr-public |  ecr-public:BatchCheckLayerAvailability ecr-public:BatchDeleteImage ecr-public:CompleteLayerUpload ecr-public:CreateRepository ecr-public:DeleteRepository ecr-public:DeleteRepositoryPolicy ecr-public:DescribeImages ecr-public:DescribeRegistries ecr-public:DescribeRepositories ecr-public:GetAuthorizationToken ecr-public:GetRegistryCatalogData ecr-public:GetRepositoryCatalogData ecr-public:GetRepositoryPolicy ecr-public:InitiateLayerUpload ecr-public:PutImage ecr-public:PutRegistryCatalogData ecr-public:PutRepositoryCatalogData ecr-public:SetRepositoryPolicy ecr-public:UploadLayerPart  | 
| ecs |  ecs:CreateCapacityProvider ecs:CreateCluster ecs:CreateService ecs:CreateTaskSet ecs:DeleteAccountSetting ecs:DeleteAttributes ecs:DeleteCapacityProvider ecs:DeleteCluster ecs:DeleteExpressGatewayService ecs:DeleteService ecs:DeleteTaskDefinitions ecs:DeleteTaskSet ecs:DeregisterContainerInstance ecs:DeregisterTaskDefinition ecs:DescribeCapacityProviders ecs:DescribeClusters ecs:DescribeContainerInstances ecs:DescribeExpressGatewayService ecs:DescribeServiceDeployments ecs:DescribeServiceRevisions ecs:DescribeServices ecs:DescribeTaskDefinition ecs:DescribeTaskSets ecs:DescribeTasks ecs:DiscoverPollEndpoint ecs:ExecuteCommand ecs:GetTaskProtection ecs:ListAccountSettings ecs:ListAttributes ecs:ListClusters ecs:ListContainerInstances ecs:ListServiceDeployments ecs:ListServices ecs:ListServicesByNamespace ecs:ListTaskDefinitionFamilies ecs:ListTaskDefinitions ecs:ListTasks ecs:PutAccountSetting ecs:PutAccountSettingDefault ecs:PutAttributes ecs:PutClusterCapacityProviders ecs:RegisterContainerInstance ecs:RunTask ecs:StartTask ecs:StopServiceDeployment ecs:StopTask ecs:SubmitAttachmentStateChanges ecs:SubmitContainerStateChange ecs:SubmitTaskStateChange ecs:UpdateCapacityProvider ecs:UpdateCluster ecs:UpdateClusterSettings ecs:UpdateContainerAgent ecs:UpdateContainerInstancesState ecs:UpdateExpressGatewayService ecs:UpdateService ecs:UpdateServicePrimaryTaskSet ecs:UpdateTaskProtection ecs:UpdateTaskSet  | 
| eks |  eks:AssociateAccessPolicy eks:AssociateEncryptionConfig eks:AssociateIdentityProviderConfig eks:CreateAccessEntry eks:CreateAddon eks:CreateCluster eks:CreateEksAnywhereSubscription eks:CreateFargateProfile eks:CreateNodegroup eks:DeleteAccessEntry eks:DeleteAddon eks:DeleteCapability eks:DeleteCluster eks:DeleteEksAnywhereSubscription eks:DeleteFargateProfile eks:DeleteNodegroup eks:DeletePodIdentityAssociation eks:DeregisterCluster eks:DescribeAccessEntry eks:DescribeAddon eks:DescribeAddonConfiguration eks:DescribeAddonVersions eks:DescribeCapability eks:DescribeCluster eks:DescribeClusterVersions eks:DescribeEksAnywhereSubscription eks:DescribeFargateProfile eks:DescribeIdentityProviderConfig eks:DescribeInsight eks:DescribeInsightsRefresh eks:DescribeNodegroup eks:DescribePodIdentityAssociation eks:DescribeUpdate eks:DisassociateAccessPolicy eks:DisassociateIdentityProviderConfig eks:ListAccessEntries eks:ListAccessPolicies eks:ListAddons eks:ListAssociatedAccessPolicies eks:ListCapabilities eks:ListClusters eks:ListEksAnywhereSubscriptions eks:ListFargateProfiles eks:ListIdentityProviderConfigs eks:ListInsights eks:ListNodegroups eks:ListPodIdentityAssociations eks:ListUpdates eks:RegisterCluster eks:StartInsightsRefresh eks:UpdateAccessEntry eks:UpdateAddon eks:UpdateCapability eks:UpdateClusterConfig eks:UpdateClusterVersion eks:UpdateEksAnywhereSubscription eks:UpdateNodegroupConfig eks:UpdateNodegroupVersion eks:UpdatePodIdentityAssociation  | 
| elasticache |  elasticache:AuthorizeCacheSecurityGroupIngress elasticache:BatchApplyUpdateAction elasticache:BatchStopUpdateAction elasticache:CompleteMigration elasticache:CopyServerlessCacheSnapshot elasticache:CopySnapshot elasticache:CreateCacheCluster elasticache:CreateCacheParameterGroup elasticache:CreateCacheSecurityGroup elasticache:CreateCacheSubnetGroup elasticache:CreateGlobalReplicationGroup elasticache:CreateReplicationGroup elasticache:CreateServerlessCache elasticache:CreateServerlessCacheSnapshot elasticache:CreateSnapshot elasticache:CreateUser elasticache:CreateUserGroup elasticache:DecreaseNodeGroupsInGlobalReplicationGroup elasticache:DecreaseReplicaCount elasticache:DeleteCacheCluster elasticache:DeleteCacheParameterGroup elasticache:DeleteCacheSecurityGroup elasticache:DeleteCacheSubnetGroup elasticache:DeleteGlobalReplicationGroup elasticache:DeleteReplicationGroup elasticache:DeleteServerlessCache elasticache:DeleteServerlessCacheSnapshot elasticache:DeleteSnapshot elasticache:DeleteUser elasticache:DeleteUserGroup elasticache:DescribeCacheClusters elasticache:DescribeCacheEngineVersions elasticache:DescribeCacheParameterGroups elasticache:DescribeCacheParameters elasticache:DescribeCacheSecurityGroups elasticache:DescribeCacheSubnetGroups elasticache:DescribeEngineDefaultParameters elasticache:DescribeEvents elasticache:DescribeGlobalReplicationGroups elasticache:DescribeReplicationGroups elasticache:DescribeReservedCacheNodes elasticache:DescribeReservedCacheNodesOfferings elasticache:DescribeServerlessCacheSnapshots elasticache:DescribeServerlessCaches elasticache:DescribeServiceUpdates elasticache:DescribeSnapshots elasticache:DescribeUpdateActions elasticache:DescribeUserGroups elasticache:DescribeUsers elasticache:DisassociateGlobalReplicationGroup elasticache:ExportServerlessCacheSnapshot elasticache:FailoverGlobalReplicationGroup elasticache:IncreaseNodeGroupsInGlobalReplicationGroup elasticache:IncreaseReplicaCount elasticache:ListAllowedNodeTypeModifications elasticache:ModifyCacheCluster elasticache:ModifyCacheParameterGroup elasticache:ModifyCacheSubnetGroup elasticache:ModifyGlobalReplicationGroup elasticache:ModifyReplicationGroup elasticache:ModifyReplicationGroupShardConfiguration elasticache:ModifyServerlessCache elasticache:ModifyUser elasticache:ModifyUserGroup elasticache:PurchaseReservedCacheNodesOffering elasticache:RebalanceSlotsInGlobalReplicationGroup elasticache:RebootCacheCluster elasticache:ResetCacheParameterGroup elasticache:RevokeCacheSecurityGroupIngress elasticache:StartMigration elasticache:TestFailover elasticache:TestMigration  | 
| elasticbeanstalk |  elasticbeanstalk:AbortEnvironmentUpdate elasticbeanstalk:ApplyEnvironmentManagedAction elasticbeanstalk:AssociateEnvironmentOperationsRole elasticbeanstalk:CheckDNSAvailability elasticbeanstalk:ComposeEnvironments elasticbeanstalk:CreateApplication elasticbeanstalk:CreateApplicationVersion elasticbeanstalk:CreateConfigurationTemplate elasticbeanstalk:CreateEnvironment elasticbeanstalk:CreatePlatformVersion elasticbeanstalk:CreateStorageLocation elasticbeanstalk:DeleteApplication elasticbeanstalk:DeleteApplicationVersion elasticbeanstalk:DeleteConfigurationTemplate elasticbeanstalk:DeleteEnvironmentConfiguration elasticbeanstalk:DeletePlatformVersion elasticbeanstalk:DescribeAccountAttributes elasticbeanstalk:DescribeApplicationVersions elasticbeanstalk:DescribeApplications elasticbeanstalk:DescribeConfigurationOptions elasticbeanstalk:DescribeConfigurationSettings elasticbeanstalk:DescribeEnvironmentHealth elasticbeanstalk:DescribeEnvironmentManagedActionHistory elasticbeanstalk:DescribeEnvironmentManagedActions elasticbeanstalk:DescribeEnvironmentResources elasticbeanstalk:DescribeEnvironments elasticbeanstalk:DescribeEvents elasticbeanstalk:DescribeInstancesHealth elasticbeanstalk:DescribePlatformVersion elasticbeanstalk:DisassociateEnvironmentOperationsRole elasticbeanstalk:ListAvailableSolutionStacks elasticbeanstalk:ListPlatformBranches elasticbeanstalk:ListPlatformVersions elasticbeanstalk:RebuildEnvironment elasticbeanstalk:RequestEnvironmentInfo elasticbeanstalk:RestartAppServer elasticbeanstalk:RetrieveEnvironmentInfo elasticbeanstalk:SwapEnvironmentCNAMEs elasticbeanstalk:TerminateEnvironment elasticbeanstalk:UpdateApplication elasticbeanstalk:UpdateApplicationResourceLifecycle elasticbeanstalk:UpdateApplicationVersion elasticbeanstalk:UpdateConfigurationTemplate elasticbeanstalk:UpdateEnvironment elasticbeanstalk:ValidateConfigurationSettings  | 
| elasticfilesystem |  elasticfilesystem:CreateAccessPoint elasticfilesystem:CreateFileSystem elasticfilesystem:CreateMountTarget elasticfilesystem:CreateReplicationConfiguration elasticfilesystem:DeleteAccessPoint elasticfilesystem:DeleteFileSystem elasticfilesystem:DeleteFileSystemPolicy elasticfilesystem:DeleteMountTarget elasticfilesystem:DeleteReplicationConfiguration elasticfilesystem:DescribeAccessPoints elasticfilesystem:DescribeAccountPreferences elasticfilesystem:DescribeBackupPolicy elasticfilesystem:DescribeFileSystemPolicy elasticfilesystem:DescribeFileSystems elasticfilesystem:DescribeLifecycleConfiguration elasticfilesystem:DescribeMountTargetSecurityGroups elasticfilesystem:DescribeMountTargets elasticfilesystem:DescribeReplicationConfigurations elasticfilesystem:ModifyMountTargetSecurityGroups elasticfilesystem:PutAccountPreferences elasticfilesystem:PutBackupPolicy elasticfilesystem:PutFileSystemPolicy elasticfilesystem:PutLifecycleConfiguration elasticfilesystem:UpdateFileSystem elasticfilesystem:UpdateFileSystemProtection  | 
| elasticloadbalancing |  elasticloadbalancing:AddListenerCertificates elasticloadbalancing:AddTrustStoreRevocations elasticloadbalancing:ApplySecurityGroupsToLoadBalancer elasticloadbalancing:AttachLoadBalancerToSubnets elasticloadbalancing:ConfigureHealthCheck elasticloadbalancing:CreateAppCookieStickinessPolicy elasticloadbalancing:CreateLBCookieStickinessPolicy elasticloadbalancing:CreateListener elasticloadbalancing:CreateLoadBalancer elasticloadbalancing:CreateLoadBalancerListeners elasticloadbalancing:CreateLoadBalancerPolicy elasticloadbalancing:CreateRule elasticloadbalancing:CreateTargetGroup elasticloadbalancing:CreateTrustStore elasticloadbalancing:CreateWebACLAssociation elasticloadbalancing:DeleteListener elasticloadbalancing:DeleteLoadBalancer elasticloadbalancing:DeleteLoadBalancerListeners elasticloadbalancing:DeleteLoadBalancerPolicy elasticloadbalancing:DeleteRule elasticloadbalancing:DeleteSharedTrustStoreAssociation elasticloadbalancing:DeleteTargetGroup elasticloadbalancing:DeleteTrustStore elasticloadbalancing:DeleteWebACLAssociation elasticloadbalancing:DeregisterInstancesFromLoadBalancer elasticloadbalancing:DeregisterTargets elasticloadbalancing:DescribeAccountLimits elasticloadbalancing:DescribeCapacityReservation elasticloadbalancing:DescribeInstanceHealth elasticloadbalancing:DescribeListenerAttributes elasticloadbalancing:DescribeListenerCertificates elasticloadbalancing:DescribeListeners elasticloadbalancing:DescribeLoadBalancerAttributes elasticloadbalancing:DescribeLoadBalancerPolicies elasticloadbalancing:DescribeLoadBalancerPolicyTypes elasticloadbalancing:DescribeLoadBalancers elasticloadbalancing:DescribeRules elasticloadbalancing:DescribeSSLPolicies elasticloadbalancing:DescribeTargetGroupAttributes elasticloadbalancing:DescribeTargetGroups elasticloadbalancing:DescribeTargetHealth elasticloadbalancing:DescribeTrustStoreAssociations elasticloadbalancing:DescribeTrustStoreRevocations elasticloadbalancing:DescribeTrustStores elasticloadbalancing:DescribeWebACLAssociation elasticloadbalancing:DetachLoadBalancerFromSubnets elasticloadbalancing:DisableAvailabilityZonesForLoadBalancer elasticloadbalancing:EnableAvailabilityZonesForLoadBalancer elasticloadbalancing:GetLoadBalancerWebACL elasticloadbalancing:GetResourcePolicy elasticloadbalancing:GetTrustStoreCaCertificatesBundle elasticloadbalancing:GetTrustStoreRevocationContent elasticloadbalancing:ModifyCapacityReservation elasticloadbalancing:ModifyIpPools elasticloadbalancing:ModifyListener elasticloadbalancing:ModifyLoadBalancerAttributes elasticloadbalancing:ModifyRule elasticloadbalancing:ModifyTargetGroup elasticloadbalancing:ModifyTargetGroupAttributes elasticloadbalancing:ModifyTrustStore elasticloadbalancing:RegisterInstancesWithLoadBalancer elasticloadbalancing:RegisterTargets elasticloadbalancing:RemoveListenerCertificates elasticloadbalancing:RemoveTrustStoreRevocations elasticloadbalancing:SetIpAddressType elasticloadbalancing:SetLoadBalancerListenerSSLCertificate elasticloadbalancing:SetLoadBalancerPoliciesForBackendServer elasticloadbalancing:SetLoadBalancerPoliciesOfListener elasticloadbalancing:SetRulePriorities elasticloadbalancing:SetSecurityGroups elasticloadbalancing:SetSubnets  | 
| elastictranscoder |  elastictranscoder:CancelJob elastictranscoder:CreateJob elastictranscoder:CreatePipeline elastictranscoder:CreatePreset elastictranscoder:DeletePipeline elastictranscoder:DeletePreset elastictranscoder:ListJobsByPipeline elastictranscoder:ListJobsByStatus elastictranscoder:ListPipelines elastictranscoder:ListPresets elastictranscoder:ReadJob elastictranscoder:ReadPipeline elastictranscoder:ReadPreset elastictranscoder:TestRole elastictranscoder:UpdatePipeline elastictranscoder:UpdatePipelineNotifications elastictranscoder:UpdatePipelineStatus  | 
| emr-containers |  emr-containers:CancelJobRun emr-containers:CreateJobTemplate emr-containers:CreateManagedEndpoint emr-containers:CreateSecurityConfiguration emr-containers:CreateVirtualCluster emr-containers:DeleteJobTemplate emr-containers:DeleteManagedEndpoint emr-containers:DeleteVirtualCluster emr-containers:DescribeJobRun emr-containers:DescribeJobTemplate emr-containers:DescribeManagedEndpoint emr-containers:DescribeSecurityConfiguration emr-containers:DescribeVirtualCluster emr-containers:GetManagedEndpointSessionCredentials emr-containers:ListJobRuns emr-containers:ListJobTemplates emr-containers:ListManagedEndpoints emr-containers:ListSecurityConfigurations emr-containers:ListVirtualClusters emr-containers:StartJobRun  | 
| emr-serverless |  emr-serverless:CancelJobRun emr-serverless:CreateApplication emr-serverless:DeleteApplication emr-serverless:GetApplication emr-serverless:GetDashboardForJobRun emr-serverless:GetJobRun emr-serverless:ListApplications emr-serverless:ListJobRunAttempts emr-serverless:ListJobRuns emr-serverless:StartApplication emr-serverless:StartJobRun emr-serverless:StopApplication emr-serverless:UpdateApplication  | 
| es |  es:AcceptInboundConnection es:AcceptInboundCrossClusterSearchConnection es:AssociatePackage es:AuthorizeVpcEndpointAccess es:CancelElasticsearchServiceSoftwareUpdate es:CancelServiceSoftwareUpdate es:CreateDomain es:CreateElasticsearchDomain es:CreateIndex es:CreateOutboundConnection es:CreateOutboundCrossClusterSearchConnection es:CreatePackage es:CreateVpcEndpoint es:DeleteDomain es:DeleteElasticsearchDomain es:DeleteElasticsearchServiceRole es:DeleteInboundConnection es:DeleteInboundCrossClusterSearchConnection es:DeleteIndex es:DeleteOutboundConnection es:DeleteOutboundCrossClusterSearchConnection es:DeletePackage es:DeleteVpcEndpoint es:DescribeDomain es:DescribeDomainAutoTunes es:DescribeDomainChangeProgress es:DescribeDomainConfig es:DescribeDomainHealth es:DescribeDomainNodes es:DescribeDomains es:DescribeDryRunProgress es:DescribeElasticsearchDomain es:DescribeElasticsearchDomainConfig es:DescribeElasticsearchDomains es:DescribeElasticsearchInstanceTypeLimits es:DescribeInboundConnections es:DescribeInboundCrossClusterSearchConnections es:DescribeInstanceTypeLimits es:DescribeOutboundConnections es:DescribeOutboundCrossClusterSearchConnections es:DescribePackages es:DescribeReservedElasticsearchInstanceOfferings es:DescribeReservedElasticsearchInstances es:DescribeReservedInstanceOfferings es:DescribeReservedInstances es:DescribeVpcEndpoints es:DissociatePackage es:DissociatePackages es:GetCompatibleElasticsearchVersions es:GetCompatibleVersions es:GetDataSource es:GetDomainMaintenanceStatus es:GetPackageVersionHistory es:GetUpgradeHistory es:GetUpgradeStatus es:ListDataSources es:ListDomainNames es:ListDomainsForPackage es:ListElasticsearchInstanceTypes es:ListElasticsearchVersions es:ListInstanceTypeDetails es:ListPackagesForDomain es:ListScheduledActions es:ListVersions es:ListVpcEndpointAccess es:ListVpcEndpoints es:ListVpcEndpointsForDomain es:PurchaseReservedElasticsearchInstanceOffering es:PurchaseReservedInstanceOffering es:RejectInboundConnection es:RejectInboundCrossClusterSearchConnection es:RevokeVpcEndpointAccess es:StartDomainMaintenance es:StartElasticsearchServiceSoftwareUpdate es:StartServiceSoftwareUpdate es:UpdateDataSource es:UpdateDomainConfig es:UpdateElasticsearchDomainConfig es:UpdateIndex es:UpdatePackage es:UpdatePackageScope es:UpdateScheduledAction es:UpdateVpcEndpoint es:UpgradeDomain es:UpgradeElasticsearchDomain  | 
| events |  events:ActivateEventSource events:CancelReplay events:CreateApiDestination events:CreateArchive events:CreateConnection events:CreateEndpoint events:CreateEventBus events:CreatePartnerEventSource events:DeactivateEventSource events:DeauthorizeConnection events:DeleteApiDestination events:DeleteArchive events:DeleteConnection events:DeleteEndpoint events:DeleteEventBus events:DeletePartnerEventSource events:DeleteRule events:DescribeApiDestination events:DescribeArchive events:DescribeConnection events:DescribeEndpoint events:DescribeEventBus events:DescribeEventSource events:DescribePartnerEventSource events:DescribeReplay events:DescribeRule events:DisableRule events:EnableRule events:ListApiDestinations events:ListArchives events:ListConnections events:ListEndpoints events:ListEventBuses events:ListEventSources events:ListPartnerEventSourceAccounts events:ListPartnerEventSources events:ListReplays events:ListRuleNamesByTarget events:ListRules events:ListTargetsByRule events:PutPermission events:PutRule events:PutTargets events:RemovePermission events:RemoveTargets events:StartReplay events:TestEventPattern events:UpdateApiDestination events:UpdateArchive events:UpdateConnection events:UpdateEndpoint events:UpdateEventBus  | 
| evidently |  evidently:CreateExperiment evidently:CreateFeature evidently:CreateLaunch evidently:CreateProject evidently:CreateSegment evidently:DeleteExperiment evidently:DeleteFeature evidently:DeleteLaunch evidently:DeleteProject evidently:DeleteSegment evidently:GetExperiment evidently:GetExperimentResults evidently:GetFeature evidently:GetLaunch evidently:GetProject evidently:GetSegment evidently:ListExperiments evidently:ListFeatures evidently:ListLaunches evidently:ListProjects evidently:ListSegmentReferences evidently:ListSegments evidently:StartExperiment evidently:StartLaunch evidently:StopExperiment evidently:StopLaunch evidently:TestSegmentPattern evidently:UpdateExperiment evidently:UpdateFeature evidently:UpdateLaunch evidently:UpdateProject evidently:UpdateProjectDataDelivery  | 
| finspace |  finspace:CreateEnvironment finspace:CreateKxChangeset finspace:CreateKxCluster finspace:CreateKxDatabase finspace:CreateKxDataview finspace:CreateKxEnvironment finspace:CreateKxScalingGroup finspace:CreateKxUser finspace:CreateKxVolume finspace:CreateUser finspace:DeleteEnvironment finspace:DeleteKxCluster finspace:DeleteKxClusterNode finspace:DeleteKxDatabase finspace:DeleteKxDataview finspace:DeleteKxEnvironment finspace:DeleteKxScalingGroup finspace:DeleteKxUser finspace:DeleteKxVolume finspace:GetEnvironment finspace:GetKxChangeset finspace:GetKxCluster finspace:GetKxConnectionString finspace:GetKxDatabase finspace:GetKxDataview finspace:GetKxEnvironment finspace:GetKxScalingGroup finspace:GetKxUser finspace:GetKxVolume finspace:GetLoadSampleDataSetGroupIntoEnvironmentStatus finspace:GetUser finspace:ListEnvironments finspace:ListKxChangesets finspace:ListKxClusterNodes finspace:ListKxClusters finspace:ListKxDatabases finspace:ListKxDataviews finspace:ListKxEnvironments finspace:ListKxScalingGroups finspace:ListKxUsers finspace:ListKxVolumes finspace:ListUsers finspace:LoadSampleDataSetGroupIntoEnvironment finspace:ResetUserPassword finspace:UpdateEnvironment finspace:UpdateKxClusterCodeConfiguration finspace:UpdateKxClusterDatabases finspace:UpdateKxDatabase finspace:UpdateKxDataview finspace:UpdateKxEnvironment finspace:UpdateKxEnvironmentNetwork finspace:UpdateKxUser finspace:UpdateKxVolume finspace:UpdateUser  | 
| firehose |  firehose:CreateDeliveryStream firehose:DeleteDeliveryStream firehose:DescribeDeliveryStream firehose:ListDeliveryStreams firehose:StartDeliveryStreamEncryption firehose:StopDeliveryStreamEncryption firehose:UpdateDestination  | 
| fis |  fis:CreateExperimentTemplate fis:CreateTargetAccountConfiguration fis:DeleteExperimentTemplate fis:DeleteTargetAccountConfiguration fis:GetAction fis:GetExperiment fis:GetExperimentTargetAccountConfiguration fis:GetExperimentTemplate fis:GetSafetyLever fis:GetTargetAccountConfiguration fis:GetTargetResourceType fis:ListActions fis:ListExperimentResolvedTargets fis:ListExperimentTargetAccountConfigurations fis:ListExperimentTemplates fis:ListExperiments fis:ListTargetAccountConfigurations fis:ListTargetResourceTypes fis:StartExperiment fis:StopExperiment fis:UpdateExperimentTemplate fis:UpdateSafetyLeverState fis:UpdateTargetAccountConfiguration  | 
| fms |  fms:AssociateAdminAccount fms:AssociateThirdPartyFirewall fms:BatchAssociateResource fms:BatchDisassociateResource fms:DeleteAppsList fms:DeleteNotificationChannel fms:DeletePolicy fms:DeleteProtocolsList fms:DeleteResourceSet fms:DisassociateAdminAccount fms:DisassociateThirdPartyFirewall fms:GetAdminAccount fms:GetAdminScope fms:GetAppsList fms:GetComplianceDetail fms:GetNotificationChannel fms:GetPolicy fms:GetProtectionStatus fms:GetProtocolsList fms:GetResourceSet fms:GetThirdPartyFirewallAssociationStatus fms:GetViolationDetails fms:ListAdminAccountsForOrganization fms:ListAdminsManagingAccount fms:ListAppsLists fms:ListComplianceStatus fms:ListDiscoveredResources fms:ListMemberAccounts fms:ListPolicies fms:ListProtocolsLists fms:ListResourceSetResources fms:ListResourceSets fms:ListThirdPartyFirewallFirewallPolicies fms:PutAdminAccount fms:PutAppsList fms:PutNotificationChannel fms:PutPolicy fms:PutProtocolsList fms:PutResourceSet  | 
| frauddetector |  frauddetector:BatchCreateVariable frauddetector:BatchGetVariable frauddetector:CancelBatchImportJob frauddetector:CancelBatchPredictionJob frauddetector:CreateBatchImportJob frauddetector:CreateBatchPredictionJob frauddetector:CreateDetectorVersion frauddetector:CreateList frauddetector:CreateModel frauddetector:CreateModelVersion frauddetector:CreateRule frauddetector:CreateVariable frauddetector:DeleteBatchImportJob frauddetector:DeleteBatchPredictionJob frauddetector:DeleteDetector frauddetector:DeleteDetectorVersion frauddetector:DeleteEntityType frauddetector:DeleteEvent frauddetector:DeleteEventType frauddetector:DeleteEventsByEventType frauddetector:DeleteExternalModel frauddetector:DeleteLabel frauddetector:DeleteList frauddetector:DeleteModel frauddetector:DeleteModelVersion frauddetector:DeleteOutcome frauddetector:DeleteRule frauddetector:DeleteVariable frauddetector:DescribeDetector frauddetector:DescribeModelVersions frauddetector:GetBatchImportJobs frauddetector:GetBatchPredictionJobs frauddetector:GetDeleteEventsByEventTypeStatus frauddetector:GetDetectorVersion frauddetector:GetDetectors frauddetector:GetEntityTypes frauddetector:GetEvent frauddetector:GetEventPrediction frauddetector:GetEventPredictionMetadata frauddetector:GetEventTypes frauddetector:GetExternalModels frauddetector:GetKMSEncryptionKey frauddetector:GetLabels frauddetector:GetListElements frauddetector:GetListsMetadata frauddetector:GetModelVersion frauddetector:GetModels frauddetector:GetOutcomes frauddetector:GetRules frauddetector:GetVariables frauddetector:ListEventPredictions frauddetector:PutDetector frauddetector:PutEntityType frauddetector:PutEventType frauddetector:PutExternalModel frauddetector:PutKMSEncryptionKey frauddetector:PutLabel frauddetector:PutOutcome frauddetector:SendEvent frauddetector:UpdateDetectorVersion frauddetector:UpdateDetectorVersionMetadata frauddetector:UpdateDetectorVersionStatus frauddetector:UpdateEventLabel frauddetector:UpdateList frauddetector:UpdateModel frauddetector:UpdateModelVersion frauddetector:UpdateModelVersionStatus frauddetector:UpdateRuleMetadata frauddetector:UpdateRuleVersion frauddetector:UpdateVariable  | 
| fsx |  fsx:AssociateFileSystemAliases fsx:CancelDataRepositoryTask fsx:CopyBackup fsx:CreateDataRepositoryTask fsx:CreateFileCache fsx:CreateFileSystem fsx:CreateFileSystemFromBackup fsx:CreateSnapshot fsx:CreateStorageVirtualMachine fsx:CreateVolume fsx:CreateVolumeFromBackup fsx:DeleteBackup fsx:DeleteFileCache fsx:DeleteFileSystem fsx:DeleteSnapshot fsx:DeleteStorageVirtualMachine fsx:DeleteVolume fsx:DescribeBackups fsx:DescribeDataRepositoryAssociations fsx:DescribeDataRepositoryTasks fsx:DescribeFileCaches fsx:DescribeFileSystemAliases fsx:DescribeFileSystems fsx:DescribeS3AccessPointAttachments fsx:DescribeSharedVpcConfiguration fsx:DescribeSnapshots fsx:DescribeStorageVirtualMachines fsx:DescribeVolumes fsx:DetachAndDeleteS3AccessPoint fsx:DisassociateFileSystemAliases fsx:ReleaseFileSystemNfsV3Locks fsx:RestoreVolumeFromSnapshot fsx:StartMisconfiguredStateRecovery fsx:UpdateDataRepositoryAssociation fsx:UpdateFileCache fsx:UpdateFileSystem fsx:UpdateSharedVpcConfiguration fsx:UpdateSnapshot fsx:UpdateStorageVirtualMachine fsx:UpdateVolume  | 
| gamelift |  gamelift:AcceptMatch gamelift:ClaimGameServer gamelift:CreateAlias gamelift:CreateBuild gamelift:CreateContainerGroupDefinition gamelift:CreateFleet gamelift:CreateFleetLocations gamelift:CreateGameServerGroup gamelift:CreateGameSession gamelift:CreateGameSessionQueue gamelift:CreateLocation gamelift:CreateMatchmakingConfiguration gamelift:CreateMatchmakingRuleSet gamelift:CreatePlayerSession gamelift:CreatePlayerSessions gamelift:CreateScript gamelift:CreateVpcPeeringAuthorization gamelift:CreateVpcPeeringConnection gamelift:DeleteAlias gamelift:DeleteBuild gamelift:DeleteContainerGroupDefinition gamelift:DeleteFleet gamelift:DeleteFleetLocations gamelift:DeleteGameServerGroup gamelift:DeleteGameSessionQueue gamelift:DeleteLocation gamelift:DeleteMatchmakingConfiguration gamelift:DeleteMatchmakingRuleSet gamelift:DeleteScalingPolicy gamelift:DeleteScript gamelift:DeleteVpcPeeringAuthorization gamelift:DeleteVpcPeeringConnection gamelift:DeregisterCompute gamelift:DeregisterGameServer gamelift:DescribeAlias gamelift:DescribeBuild gamelift:DescribeCompute gamelift:DescribeContainerFleet gamelift:DescribeContainerGroupDefinition gamelift:DescribeEC2InstanceLimits gamelift:DescribeFleetAttributes gamelift:DescribeFleetCapacity gamelift:DescribeFleetEvents gamelift:DescribeFleetLocationAttributes gamelift:DescribeFleetLocationCapacity gamelift:DescribeFleetLocationUtilization gamelift:DescribeFleetPortSettings gamelift:DescribeFleetUtilization gamelift:DescribeGameServer gamelift:DescribeGameServerGroup gamelift:DescribeGameServerInstances gamelift:DescribeGameSessionDetails gamelift:DescribeGameSessionPlacement gamelift:DescribeGameSessionQueues gamelift:DescribeGameSessions gamelift:DescribeInstances gamelift:DescribeMatchmaking gamelift:DescribeMatchmakingConfigurations gamelift:DescribeMatchmakingRuleSets gamelift:DescribePlayerSessions gamelift:DescribeRuntimeConfiguration gamelift:DescribeScalingPolicies gamelift:DescribeScript gamelift:DescribeVpcPeeringAuthorizations gamelift:DescribeVpcPeeringConnections gamelift:GetComputeAccess gamelift:GetComputeAuthToken gamelift:GetGameSessionLogUrl gamelift:GetInstanceAccess gamelift:ListAliases gamelift:ListBuilds gamelift:ListCompute gamelift:ListContainerFleets gamelift:ListContainerGroupDefinitionVersions gamelift:ListContainerGroupDefinitions gamelift:ListFleetDeployments gamelift:ListFleets gamelift:ListGameServerGroups gamelift:ListGameServers gamelift:ListLocations gamelift:ListScripts gamelift:PutScalingPolicy gamelift:RegisterCompute gamelift:RegisterGameServer gamelift:RequestUploadCredentials gamelift:ResolveAlias gamelift:ResumeGameServerGroup gamelift:SearchGameSessions gamelift:StartFleetActions gamelift:StartGameSessionPlacement gamelift:StartMatchBackfill gamelift:StartMatchmaking gamelift:StopFleetActions gamelift:StopGameSessionPlacement gamelift:StopMatchmaking gamelift:SuspendGameServerGroup gamelift:TerminateGameSession gamelift:UpdateAlias gamelift:UpdateBuild gamelift:UpdateContainerGroupDefinition gamelift:UpdateFleetAttributes gamelift:UpdateFleetCapacity gamelift:UpdateFleetPortSettings gamelift:UpdateGameServer gamelift:UpdateGameServerGroup gamelift:UpdateGameSession gamelift:UpdateGameSessionQueue gamelift:UpdateMatchmakingConfiguration gamelift:UpdateRuntimeConfiguration gamelift:UpdateScript gamelift:ValidateMatchmakingRuleSet  | 
| geo |  geo:AssociateTrackerConsumer geo:BatchDeleteDevicePositionHistory geo:BatchDeleteGeofence geo:BatchEvaluateGeofences geo:BatchGetDevicePosition geo:BatchPutGeofence geo:BatchUpdateDevicePosition geo:CalculateRoute geo:CalculateRouteMatrix geo:CreateGeofenceCollection geo:CreateMap geo:CreatePlaceIndex geo:CreateRouteCalculator geo:CreateTracker geo:DeleteGeofenceCollection geo:DeleteKey geo:DeleteMap geo:DeletePlaceIndex geo:DeleteRouteCalculator geo:DeleteTracker geo:DescribeGeofenceCollection geo:DescribeKey geo:DescribeMap geo:DescribePlaceIndex geo:DescribeRouteCalculator geo:DescribeTracker geo:DisassociateTrackerConsumer geo:ForecastGeofenceEvents geo:GetDevicePosition geo:GetDevicePositionHistory geo:GetGeofence geo:GetMapGlyphs geo:GetMapSprites geo:GetMapStyleDescriptor geo:GetMapTile geo:GetPlace geo:ListDevicePositions geo:ListGeofenceCollections geo:ListGeofences geo:ListKeys geo:ListMaps geo:ListPlaceIndexes geo:ListRouteCalculators geo:ListTrackerConsumers geo:ListTrackers geo:PutGeofence geo:SearchPlaceIndexForPosition geo:SearchPlaceIndexForSuggestions geo:SearchPlaceIndexForText geo:UpdateGeofenceCollection geo:UpdateKey geo:UpdateMap geo:UpdatePlaceIndex geo:UpdateRouteCalculator geo:UpdateTracker geo:VerifyDevicePosition  | 
| glacier |  glacier:AbortMultipartUpload glacier:AbortVaultLock glacier:CompleteMultipartUpload glacier:CompleteVaultLock glacier:CreateVault glacier:DeleteArchive glacier:DeleteVault glacier:DeleteVaultAccessPolicy glacier:DeleteVaultNotifications glacier:DescribeJob glacier:DescribeVault glacier:GetDataRetrievalPolicy glacier:GetJobOutput glacier:GetVaultAccessPolicy glacier:GetVaultLock glacier:GetVaultNotifications glacier:InitiateJob glacier:InitiateMultipartUpload glacier:InitiateVaultLock glacier:ListJobs glacier:ListMultipartUploads glacier:ListParts glacier:ListProvisionedCapacity glacier:ListVaults glacier:PurchaseProvisionedCapacity glacier:SetDataRetrievalPolicy glacier:SetVaultAccessPolicy glacier:SetVaultNotifications glacier:UploadArchive glacier:UploadMultipartPart  | 
| grafana |  grafana:AssociateLicense grafana:CreateWorkspace grafana:CreateWorkspaceApiKey grafana:CreateWorkspaceServiceAccount grafana:CreateWorkspaceServiceAccountToken grafana:DeleteWorkspace grafana:DeleteWorkspaceApiKey grafana:DeleteWorkspaceServiceAccount grafana:DeleteWorkspaceServiceAccountToken grafana:DescribeWorkspace grafana:DescribeWorkspaceAuthentication grafana:DescribeWorkspaceConfiguration grafana:DisassociateLicense grafana:ListPermissions grafana:ListVersions grafana:ListWorkspaceServiceAccountTokens grafana:ListWorkspaceServiceAccounts grafana:ListWorkspaces grafana:UpdatePermissions grafana:UpdateWorkspace grafana:UpdateWorkspaceAuthentication grafana:UpdateWorkspaceConfiguration  | 
| greengrass |  greengrass:AssociateRoleToGroup greengrass:AssociateServiceRoleToAccount greengrass:BatchAssociateClientDeviceWithCoreDevice greengrass:BatchDisassociateClientDeviceFromCoreDevice greengrass:CancelDeployment greengrass:CreateComponentVersion greengrass:CreateConnectorDefinition greengrass:CreateConnectorDefinitionVersion greengrass:CreateCoreDefinition greengrass:CreateCoreDefinitionVersion greengrass:CreateDeployment greengrass:CreateDeviceDefinition greengrass:CreateDeviceDefinitionVersion greengrass:CreateFunctionDefinition greengrass:CreateFunctionDefinitionVersion greengrass:CreateGroup greengrass:CreateGroupCertificateAuthority greengrass:CreateGroupVersion greengrass:CreateLoggerDefinition greengrass:CreateLoggerDefinitionVersion greengrass:CreateResourceDefinition greengrass:CreateResourceDefinitionVersion greengrass:CreateSoftwareUpdateJob greengrass:CreateSubscriptionDefinition greengrass:CreateSubscriptionDefinitionVersion greengrass:DeleteComponent greengrass:DeleteConnectorDefinition greengrass:DeleteCoreDefinition greengrass:DeleteCoreDevice greengrass:DeleteDeployment greengrass:DeleteDeviceDefinition greengrass:DeleteFunctionDefinition greengrass:DeleteGroup greengrass:DeleteLoggerDefinition greengrass:DeleteResourceDefinition greengrass:DeleteSubscriptionDefinition greengrass:DescribeComponent greengrass:DisassociateRoleFromGroup greengrass:DisassociateServiceRoleFromAccount greengrass:GetAssociatedRole greengrass:GetBulkDeploymentStatus greengrass:GetComponent greengrass:GetComponentVersionArtifact greengrass:GetConnectivityInfo greengrass:GetConnectorDefinition greengrass:GetConnectorDefinitionVersion greengrass:GetCoreDefinition greengrass:GetCoreDefinitionVersion greengrass:GetCoreDevice greengrass:GetDeployment greengrass:GetDeploymentStatus greengrass:GetDeviceDefinition greengrass:GetDeviceDefinitionVersion greengrass:GetFunctionDefinition greengrass:GetFunctionDefinitionVersion greengrass:GetGroup greengrass:GetGroupCertificateAuthority greengrass:GetGroupCertificateConfiguration greengrass:GetGroupVersion greengrass:GetLoggerDefinition greengrass:GetLoggerDefinitionVersion greengrass:GetResourceDefinition greengrass:GetResourceDefinitionVersion greengrass:GetServiceRoleForAccount greengrass:GetSubscriptionDefinition greengrass:GetSubscriptionDefinitionVersion greengrass:GetThingRuntimeConfiguration greengrass:ListBulkDeploymentDetailedReports greengrass:ListBulkDeployments greengrass:ListClientDevicesAssociatedWithCoreDevice greengrass:ListComponentVersions greengrass:ListComponents greengrass:ListConnectorDefinitionVersions greengrass:ListConnectorDefinitions greengrass:ListCoreDefinitionVersions greengrass:ListCoreDefinitions greengrass:ListCoreDevices greengrass:ListDeployments greengrass:ListDeviceDefinitionVersions greengrass:ListDeviceDefinitions greengrass:ListEffectiveDeployments greengrass:ListFunctionDefinitionVersions greengrass:ListFunctionDefinitions greengrass:ListGroupCertificateAuthorities greengrass:ListGroupVersions greengrass:ListGroups greengrass:ListInstalledComponents greengrass:ListLoggerDefinitionVersions greengrass:ListLoggerDefinitions greengrass:ListResourceDefinitionVersions greengrass:ListResourceDefinitions greengrass:ListSubscriptionDefinitionVersions greengrass:ListSubscriptionDefinitions greengrass:ResetDeployments greengrass:StartBulkDeployment greengrass:StopBulkDeployment greengrass:UpdateConnectivityInfo greengrass:UpdateConnectorDefinition greengrass:UpdateCoreDefinition greengrass:UpdateDeviceDefinition greengrass:UpdateFunctionDefinition greengrass:UpdateGroup greengrass:UpdateGroupCertificateConfiguration greengrass:UpdateLoggerDefinition greengrass:UpdateResourceDefinition greengrass:UpdateSubscriptionDefinition greengrass:UpdateThingRuntimeConfiguration  | 
| groundstation |  groundstation:CancelContact groundstation:CreateConfig groundstation:CreateDataflowEndpointGroup groundstation:CreateDataflowEndpointGroupV2 groundstation:CreateEphemeris groundstation:CreateMissionProfile groundstation:DeleteConfig groundstation:DeleteDataflowEndpointGroup groundstation:DeleteEphemeris groundstation:DeleteMissionProfile groundstation:DescribeContact groundstation:DescribeEphemeris groundstation:GetConfig groundstation:GetDataflowEndpointGroup groundstation:GetMinuteUsage groundstation:GetMissionProfile groundstation:GetSatellite groundstation:ListConfigs groundstation:ListContacts groundstation:ListDataflowEndpointGroups groundstation:ListEphemerides groundstation:ListGroundStations groundstation:ListMissionProfiles groundstation:ListSatellites groundstation:RegisterAgent groundstation:ReserveContact groundstation:UpdateAgentStatus groundstation:UpdateConfig groundstation:UpdateEphemeris groundstation:UpdateMissionProfile  | 
| guardduty |  guardduty:AcceptAdministratorInvitation guardduty:AcceptInvitation guardduty:ArchiveFindings guardduty:CreateDetector guardduty:CreateFilter guardduty:CreateIPSet guardduty:CreateMalwareProtectionPlan guardduty:CreateMembers guardduty:CreatePublishingDestination guardduty:CreateSampleFindings guardduty:CreateThreatEntitySet guardduty:CreateThreatIntelSet guardduty:CreateTrustedEntitySet guardduty:DeclineInvitations guardduty:DeleteDetector guardduty:DeleteFilter guardduty:DeleteIPSet guardduty:DeleteInvitations guardduty:DeleteMalwareProtectionPlan guardduty:DeleteMembers guardduty:DeletePublishingDestination guardduty:DeleteThreatEntitySet guardduty:DeleteThreatIntelSet guardduty:DeleteTrustedEntitySet guardduty:DescribeMalwareScans guardduty:DescribeOrganizationConfiguration guardduty:DescribePublishingDestination guardduty:DisableOrganizationAdminAccount guardduty:DisassociateFromAdministratorAccount guardduty:DisassociateFromMasterAccount guardduty:DisassociateMembers guardduty:EnableOrganizationAdminAccount guardduty:GetAdministratorAccount guardduty:GetCoverageStatistics guardduty:GetDetector guardduty:GetFilter guardduty:GetFindings guardduty:GetFindingsStatistics guardduty:GetIPSet guardduty:GetInvitationsCount guardduty:GetMalwareProtectionPlan guardduty:GetMalwareScan guardduty:GetMalwareScanSettings guardduty:GetMasterAccount guardduty:GetMemberDetectors guardduty:GetMembers guardduty:GetOrganizationStatistics guardduty:GetRemainingFreeTrialDays guardduty:GetThreatEntitySet guardduty:GetThreatIntelSet guardduty:GetTrustedEntitySet guardduty:GetUsageStatistics guardduty:InviteMembers guardduty:ListCoverage guardduty:ListDetectors guardduty:ListFilters guardduty:ListFindings guardduty:ListIPSets guardduty:ListInvitations guardduty:ListMalwareProtectionPlans guardduty:ListMalwareScans guardduty:ListMembers guardduty:ListOrganizationAdminAccounts guardduty:ListPublishingDestinations guardduty:ListThreatEntitySets guardduty:ListThreatIntelSets guardduty:ListTrustedEntitySets guardduty:StartMalwareScan guardduty:StartMonitoringMembers guardduty:StopMonitoringMembers guardduty:UnarchiveFindings guardduty:UpdateDetector guardduty:UpdateFilter guardduty:UpdateFindingsFeedback guardduty:UpdateIPSet guardduty:UpdateMalwareProtectionPlan guardduty:UpdateMalwareScanSettings guardduty:UpdateMemberDetectors guardduty:UpdateOrganizationConfiguration guardduty:UpdatePublishingDestination guardduty:UpdateThreatEntitySet guardduty:UpdateThreatIntelSet guardduty:UpdateTrustedEntitySet  | 
| healthlake |  healthlake:CancelFHIRExportJobWithDelete healthlake:CreateFHIRDatastore healthlake:CreateResource healthlake:DeleteFHIRDatastore healthlake:DeleteResource healthlake:DescribeFHIRDatastore healthlake:DescribeFHIRExportJob healthlake:DescribeFHIRExportJobWithGet healthlake:DescribeFHIRImportJob healthlake:GetCapabilities healthlake:ListFHIRDatastores healthlake:ListFHIRExportJobs healthlake:ListFHIRImportJobs healthlake:ReadResource healthlake:SearchEverything healthlake:SearchWithGet healthlake:SearchWithPost healthlake:StartFHIRExportJob healthlake:StartFHIRExportJobWithPost healthlake:StartFHIRImportJob healthlake:UpdateResource  | 
| honeycode |  honeycode:BatchCreateTableRows honeycode:BatchDeleteTableRows honeycode:BatchUpdateTableRows honeycode:BatchUpsertTableRows honeycode:DescribeTableDataImportJob honeycode:GetScreenData honeycode:InvokeScreenAutomation honeycode:ListTableColumns honeycode:ListTableRows honeycode:ListTables honeycode:QueryTableRows honeycode:StartTableDataImportJob  | 
| iam |  iam:AddClientIDToOpenIDConnectProvider iam:AddRoleToInstanceProfile iam:AddUserToGroup iam:AttachGroupPolicy iam:AttachRolePolicy iam:AttachUserPolicy iam:ChangePassword iam:CreateAccessKey iam:CreateAccountAlias iam:CreateGroup iam:CreateInstanceProfile iam:CreateLoginProfile iam:CreateOpenIDConnectProvider iam:CreatePolicy iam:CreatePolicyVersion iam:CreateRole iam:CreateSAMLProvider iam:CreateServiceLinkedRole iam:CreateServiceSpecificCredential iam:CreateUser iam:CreateVirtualMFADevice iam:DeactivateMFADevice iam:DeleteAccessKey iam:DeleteAccountAlias iam:DeleteAccountPasswordPolicy iam:DeleteCloudFrontPublicKey iam:DeleteGroup iam:DeleteGroupPolicy iam:DeleteInstanceProfile iam:DeleteLoginProfile iam:DeleteOpenIDConnectProvider iam:DeletePolicy iam:DeletePolicyVersion iam:DeleteRole iam:DeleteRolePermissionsBoundary iam:DeleteRolePolicy iam:DeleteSAMLProvider iam:DeleteSSHPublicKey iam:DeleteServerCertificate iam:DeleteServiceLinkedRole iam:DeleteServiceSpecificCredential iam:DeleteSigningCertificate iam:DeleteUser iam:DeleteUserPermissionsBoundary iam:DeleteUserPolicy iam:DeleteVirtualMFADevice iam:DetachGroupPolicy iam:DetachRolePolicy iam:DetachUserPolicy iam:DisableOrganizationsRootCredentialsManagement iam:DisableOrganizationsRootSessions iam:DisableOutboundWebIdentityFederation iam:EnableMFADevice iam:EnableOrganizationsRootCredentialsManagement iam:EnableOrganizationsRootSessions iam:EnableOutboundWebIdentityFederation iam:GenerateCredentialReport iam:GenerateOrganizationsAccessReport iam:GenerateServiceLastAccessedDetails iam:GetAccessKeyLastUsed iam:GetAccountAuthorizationDetails iam:GetAccountEmailAddress iam:GetAccountName iam:GetAccountPasswordPolicy iam:GetAccountSummary iam:GetCloudFrontPublicKey iam:GetContextKeysForCustomPolicy iam:GetContextKeysForPrincipalPolicy iam:GetCredentialReport iam:GetGroup iam:GetGroupPolicy iam:GetInstanceProfile iam:GetLoginProfile iam:GetMFADevice iam:GetOpenIDConnectProvider iam:GetOrganizationsAccessReport iam:GetOutboundWebIdentityFederationInfo iam:GetPolicy iam:GetPolicyVersion iam:GetRole iam:GetRolePolicy iam:GetSAMLProvider iam:GetSSHPublicKey iam:GetServerCertificate iam:GetServiceLastAccessedDetails iam:GetServiceLastAccessedDetailsWithEntities iam:GetServiceLinkedRoleDeletionStatus iam:GetUser iam:GetUserPolicy iam:ListAccessKeys iam:ListAccountAliases iam:ListAttachedGroupPolicies iam:ListAttachedRolePolicies iam:ListAttachedUserPolicies iam:ListCloudFrontPublicKeys iam:ListDelegationRequests iam:ListEntitiesForPolicy iam:ListGroupPolicies iam:ListGroups iam:ListGroupsForUser iam:ListInstanceProfiles iam:ListInstanceProfilesForRole iam:ListMFADevices iam:ListOpenIDConnectProviders iam:ListOrganizationsFeatures iam:ListPolicies iam:ListPoliciesGrantingServiceAccess iam:ListPolicyVersions iam:ListRolePolicies iam:ListRoles iam:ListSAMLProviders iam:ListSSHPublicKeys iam:ListSTSRegionalEndpointsStatus iam:ListServerCertificates iam:ListServiceSpecificCredentials iam:ListSigningCertificates iam:ListUserPolicies iam:ListUsers iam:ListVirtualMFADevices iam:PutGroupPolicy iam:PutRolePermissionsBoundary iam:PutRolePolicy iam:PutUserPermissionsBoundary iam:PutUserPolicy iam:RemoveClientIDFromOpenIDConnectProvider iam:RemoveRoleFromInstanceProfile iam:RemoveUserFromGroup iam:ResetServiceSpecificCredential iam:ResyncMFADevice iam:SetDefaultPolicyVersion iam:SetSTSRegionalEndpointStatus iam:SetSecurityTokenServicePreferences iam:SimulateCustomPolicy iam:SimulatePrincipalPolicy iam:UpdateAccessKey iam:UpdateAccountEmailAddress iam:UpdateAccountName iam:UpdateAccountPasswordPolicy iam:UpdateAssumeRolePolicy iam:UpdateCloudFrontPublicKey iam:UpdateGroup iam:UpdateLoginProfile iam:UpdateOpenIDConnectProviderThumbprint iam:UpdateRole iam:UpdateRoleDescription iam:UpdateSAMLProvider iam:UpdateSSHPublicKey iam:UpdateServerCertificate iam:UpdateServiceSpecificCredential iam:UpdateSigningCertificate iam:UpdateUser iam:UploadCloudFrontPublicKey iam:UploadSSHPublicKey iam:UploadServerCertificate iam:UploadSigningCertificate  | 
| identitystore |  identitystore:CreateGroup identitystore:CreateGroupMembership identitystore:CreateUser identitystore:DeleteGroup identitystore:DeleteGroupMembership identitystore:DeleteUser identitystore:DescribeGroup identitystore:DescribeGroupMembership identitystore:DescribeUser identitystore:GetGroupId identitystore:GetGroupMembershipId identitystore:GetUserId identitystore:IsMemberInGroups identitystore:ListGroupMemberships identitystore:ListGroupMembershipsForMember identitystore:ListGroups identitystore:ListUsers identitystore:UpdateGroup identitystore:UpdateUser  | 
| imagebuilder |  imagebuilder:CancelImageCreation imagebuilder:CancelLifecycleExecution imagebuilder:CreateComponent imagebuilder:CreateContainerRecipe imagebuilder:CreateDistributionConfiguration imagebuilder:CreateImage imagebuilder:CreateImagePipeline imagebuilder:CreateImageRecipe imagebuilder:CreateInfrastructureConfiguration imagebuilder:CreateLifecyclePolicy imagebuilder:CreateWorkflow imagebuilder:DeleteComponent imagebuilder:DeleteContainerRecipe imagebuilder:DeleteDistributionConfiguration imagebuilder:DeleteImage imagebuilder:DeleteImagePipeline imagebuilder:DeleteImageRecipe imagebuilder:DeleteInfrastructureConfiguration imagebuilder:DeleteLifecyclePolicy imagebuilder:DeleteWorkflow imagebuilder:DistributeImage imagebuilder:GetComponentPolicy imagebuilder:GetContainerRecipePolicy imagebuilder:GetImagePolicy imagebuilder:GetImageRecipePolicy imagebuilder:GetLifecycleExecution imagebuilder:GetLifecyclePolicy imagebuilder:GetMarketplaceResource imagebuilder:GetWorkflowExecution imagebuilder:GetWorkflowStepExecution imagebuilder:ImportComponent imagebuilder:ImportDiskImage imagebuilder:ImportVmImage imagebuilder:ListComponentBuildVersions imagebuilder:ListComponents imagebuilder:ListContainerRecipes imagebuilder:ListDistributionConfigurations imagebuilder:ListImageBuildVersions imagebuilder:ListImagePackages imagebuilder:ListImagePipelineImages imagebuilder:ListImagePipelines imagebuilder:ListImageRecipes imagebuilder:ListImageScanFindingAggregations imagebuilder:ListImageScanFindings imagebuilder:ListImages imagebuilder:ListInfrastructureConfigurations imagebuilder:ListLifecycleExecutionResources imagebuilder:ListLifecycleExecutions imagebuilder:ListLifecyclePolicies imagebuilder:ListWaitingWorkflowSteps imagebuilder:ListWorkflowExecutions imagebuilder:ListWorkflowStepExecutions imagebuilder:ListWorkflows imagebuilder:PutComponentPolicy imagebuilder:PutContainerRecipePolicy imagebuilder:PutImagePolicy imagebuilder:PutImageRecipePolicy imagebuilder:RetryImage imagebuilder:SendWorkflowStepAction imagebuilder:StartImagePipelineExecution imagebuilder:StartResourceStateUpdate imagebuilder:UpdateDistributionConfiguration imagebuilder:UpdateImagePipeline imagebuilder:UpdateInfrastructureConfiguration  | 
| inspector |  inspector:AddAttributesToFindings inspector:CreateAssessmentTarget inspector:CreateAssessmentTemplate inspector:CreateExclusionsPreview inspector:CreateResourceGroup inspector:DeleteAssessmentRun inspector:DeleteAssessmentTarget inspector:DeleteAssessmentTemplate inspector:DescribeAssessmentRuns inspector:DescribeAssessmentTargets inspector:DescribeAssessmentTemplates inspector:DescribeCrossAccountAccessRole inspector:DescribeExclusions inspector:DescribeFindings inspector:DescribeResourceGroups inspector:DescribeRulesPackages inspector:GetAssessmentReport inspector:GetExclusionsPreview inspector:GetTelemetryMetadata inspector:ListAssessmentRunAgents inspector:ListAssessmentRuns inspector:ListAssessmentTargets inspector:ListAssessmentTemplates inspector:ListEventSubscriptions inspector:ListExclusions inspector:ListFindings inspector:ListRulesPackages inspector:PreviewAgents inspector:RegisterCrossAccountAccessRole inspector:RemoveAttributesFromFindings inspector:StartAssessmentRun inspector:StopAssessmentRun inspector:SubscribeToEvent inspector:UnsubscribeFromEvent inspector:UpdateAssessmentTarget  | 
| inspector2 |  inspector2:AssociateMember inspector2:BatchGetAccountStatus inspector2:BatchGetCodeSnippet inspector2:BatchGetFindingDetails inspector2:BatchGetFreeTrialInfo inspector2:BatchGetMemberEc2DeepInspectionStatus inspector2:BatchUpdateMemberEc2DeepInspectionStatus inspector2:CancelFindingsReport inspector2:CancelSbomExport inspector2:CreateCisScanConfiguration inspector2:CreateCodeSecurityIntegration inspector2:CreateFilter inspector2:CreateFindingsReport inspector2:CreateSbomExport inspector2:DeleteCisScanConfiguration inspector2:DeleteCodeSecurityIntegration inspector2:DeleteFilter inspector2:DescribeOrganizationConfiguration inspector2:Disable inspector2:DisableDelegatedAdminAccount inspector2:DisassociateMember inspector2:Enable inspector2:EnableDelegatedAdminAccount inspector2:GetCisScanReport inspector2:GetCisScanResultDetails inspector2:GetClustersForImage inspector2:GetCodeSecurityIntegration inspector2:GetCodeSecurityScan inspector2:GetConfiguration inspector2:GetDelegatedAdminAccount inspector2:GetEc2DeepInspectionConfiguration inspector2:GetEncryptionKey inspector2:GetFindingsReportStatus inspector2:GetMember inspector2:GetSbomExport inspector2:ListAccountPermissions inspector2:ListCisScanConfigurations inspector2:ListCisScanResultsAggregatedByChecks inspector2:ListCisScanResultsAggregatedByTargetResource inspector2:ListCisScans inspector2:ListCodeSecurityIntegrations inspector2:ListCodeSecurityScanConfigurations inspector2:ListCoverage inspector2:ListCoverageStatistics inspector2:ListDelegatedAdminAccounts inspector2:ListFilters inspector2:ListFindingAggregations inspector2:ListFindings inspector2:ListMembers inspector2:ListUsageTotals inspector2:ResetEncryptionKey inspector2:SearchVulnerabilities inspector2:SendCisSessionHealth inspector2:SendCisSessionTelemetry inspector2:StartCisSession inspector2:StartCodeSecurityScan inspector2:StopCisSession inspector2:UpdateCisScanConfiguration inspector2:UpdateCodeSecurityIntegration inspector2:UpdateConfiguration inspector2:UpdateEc2DeepInspectionConfiguration inspector2:UpdateEncryptionKey inspector2:UpdateFilter inspector2:UpdateOrgEc2DeepInspectionConfiguration inspector2:UpdateOrganizationConfiguration  | 
| iot |  iot:AcceptCertificateTransfer iot:AddThingToBillingGroup iot:AddThingToThingGroup iot:AssociateSbomWithPackageVersion iot:AssociateTargetsWithJob iot:AttachPolicy iot:AttachPrincipalPolicy iot:AttachSecurityProfile iot:AttachThingPrincipal iot:CancelAuditMitigationActionsTask iot:CancelAuditTask iot:CancelCertificateTransfer iot:CancelDetectMitigationActionsTask iot:CancelJob iot:CancelJobExecution iot:ClearDefaultAuthorizer iot:ConfirmTopicRuleDestination iot:CreateAuditSuppression iot:CreateAuthorizer iot:CreateBillingGroup iot:CreateCertificateFromCsr iot:CreateCertificateProvider iot:CreateCommand iot:CreateCustomMetric iot:CreateDimension iot:CreateDomainConfiguration iot:CreateDynamicThingGroup iot:CreateFleetMetric iot:CreateJob iot:CreateJobTemplate iot:CreateKeysAndCertificate iot:CreateMitigationAction iot:CreateOTAUpdate iot:CreatePackage iot:CreatePackageVersion iot:CreatePolicy iot:CreatePolicyVersion iot:CreateProvisioningClaim iot:CreateProvisioningTemplate iot:CreateProvisioningTemplateVersion iot:CreateRoleAlias iot:CreateScheduledAudit iot:CreateSecurityProfile iot:CreateStream iot:CreateThing iot:CreateThingGroup iot:CreateThingType iot:CreateTopicRule iot:CreateTopicRuleDestination iot:DeleteAccountAuditConfiguration iot:DeleteAuditSuppression iot:DeleteAuthorizer iot:DeleteBillingGroup iot:DeleteCACertificate iot:DeleteCertificate iot:DeleteCertificateProvider iot:DeleteCommand iot:DeleteCustomMetric iot:DeleteDimension iot:DeleteDomainConfiguration iot:DeleteDynamicThingGroup iot:DeleteFleetMetric iot:DeleteJob iot:DeleteJobExecution iot:DeleteJobTemplate iot:DeleteMitigationAction iot:DeleteOTAUpdate iot:DeletePackage iot:DeletePackageVersion iot:DeletePolicy iot:DeletePolicyVersion iot:DeleteProvisioningTemplate iot:DeleteProvisioningTemplateVersion iot:DeleteRegistrationCode iot:DeleteRoleAlias iot:DeleteScheduledAudit iot:DeleteSecurityProfile iot:DeleteStream iot:DeleteThing iot:DeleteThingGroup iot:DeleteThingType iot:DeleteTopicRule iot:DeleteTopicRuleDestination iot:DeleteV2LoggingLevel iot:DeprecateThingType iot:DescribeAccountAuditConfiguration iot:DescribeAuditFinding iot:DescribeAuditMitigationActionsTask iot:DescribeAuditSuppression iot:DescribeAuditTask iot:DescribeAuthorizer iot:DescribeBillingGroup iot:DescribeCACertificate iot:DescribeCertificate iot:DescribeCertificateProvider iot:DescribeCustomMetric iot:DescribeDefaultAuthorizer iot:DescribeDetectMitigationActionsTask iot:DescribeDimension iot:DescribeDomainConfiguration iot:DescribeEncryptionConfiguration iot:DescribeEndpoint iot:DescribeEventConfigurations iot:DescribeFleetMetric iot:DescribeIndex iot:DescribeJob iot:DescribeJobExecution iot:DescribeJobTemplate iot:DescribeManagedJobTemplate iot:DescribeMitigationAction iot:DescribeProvisioningTemplate iot:DescribeProvisioningTemplateVersion iot:DescribeRoleAlias iot:DescribeScheduledAudit iot:DescribeSecurityProfile iot:DescribeStream iot:DescribeThing iot:DescribeThingGroup iot:DescribeThingRegistrationTask iot:DescribeThingType iot:DetachPolicy iot:DetachPrincipalPolicy iot:DetachSecurityProfile iot:DetachThingPrincipal iot:DisableTopicRule iot:DisassociateSbomFromPackageVersion iot:EnableTopicRule iot:GetBehaviorModelTrainingSummaries iot:GetBucketsAggregation iot:GetCardinality iot:GetCommand iot:GetEffectivePolicies iot:GetJobDocument iot:GetLoggingOptions iot:GetOTAUpdate iot:GetPackage iot:GetPackageConfiguration iot:GetPackageVersion iot:GetPercentiles iot:GetPolicy iot:GetPolicyVersion iot:GetRegistrationCode iot:GetStatistics iot:GetThingConnectivityData iot:GetTopicRule iot:GetTopicRuleDestination iot:GetV2LoggingOptions iot:ListActiveViolations iot:ListAttachedPolicies iot:ListAuditFindings iot:ListAuditMitigationActionsExecutions iot:ListAuditMitigationActionsTasks iot:ListAuditSuppressions iot:ListAuditTasks iot:ListAuthorizers iot:ListBillingGroups iot:ListCACertificates iot:ListCertificateProviders iot:ListCertificates iot:ListCertificatesByCA iot:ListCommands iot:ListCustomMetrics iot:ListDetectMitigationActionsExecutions iot:ListDetectMitigationActionsTasks iot:ListDimensions iot:ListDomainConfigurations iot:ListFleetMetrics iot:ListIndices iot:ListJobExecutionsForJob iot:ListJobExecutionsForThing iot:ListJobTemplates iot:ListJobs iot:ListManagedJobTemplates iot:ListMetricValues iot:ListMitigationActions iot:ListOTAUpdates iot:ListOutgoingCertificates iot:ListPackageVersions iot:ListPackages iot:ListPolicies iot:ListPolicyPrincipals iot:ListPolicyVersions iot:ListPrincipalPolicies iot:ListPrincipalThings iot:ListPrincipalThingsV2 iot:ListProvisioningTemplateVersions iot:ListProvisioningTemplates iot:ListRelatedResourcesForAuditFinding iot:ListRoleAliases iot:ListSbomValidationResults iot:ListScheduledAudits iot:ListSecurityProfiles iot:ListSecurityProfilesForTarget iot:ListStreams iot:ListTargetsForPolicy iot:ListTargetsForSecurityProfile iot:ListThingGroups iot:ListThingGroupsForThing iot:ListThingPrincipals iot:ListThingPrincipalsV2 iot:ListThingRegistrationTaskReports iot:ListThingRegistrationTasks iot:ListThingTypes iot:ListThings iot:ListThingsInBillingGroup iot:ListThingsInThingGroup iot:ListTopicRuleDestinations iot:ListTopicRules iot:ListV2LoggingLevels iot:ListViolationEvents iot:PutVerificationStateOnViolation iot:RegisterCACertificate iot:RegisterCertificate iot:RegisterCertificateWithoutCA iot:RegisterThing iot:RejectCertificateTransfer iot:RemoveThingFromBillingGroup iot:RemoveThingFromThingGroup iot:ReplaceTopicRule iot:SearchIndex iot:SetDefaultAuthorizer iot:SetDefaultPolicyVersion iot:SetLoggingOptions iot:SetV2LoggingLevel iot:SetV2LoggingOptions iot:StartAuditMitigationActionsTask iot:StartDetectMitigationActionsTask iot:StartOnDemandAuditTask iot:StartThingRegistrationTask iot:StopThingRegistrationTask iot:TestAuthorization iot:TestInvokeAuthorizer iot:TransferCertificate iot:UpdateAccountAuditConfiguration iot:UpdateAuditSuppression iot:UpdateAuthorizer iot:UpdateBillingGroup iot:UpdateCACertificate iot:UpdateCertificate iot:UpdateCertificateProvider iot:UpdateCommand iot:UpdateCustomMetric iot:UpdateDimension iot:UpdateDomainConfiguration iot:UpdateDynamicThingGroup iot:UpdateEncryptionConfiguration iot:UpdateEventConfigurations iot:UpdateFleetMetric iot:UpdateIndexingConfiguration iot:UpdateJob iot:UpdateMitigationAction iot:UpdatePackage iot:UpdatePackageConfiguration iot:UpdatePackageVersion iot:UpdateProvisioningTemplate iot:UpdateRoleAlias iot:UpdateScheduledAudit iot:UpdateSecurityProfile iot:UpdateStream iot:UpdateThing iot:UpdateThingGroup iot:UpdateThingGroupsForThing iot:UpdateThingType iot:UpdateTopicRuleDestination iot:ValidateSecurityProfileBehaviors  | 
| iotanalytics |  iotanalytics:CancelPipelineReprocessing iotanalytics:CreateChannel iotanalytics:CreateDataset iotanalytics:CreateDatasetContent iotanalytics:CreateDatastore iotanalytics:CreatePipeline iotanalytics:DeleteChannel iotanalytics:DeleteDataset iotanalytics:DeleteDatasetContent iotanalytics:DeleteDatastore iotanalytics:DeletePipeline iotanalytics:DescribeChannel iotanalytics:DescribeDataset iotanalytics:DescribeDatastore iotanalytics:DescribeLoggingOptions iotanalytics:DescribePipeline iotanalytics:GetDatasetContent iotanalytics:ListChannels iotanalytics:ListDatasetContents iotanalytics:ListDatasets iotanalytics:ListDatastores iotanalytics:ListPipelines iotanalytics:PutLoggingOptions iotanalytics:RunPipelineActivity iotanalytics:SampleChannelData iotanalytics:StartPipelineReprocessing iotanalytics:UpdateChannel iotanalytics:UpdateDataset iotanalytics:UpdateDatastore iotanalytics:UpdatePipeline  | 
| iotdeviceadvisor |  iotdeviceadvisor:CreateSuiteDefinition iotdeviceadvisor:DeleteSuiteDefinition iotdeviceadvisor:GetEndpoint iotdeviceadvisor:GetSuiteDefinition iotdeviceadvisor:GetSuiteRun iotdeviceadvisor:GetSuiteRunReport iotdeviceadvisor:ListSuiteDefinitions iotdeviceadvisor:ListSuiteRuns iotdeviceadvisor:StartSuiteRun iotdeviceadvisor:StopSuiteRun iotdeviceadvisor:UpdateSuiteDefinition  | 
| iotevents |  iotevents:BatchAcknowledgeAlarm iotevents:BatchDeleteDetector iotevents:BatchDisableAlarm iotevents:BatchEnableAlarm iotevents:BatchResetAlarm iotevents:BatchSnoozeAlarm iotevents:BatchUpdateDetector iotevents:CreateAlarmModel iotevents:CreateDetectorModel iotevents:CreateInput iotevents:DeleteAlarmModel iotevents:DeleteDetectorModel iotevents:DeleteInput iotevents:DescribeAlarm iotevents:DescribeAlarmModel iotevents:DescribeDetector iotevents:DescribeDetectorModel iotevents:DescribeDetectorModelAnalysis iotevents:DescribeInput iotevents:DescribeLoggingOptions iotevents:GetDetectorModelAnalysisResults iotevents:ListAlarmModelVersions iotevents:ListAlarmModels iotevents:ListAlarms iotevents:ListDetectorModelVersions iotevents:ListDetectorModels iotevents:ListDetectors iotevents:ListInputRoutings iotevents:ListInputs iotevents:PutLoggingOptions iotevents:StartDetectorModelAnalysis iotevents:UpdateAlarmModel iotevents:UpdateDetectorModel iotevents:UpdateInput  | 
| iotfleethub |  iotfleethub:CreateApplication iotfleethub:DeleteApplication iotfleethub:DescribeApplication iotfleethub:ListApplications iotfleethub:UpdateApplication  | 
| iotsitewise |  iotsitewise:AssociateAssets iotsitewise:AssociateTimeSeriesToAssetProperty iotsitewise:BatchAssociateProjectAssets iotsitewise:BatchDisassociateProjectAssets iotsitewise:CreateAccessPolicy iotsitewise:CreateAsset iotsitewise:CreateAssetModel iotsitewise:CreateAssetModelCompositeModel iotsitewise:CreateBulkImportJob iotsitewise:CreateComputationModel iotsitewise:CreateDashboard iotsitewise:CreateDataset iotsitewise:CreateGateway iotsitewise:CreatePortal iotsitewise:CreateProject iotsitewise:DeleteAccessPolicy iotsitewise:DeleteAsset iotsitewise:DeleteAssetModel iotsitewise:DeleteAssetModelCompositeModel iotsitewise:DeleteComputationModel iotsitewise:DeleteDashboard iotsitewise:DeleteDataset iotsitewise:DeleteGateway iotsitewise:DeletePortal iotsitewise:DeleteProject iotsitewise:DeleteTimeSeries iotsitewise:DescribeAccessPolicy iotsitewise:DescribeAsset iotsitewise:DescribeAssetCompositeModel iotsitewise:DescribeAssetModel iotsitewise:DescribeAssetModelCompositeModel iotsitewise:DescribeAssetModelInterfaceRelationship iotsitewise:DescribeAssetProperty iotsitewise:DescribeBulkImportJob iotsitewise:DescribeComputationModel iotsitewise:DescribeComputationModelExecutionSummary iotsitewise:DescribeDashboard iotsitewise:DescribeDataset iotsitewise:DescribeDefaultEncryptionConfiguration iotsitewise:DescribeExecution iotsitewise:DescribeGateway iotsitewise:DescribeGatewayCapabilityConfiguration iotsitewise:DescribeLoggingOptions iotsitewise:DescribePortal iotsitewise:DescribeProject iotsitewise:DescribeStorageConfiguration iotsitewise:DescribeTimeSeries iotsitewise:DisassociateAssets iotsitewise:DisassociateTimeSeriesFromAssetProperty iotsitewise:ExecuteAction iotsitewise:ExecuteQuery iotsitewise:ListAccessPolicies iotsitewise:ListActions iotsitewise:ListAssetModelCompositeModels iotsitewise:ListAssetModelProperties iotsitewise:ListAssetModels iotsitewise:ListAssetProperties iotsitewise:ListAssetRelationships iotsitewise:ListAssets iotsitewise:ListAssociatedAssets iotsitewise:ListBulkImportJobs iotsitewise:ListCompositionRelationships iotsitewise:ListComputationModelDataBindingUsages iotsitewise:ListComputationModelResolveToResources iotsitewise:ListComputationModels iotsitewise:ListDashboards iotsitewise:ListDatasets iotsitewise:ListExecutions iotsitewise:ListGateways iotsitewise:ListInterfaceRelationships iotsitewise:ListPortals iotsitewise:ListProjectAssets iotsitewise:ListProjects iotsitewise:ListTimeSeries iotsitewise:PutDefaultEncryptionConfiguration iotsitewise:PutLoggingOptions iotsitewise:PutStorageConfiguration iotsitewise:UpdateAccessPolicy iotsitewise:UpdateAsset iotsitewise:UpdateAssetModel iotsitewise:UpdateAssetModelCompositeModel iotsitewise:UpdateAssetProperty iotsitewise:UpdateComputationModel iotsitewise:UpdateDashboard iotsitewise:UpdateDataset iotsitewise:UpdateGateway iotsitewise:UpdateGatewayCapabilityConfiguration iotsitewise:UpdatePortal iotsitewise:UpdateProject  | 
| iottwinmaker |  iottwinmaker:CancelMetadataTransferJob iottwinmaker:CreateComponentType iottwinmaker:CreateEntity iottwinmaker:CreateMetadataTransferJob iottwinmaker:CreateScene iottwinmaker:CreateSyncJob iottwinmaker:CreateWorkspace iottwinmaker:DeleteComponentType iottwinmaker:DeleteEntity iottwinmaker:DeleteScene iottwinmaker:DeleteSyncJob iottwinmaker:DeleteWorkspace iottwinmaker:ExecuteQuery iottwinmaker:GetMetadataTransferJob iottwinmaker:GetPricingPlan iottwinmaker:GetScene iottwinmaker:GetSyncJob iottwinmaker:ListComponentTypes iottwinmaker:ListComponents iottwinmaker:ListEntities iottwinmaker:ListMetadataTransferJobs iottwinmaker:ListProperties iottwinmaker:ListScenes iottwinmaker:ListSyncJobs iottwinmaker:ListSyncResources iottwinmaker:ListWorkspaces iottwinmaker:UpdateComponentType iottwinmaker:UpdateEntity iottwinmaker:UpdatePricingPlan iottwinmaker:UpdateScene iottwinmaker:UpdateWorkspace  | 
| iotwireless |  iotwireless:AssociateAwsAccountWithPartnerAccount iotwireless:AssociateMulticastGroupWithFuotaTask iotwireless:AssociateWirelessDeviceWithFuotaTask iotwireless:AssociateWirelessDeviceWithMulticastGroup iotwireless:AssociateWirelessDeviceWithThing iotwireless:AssociateWirelessGatewayWithCertificate iotwireless:AssociateWirelessGatewayWithThing iotwireless:CancelMulticastGroupSession iotwireless:CreateDestination iotwireless:CreateDeviceProfile iotwireless:CreateFuotaTask iotwireless:CreateMulticastGroup iotwireless:CreateNetworkAnalyzerConfiguration iotwireless:CreateServiceProfile iotwireless:CreateWirelessDevice iotwireless:CreateWirelessGateway iotwireless:CreateWirelessGatewayTask iotwireless:CreateWirelessGatewayTaskDefinition iotwireless:DeleteDestination iotwireless:DeleteDeviceProfile iotwireless:DeleteFuotaTask iotwireless:DeleteMulticastGroup iotwireless:DeleteNetworkAnalyzerConfiguration iotwireless:DeleteQueuedMessages iotwireless:DeleteServiceProfile iotwireless:DeleteWirelessDevice iotwireless:DeleteWirelessDeviceImportTask iotwireless:DeleteWirelessGateway iotwireless:DeleteWirelessGatewayTask iotwireless:DeleteWirelessGatewayTaskDefinition iotwireless:DeregisterWirelessDevice iotwireless:DisassociateAwsAccountFromPartnerAccount iotwireless:DisassociateMulticastGroupFromFuotaTask iotwireless:DisassociateWirelessDeviceFromFuotaTask iotwireless:DisassociateWirelessDeviceFromMulticastGroup iotwireless:DisassociateWirelessDeviceFromThing iotwireless:DisassociateWirelessGatewayFromCertificate iotwireless:DisassociateWirelessGatewayFromThing iotwireless:GetDestination iotwireless:GetDeviceProfile iotwireless:GetEventConfigurationByResourceTypes iotwireless:GetFuotaTask iotwireless:GetLogLevelsByResourceTypes iotwireless:GetMetricConfiguration iotwireless:GetMetrics iotwireless:GetMulticastGroup iotwireless:GetMulticastGroupSession iotwireless:GetNetworkAnalyzerConfiguration iotwireless:GetPartnerAccount iotwireless:GetPosition iotwireless:GetPositionConfiguration iotwireless:GetPositionEstimate iotwireless:GetResourceEventConfiguration iotwireless:GetResourceLogLevel iotwireless:GetResourcePosition iotwireless:GetServiceEndpoint iotwireless:GetServiceProfile iotwireless:GetWirelessDevice iotwireless:GetWirelessDeviceImportTask iotwireless:GetWirelessDeviceStatistics iotwireless:GetWirelessGateway iotwireless:GetWirelessGatewayCertificate iotwireless:GetWirelessGatewayFirmwareInformation iotwireless:GetWirelessGatewayStatistics iotwireless:GetWirelessGatewayTask iotwireless:GetWirelessGatewayTaskDefinition iotwireless:ListDestinations iotwireless:ListDeviceProfiles iotwireless:ListDevicesForWirelessDeviceImportTask iotwireless:ListEventConfigurations iotwireless:ListFuotaTasks iotwireless:ListMulticastGroups iotwireless:ListMulticastGroupsByFuotaTask iotwireless:ListNetworkAnalyzerConfigurations iotwireless:ListPartnerAccounts iotwireless:ListPositionConfigurations iotwireless:ListQueuedMessages iotwireless:ListServiceProfiles iotwireless:ListWirelessDeviceImportTasks iotwireless:ListWirelessDevices iotwireless:ListWirelessGatewayTaskDefinitions iotwireless:ListWirelessGateways iotwireless:PutPositionConfiguration iotwireless:PutResourceLogLevel iotwireless:ResetAllResourceLogLevels iotwireless:ResetResourceLogLevel iotwireless:SendDataToMulticastGroup iotwireless:SendDataToWirelessDevice iotwireless:StartBulkAssociateWirelessDeviceWithMulticastGroup iotwireless:StartBulkDisassociateWirelessDeviceFromMulticastGroup iotwireless:StartFuotaTask iotwireless:StartMulticastGroupSession iotwireless:StartNetworkAnalyzerStream iotwireless:StartSingleWirelessDeviceImportTask iotwireless:StartWirelessDeviceImportTask iotwireless:TestWirelessDevice iotwireless:UpdateDestination iotwireless:UpdateEventConfigurationByResourceTypes iotwireless:UpdateFuotaTask iotwireless:UpdateLogLevelsByResourceTypes iotwireless:UpdateMetricConfiguration iotwireless:UpdateMulticastGroup iotwireless:UpdateNetworkAnalyzerConfiguration iotwireless:UpdatePartnerAccount iotwireless:UpdatePosition iotwireless:UpdateResourceEventConfiguration iotwireless:UpdateResourcePosition iotwireless:UpdateWirelessDevice iotwireless:UpdateWirelessDeviceImportTask iotwireless:UpdateWirelessGateway  | 
| ivs |  ivs:BatchGetChannel ivs:BatchGetStreamKey ivs:BatchStartViewerSessionRevocation ivs:CreateChannel ivs:CreateEncoderConfiguration ivs:CreateIngestConfiguration ivs:CreateParticipantToken ivs:CreatePlaybackRestrictionPolicy ivs:CreateRecordingConfiguration ivs:CreateStorageConfiguration ivs:CreateStreamKey ivs:DeleteChannel ivs:DeleteEncoderConfiguration ivs:DeleteIngestConfiguration ivs:DeletePlaybackKeyPair ivs:DeletePlaybackRestrictionPolicy ivs:DeletePublicKey ivs:DeleteRecordingConfiguration ivs:DeleteStorageConfiguration ivs:DeleteStreamKey ivs:DisconnectParticipant ivs:GetChannel ivs:GetComposition ivs:GetEncoderConfiguration ivs:GetIngestConfiguration ivs:GetParticipant ivs:GetPlaybackKeyPair ivs:GetPlaybackRestrictionPolicy ivs:GetPublicKey ivs:GetRecordingConfiguration ivs:GetStorageConfiguration ivs:GetStream ivs:GetStreamKey ivs:GetStreamSession ivs:ImportPlaybackKeyPair ivs:ImportPublicKey ivs:ListChannels ivs:ListCompositions ivs:ListEncoderConfigurations ivs:ListIngestConfigurations ivs:ListParticipantEvents ivs:ListParticipantReplicas ivs:ListParticipants ivs:ListPlaybackKeyPairs ivs:ListPlaybackRestrictionPolicies ivs:ListPublicKeys ivs:ListRecordingConfigurations ivs:ListStorageConfigurations ivs:ListStreamKeys ivs:ListStreamSessions ivs:ListStreams ivs:PutMetadata ivs:StartComposition ivs:StartViewerSessionRevocation ivs:StopComposition ivs:StopStream ivs:UpdateChannel ivs:UpdateIngestConfiguration ivs:UpdatePlaybackRestrictionPolicy  | 
| ivschat |  ivschat:CreateChatToken ivschat:CreateLoggingConfiguration ivschat:CreateRoom ivschat:DeleteLoggingConfiguration ivschat:DeleteMessage ivschat:DeleteRoom ivschat:DisconnectUser ivschat:GetLoggingConfiguration ivschat:GetRoom ivschat:ListLoggingConfigurations ivschat:ListRooms ivschat:SendEvent ivschat:UpdateLoggingConfiguration ivschat:UpdateRoom  | 
| kafka |  kafka:BatchAssociateScramSecret kafka:BatchDisassociateScramSecret kafka:CreateCluster kafka:CreateClusterV2 kafka:CreateConfiguration kafka:CreateReplicator kafka:CreateVpcConnection kafka:DeleteCluster kafka:DeleteClusterPolicy kafka:DeleteConfiguration kafka:DeleteReplicator kafka:DeleteVpcConnection kafka:DescribeCluster kafka:DescribeClusterOperation kafka:DescribeClusterOperationV2 kafka:DescribeClusterV2 kafka:DescribeConfiguration kafka:DescribeConfigurationRevision kafka:DescribeVpcConnection kafka:GetBootstrapBrokers kafka:GetClusterPolicy kafka:GetCompatibleKafkaVersions kafka:ListClientVpcConnections kafka:ListClusterOperations kafka:ListClusterOperationsV2 kafka:ListClusters kafka:ListClustersV2 kafka:ListConfigurationRevisions kafka:ListConfigurations kafka:ListKafkaVersions kafka:ListNodes kafka:ListReplicators kafka:ListScramSecrets kafka:ListVpcConnections kafka:PutClusterPolicy kafka:RebootBroker kafka:RejectClientVpcConnection kafka:UpdateBrokerCount kafka:UpdateBrokerStorage kafka:UpdateBrokerType kafka:UpdateClusterConfiguration kafka:UpdateClusterKafkaVersion kafka:UpdateConfiguration kafka:UpdateConnectivity kafka:UpdateMonitoring kafka:UpdateRebalancing kafka:UpdateReplicationInfo kafka:UpdateSecurity kafka:UpdateStorage  | 
| kafkaconnect |  kafkaconnect:CreateConnector kafkaconnect:CreateCustomPlugin kafkaconnect:CreateWorkerConfiguration kafkaconnect:DeleteConnector kafkaconnect:DeleteCustomPlugin kafkaconnect:DeleteWorkerConfiguration kafkaconnect:DescribeConnector kafkaconnect:DescribeCustomPlugin kafkaconnect:DescribeWorkerConfiguration kafkaconnect:ListConnectorOperations kafkaconnect:ListConnectors kafkaconnect:ListCustomPlugins kafkaconnect:ListWorkerConfigurations kafkaconnect:UpdateConnector  | 
| kendra |  kendra:AssociateEntitiesToExperience kendra:AssociatePersonasToEntities kendra:BatchDeleteDocument kendra:BatchDeleteFeaturedResultsSet kendra:BatchGetDocumentStatus kendra:BatchPutDocument kendra:ClearQuerySuggestions kendra:CreateAccessControlConfiguration kendra:CreateDataSource kendra:CreateExperience kendra:CreateFaq kendra:CreateFeaturedResultsSet kendra:CreateIndex kendra:CreateQuerySuggestionsBlockList kendra:CreateThesaurus kendra:DeleteDataSource kendra:DeleteExperience kendra:DeleteFaq kendra:DeleteIndex kendra:DeletePrincipalMapping kendra:DeleteQuerySuggestionsBlockList kendra:DeleteThesaurus kendra:DescribeAccessControlConfiguration kendra:DescribeDataSource kendra:DescribeExperience kendra:DescribeFaq kendra:DescribeFeaturedResultsSet kendra:DescribeIndex kendra:DescribePrincipalMapping kendra:DescribeQuerySuggestionsBlockList kendra:DescribeQuerySuggestionsConfig kendra:DescribeThesaurus kendra:DisassociateEntitiesFromExperience kendra:DisassociatePersonasFromEntities kendra:GetQuerySuggestions kendra:GetSnapshots kendra:ListAccessControlConfigurations kendra:ListDataSourceSyncJobs kendra:ListDataSources kendra:ListEntityPersonas kendra:ListExperienceEntities kendra:ListExperiences kendra:ListFaqs kendra:ListFeaturedResultsSets kendra:ListGroupsOlderThanOrderingId kendra:ListIndices kendra:ListQuerySuggestionsBlockLists kendra:ListThesauri kendra:PutPrincipalMapping kendra:Query kendra:Retrieve kendra:StartDataSourceSyncJob kendra:StopDataSourceSyncJob kendra:SubmitFeedback kendra:UpdateDataSource kendra:UpdateExperience kendra:UpdateFeaturedResultsSet kendra:UpdateIndex kendra:UpdateQuerySuggestionsBlockList kendra:UpdateQuerySuggestionsConfig kendra:UpdateThesaurus  | 
| kinesis |  kinesis:CreateStream kinesis:DecreaseStreamRetentionPeriod kinesis:DeleteStream kinesis:DeregisterStreamConsumer kinesis:DescribeAccountSettings kinesis:DescribeLimits kinesis:DescribeStream kinesis:DescribeStreamConsumer kinesis:DescribeStreamSummary kinesis:DisableEnhancedMonitoring kinesis:EnableEnhancedMonitoring kinesis:IncreaseStreamRetentionPeriod kinesis:ListShards kinesis:ListStreamConsumers kinesis:ListStreams kinesis:MergeShards kinesis:RegisterStreamConsumer kinesis:SplitShard kinesis:StartStreamEncryption kinesis:StopStreamEncryption kinesis:UpdateAccountSettings kinesis:UpdateShardCount kinesis:UpdateStreamMode  | 
| kinesisanalytics |  kinesisanalytics:AddApplicationCloudWatchLoggingOption kinesisanalytics:AddApplicationInput kinesisanalytics:AddApplicationInputProcessingConfiguration kinesisanalytics:AddApplicationOutput kinesisanalytics:AddApplicationReferenceDataSource kinesisanalytics:AddApplicationVpcConfiguration kinesisanalytics:CreateApplication kinesisanalytics:CreateApplicationPresignedUrl kinesisanalytics:CreateApplicationSnapshot kinesisanalytics:DeleteApplication kinesisanalytics:DeleteApplicationCloudWatchLoggingOption kinesisanalytics:DeleteApplicationInputProcessingConfiguration kinesisanalytics:DeleteApplicationOutput kinesisanalytics:DeleteApplicationReferenceDataSource kinesisanalytics:DeleteApplicationSnapshot kinesisanalytics:DeleteApplicationVpcConfiguration kinesisanalytics:DescribeApplication kinesisanalytics:DescribeApplicationOperation kinesisanalytics:DescribeApplicationSnapshot kinesisanalytics:DescribeApplicationVersion kinesisanalytics:DiscoverInputSchema kinesisanalytics:ListApplicationOperations kinesisanalytics:ListApplicationSnapshots kinesisanalytics:ListApplicationVersions kinesisanalytics:ListApplications kinesisanalytics:RollbackApplication kinesisanalytics:StartApplication kinesisanalytics:StopApplication kinesisanalytics:UpdateApplication kinesisanalytics:UpdateApplicationMaintenanceConfiguration  | 
| kms |  kms:CancelKeyDeletion kms:ConnectCustomKeyStore KMS:createAlias kms:CreateCustomKeyStore kms:CreateGrant kms:CreateKey kms:Decrypt kms:DeleteAlias kms:DeleteCustomKeyStore kms:DeleteImportedKeyMaterial kms:DeriveSharedSecret kms:DescribeCustomKeyStores kms:DescribeKey kms:DisableKey kms:DisableKeyRotation kms:DisconnectCustomKeyStore kms:EnableKey kms:EnableKeyRotation kms:Encrypt kms:GenerateDataKey kms:GenerateDataKeyPair kms:GenerateDataKeyPairWithoutPlaintext kms:GenerateDataKeyWithoutPlaintext kms:GenerateMac kms:GenerateRandom kms:GetKeyPolicy kms:GetKeyRotationStatus kms:GetParametersForImport kms:GetPublicKey kms:ImportKeyMaterial kms:ListAliases kms:ListGrants kms:ListKeyPolicies kms:ListKeyRotations kms:ListKeys kms:ListRetirableGrants kms:ReplicateKey kms:RetireGrant kms:RevokeGrant kms:RotateKeyOnDemand kms:ScheduleKeyDeletion kms:Sign kms:UpdateAlias kms:UpdateCustomKeyStore kms:UpdateKeyDescription kms:UpdatePrimaryRegion kms:Verify kms:VerifyMac  | 
| lambda |  lambda:AddLayerVersionPermission lambda:AddPermission lambda:CreateAlias lambda:CreateCodeSigningConfig lambda:CreateEventSourceMapping lambda:CreateFunction lambda:CreateFunctionUrlConfig lambda:DeleteAlias lambda:DeleteCapacityProvider lambda:DeleteCodeSigningConfig lambda:DeleteEventSourceMapping lambda:DeleteFunction lambda:DeleteFunctionCodeSigningConfig lambda:DeleteFunctionConcurrency lambda:DeleteFunctionEventInvokeConfig lambda:DeleteFunctionUrlConfig lambda:DeleteLayerVersion lambda:DeleteProvisionedConcurrencyConfig lambda:GetAccountSettings lambda:GetAlias lambda:GetCapacityProvider lambda:GetCodeSigningConfig lambda:GetEventSourceMapping lambda:GetFunction lambda:GetFunctionCodeSigningConfig lambda:GetFunctionConcurrency lambda:GetFunctionConfiguration lambda:GetFunctionEventInvokeConfig lambda:GetFunctionRecursionConfig lambda:GetFunctionScalingConfig lambda:GetFunctionUrlConfig lambda:GetLayerVersion lambda:GetLayerVersionPolicy lambda:GetPolicy lambda:GetProvisionedConcurrencyConfig lambda:GetRuntimeManagementConfig lambda:ListAliases lambda:ListCapacityProviders lambda:ListCodeSigningConfigs lambda:ListDurableExecutionsByFunction lambda:ListEventSourceMappings lambda:ListFunctionEventInvokeConfigs lambda:ListFunctionUrlConfigs lambda:ListFunctions lambda:ListFunctionsByCodeSigningConfig lambda:ListLayerVersions lambda:ListLayers lambda:ListProvisionedConcurrencyConfigs lambda:ListVersionsByFunction lambda:PublishLayerVersion lambda:PublishVersion lambda:PutFunctionCodeSigningConfig lambda:PutFunctionConcurrency lambda:PutFunctionEventInvokeConfig lambda:PutFunctionRecursionConfig lambda:PutFunctionScalingConfig lambda:PutProvisionedConcurrencyConfig lambda:PutRuntimeManagementConfig lambda:RemoveLayerVersionPermission lambda:RemovePermission lambda:UpdateAlias lambda:UpdateCapacityProvider lambda:UpdateCodeSigningConfig lambda:UpdateEventSourceMapping lambda:UpdateFunctionCode lambda:UpdateFunctionConfiguration lambda:UpdateFunctionEventInvokeConfig lambda:UpdateFunctionUrlConfig  | 
| lex |  lex:BatchCreateCustomVocabularyItem lex:BatchDeleteCustomVocabularyItem lex:BatchUpdateCustomVocabularyItem lex:BuildBotLocale lex:CreateBotAlias lex:CreateBotReplica lex:CreateBotVersion lex:CreateExport lex:CreateIntentVersion lex:CreateResourcePolicy lex:CreateSlotTypeVersion lex:CreateTestSetDiscrepancyReport lex:CreateUploadUrl lex:DeleteBot lex:DeleteBotChannelAssociation lex:DeleteBotReplica lex:DeleteExport lex:DeleteImport lex:DeleteIntentVersion lex:DeleteResourcePolicy lex:DeleteSlotTypeVersion lex:DeleteTestSet lex:DeleteUtterances lex:DescribeBotAlias lex:DescribeBotRecommendation lex:DescribeBotReplica lex:DescribeBotResourceGeneration lex:DescribeBotVersion lex:DescribeCustomVocabularyMetadata lex:DescribeExport lex:DescribeImport lex:DescribeResourcePolicy lex:DescribeTestExecution lex:DescribeTestSet lex:DescribeTestSetDiscrepancyReport lex:DescribeTestSetGeneration lex:GenerateBotElement lex:GetBot lex:GetBotAlias lex:GetBotAliases lex:GetBotChannelAssociation lex:GetBotChannelAssociations lex:GetBotVersions lex:GetBots lex:GetBuiltinIntent lex:GetBuiltinIntents lex:GetBuiltinSlotTypes lex:GetExport lex:GetImport lex:GetIntent lex:GetIntentVersions lex:GetIntents lex:GetMigration lex:GetMigrations lex:GetSlotType lex:GetSlotTypeVersions lex:GetSlotTypes lex:GetTestExecutionArtifactsUrl lex:GetUtterancesView lex:ListBotAliasReplicas lex:ListBotAliases lex:ListBotRecommendations lex:ListBotReplicas lex:ListBotResourceGenerations lex:ListBotVersionReplicas lex:ListBotVersions lex:ListBots lex:ListBuiltInIntents lex:ListBuiltInSlotTypes lex:ListCustomVocabularyItems lex:ListExports lex:ListImports lex:ListIntentMetrics lex:ListIntentPaths lex:ListRecommendedIntents lex:ListSessionAnalyticsData lex:ListSessionMetrics lex:ListTestExecutionResultItems lex:ListTestExecutions lex:ListTestSets lex:PutBot lex:PutBotAlias lex:PutIntent lex:PutSlotType lex:SearchAssociatedTranscripts lex:StartBotRecommendation lex:StartImport lex:StartMigration lex:StartTestExecution lex:StartTestSetGeneration lex:StopBotRecommendation lex:UpdateBotAlias lex:UpdateBotRecommendation lex:UpdateExport lex:UpdateResourcePolicy  | 
| license-manager-linux-subscriptions |  license-manager-linux-subscriptions:DeregisterSubscriptionProvider license-manager-linux-subscriptions:GetRegisteredSubscriptionProvider license-manager-linux-subscriptions:GetServiceSettings license-manager-linux-subscriptions:ListLinuxSubscriptionInstances license-manager-linux-subscriptions:ListLinuxSubscriptions license-manager-linux-subscriptions:ListRegisteredSubscriptionProviders license-manager-linux-subscriptions:RegisterSubscriptionProvider license-manager-linux-subscriptions:UpdateServiceSettings  | 
| lightsail |  lightsail:AllocateStaticIp lightsail:AttachCertificateToDistribution lightsail:AttachDisk lightsail:AttachInstancesToLoadBalancer lightsail:AttachLoadBalancerTlsCertificate lightsail:AttachStaticIp lightsail:CloseInstancePublicPorts lightsail:CopySnapshot lightsail:CreateBucket lightsail:CreateBucketAccessKey lightsail:CreateCertificate lightsail:CreateCloudFormationStack lightsail:CreateContactMethod lightsail:CreateContainerService lightsail:CreateContainerServiceDeployment lightsail:CreateContainerServiceRegistryLogin lightsail:CreateDisk lightsail:CreateDiskFromSnapshot lightsail:CreateDiskSnapshot lightsail:CreateDistribution lightsail:CreateDomain lightsail:CreateGUISessionAccessDetails lightsail:CreateInstanceSnapshot lightsail:CreateInstances lightsail:CreateInstancesFromSnapshot lightsail:CreateKeyPair lightsail:CreateLoadBalancer lightsail:CreateLoadBalancerTlsCertificate lightsail:CreateRelationalDatabase lightsail:CreateRelationalDatabaseFromSnapshot lightsail:CreateRelationalDatabaseSnapshot lightsail:DeleteAlarm lightsail:DeleteAutoSnapshot lightsail:DeleteBucket lightsail:DeleteBucketAccessKey lightsail:DeleteCertificate lightsail:DeleteContactMethod lightsail:DeleteContainerImage lightsail:DeleteContainerService lightsail:DeleteDisk lightsail:DeleteDiskSnapshot lightsail:DeleteDistribution lightsail:DeleteDomain lightsail:DeleteDomainEntry lightsail:DeleteInstance lightsail:DeleteInstanceSnapshot lightsail:DeleteKeyPair lightsail:DeleteKnownHostKeys lightsail:DeleteLoadBalancer lightsail:DeleteLoadBalancerTlsCertificate lightsail:DeleteRelationalDatabase lightsail:DeleteRelationalDatabaseSnapshot lightsail:DetachCertificateFromDistribution lightsail:DetachDisk lightsail:DetachInstancesFromLoadBalancer lightsail:DetachStaticIp lightsail:DisableAddOn lightsail:DownloadDefaultKeyPair lightsail:EnableAddOn lightsail:ExportSnapshot lightsail:GetActiveNames lightsail:GetAlarms lightsail:GetAutoSnapshots lightsail:GetBlueprints lightsail:GetBucketAccessKeys lightsail:GetBucketBundles lightsail:GetBucketMetricData lightsail:GetBuckets lightsail:GetBundles lightsail:GetCertificates lightsail:GetCloudFormationStackRecords lightsail:GetContactMethods lightsail:GetContainerAPIMetadata lightsail:GetContainerImages lightsail:GetContainerLog lightsail:GetContainerServiceDeployments lightsail:GetContainerServiceMetricData lightsail:GetContainerServicePowers lightsail:GetContainerServices lightsail:GetCostEstimate lightsail:GetDisk lightsail:GetDiskSnapshot lightsail:GetDiskSnapshots lightsail:GetDisks lightsail:GetDistributionBundles lightsail:GetDistributionLatestCacheReset lightsail:GetDistributionMetricData lightsail:GetDistributions lightsail:GetDomain lightsail:GetExportSnapshotRecords lightsail:GetInstance lightsail:GetInstanceMetricData lightsail:GetInstancePortStates lightsail:GetInstanceSnapshot lightsail:GetInstanceSnapshots lightsail:GetInstanceState lightsail:GetInstances lightsail:GetKeyPair lightsail:GetKeyPairs lightsail:GetLoadBalancer lightsail:GetLoadBalancerMetricData lightsail:GetLoadBalancerTlsCertificates lightsail:GetLoadBalancerTlsPolicies lightsail:GetLoadBalancers lightsail:GetOperation lightsail:GetOperations lightsail:GetOperationsForResource lightsail:GetRegions lightsail:GetRelationalDatabase lightsail:GetRelationalDatabaseBlueprints lightsail:GetRelationalDatabaseBundles lightsail:GetRelationalDatabaseEvents lightsail:GetRelationalDatabaseLogEvents lightsail:GetRelationalDatabaseLogStreams lightsail:GetRelationalDatabaseMasterUserPassword lightsail:GetRelationalDatabaseMetricData lightsail:GetRelationalDatabaseParameters lightsail:GetRelationalDatabaseSnapshot lightsail:GetRelationalDatabaseSnapshots lightsail:GetRelationalDatabases lightsail:GetSetupHistory lightsail:GetStaticIp lightsail:GetStaticIps lightsail:ImportKeyPair lightsail:IsVpcPeered lightsail:OpenInstancePublicPorts lightsail:PeerVpc lightsail:PutAlarm lightsail:PutInstancePublicPorts lightsail:RebootInstance lightsail:RebootRelationalDatabase lightsail:RegisterContainerImage lightsail:ReleaseStaticIp lightsail:ResetDistributionCache lightsail:SendContactMethodVerification lightsail:SetIpAddressType lightsail:SetResourceAccessForBucket lightsail:SetupInstanceHttps lightsail:StartGUISession lightsail:StartInstance lightsail:StartRelationalDatabase lightsail:StopGUISession lightsail:StopInstance lightsail:StopRelationalDatabase lightsail:TestAlarm lightsail:UnpeerVpc lightsail:UpdateBucket lightsail:UpdateBucketBundle lightsail:UpdateContainerService lightsail:UpdateDistribution lightsail:UpdateDistributionBundle lightsail:UpdateDomainEntry lightsail:UpdateInstanceMetadataOptions lightsail:UpdateLoadBalancerAttribute lightsail:UpdateRelationalDatabase lightsail:UpdateRelationalDatabaseParameters  | 
| registros |  logs:AssociateKmsKey logs:AssociateSourceToS3TableIntegration logs:CancelExportTask logs:CancelImportTask logs:CreateDelivery logs:CreateExportTask logs:CreateLogAnomalyDetector logs:CreateLogGroup logs:CreateLogStream logs:DeleteDataProtectionPolicy logs:DeleteDelivery logs:DeleteDeliveryDestination logs:DeleteDeliveryDestinationPolicy logs:DeleteDeliverySource logs:DeleteDestination logs:DeleteIndexPolicy logs:DeleteIntegration logs:DeleteLogAnomalyDetector logs:DeleteLogGroup logs:DeleteLogStream logs:DeleteMetricFilter logs:DeleteQueryDefinition logs:DeleteResourcePolicy logs:DeleteRetentionPolicy logs:DeleteScheduledQuery logs:DeleteSubscriptionFilter logs:DeleteTransformer logs:DescribeAccountPolicies logs:DescribeConfigurationTemplates logs:DescribeDeliveries logs:DescribeDeliveryDestinations logs:DescribeDeliverySources logs:DescribeDestinations logs:DescribeExportTasks logs:DescribeFieldIndexes logs:DescribeImportTaskBatches logs:DescribeImportTasks logs:DescribeIndexPolicies logs:DescribeLogGroups logs:DescribeLogStreams logs:DescribeMetricFilters logs:DescribeQueries logs:DescribeQueryDefinitions logs:DescribeResourcePolicies logs:DescribeSubscriptionFilters logs:DisassociateKmsKey logs:DisassociateSourceFromS3TableIntegration logs:GetDataProtectionPolicy logs:GetDelivery logs:GetDeliveryDestination logs:GetDeliveryDestinationPolicy logs:GetDeliverySource logs:GetIntegration logs:GetLogAnomalyDetector logs:GetLogFields logs:GetLogGroupFields logs:GetLogRecord logs:GetQueryResults logs:GetScheduledQuery logs:GetScheduledQueryHistory logs:GetTransformer logs:IntegrateWithS3Table logs:ListAnomalies logs:ListIntegrations logs:ListLogAnomalyDetectors logs:ListLogGroupsForQuery logs:ListScheduledQueries logs:ListSourcesForS3TableIntegration logs:ProcessWithPipeline logs:PutDataProtectionPolicy logs:PutDeliveryDestination logs:PutDeliveryDestinationPolicy logs:PutDeliverySource logs:PutDestination logs:PutDestinationPolicy logs:PutIndexPolicy logs:PutIntegration logs:PutLogGroupDeletionProtection logs:PutMetricFilter logs:PutQueryDefinition logs:PutResourcePolicy logs:PutRetentionPolicy logs:PutSubscriptionFilter logs:PutTransformer logs:StartLiveTail logs:StartQuery logs:StopQuery logs:TestMetricFilter logs:TestTransformer logs:UpdateAnomaly logs:UpdateDeliveryConfiguration logs:UpdateLogAnomalyDetector  | 
| lookoutequipment |  lookoutequipment:CreateDataset lookoutequipment:CreateInferenceScheduler lookoutequipment:CreateLabel lookoutequipment:CreateLabelGroup lookoutequipment:CreateModel lookoutequipment:DeleteDataset lookoutequipment:DeleteInferenceScheduler lookoutequipment:DeleteLabel lookoutequipment:DeleteLabelGroup lookoutequipment:DeleteModel lookoutequipment:DeleteResourcePolicy lookoutequipment:DeleteRetrainingScheduler lookoutequipment:DescribeDataIngestionJob lookoutequipment:DescribeDataset lookoutequipment:DescribeInferenceScheduler lookoutequipment:DescribeLabelGroup lookoutequipment:DescribeModel lookoutequipment:DescribeModelVersion lookoutequipment:DescribeResourcePolicy lookoutequipment:DescribeRetrainingScheduler lookoutequipment:Describelabel lookoutequipment:ImportDataset lookoutequipment:ImportModelVersion lookoutequipment:ListDataIngestionJobs lookoutequipment:ListDatasets lookoutequipment:ListInferenceEvents lookoutequipment:ListInferenceExecutions lookoutequipment:ListInferenceSchedulers lookoutequipment:ListLabelGroups lookoutequipment:ListLabels lookoutequipment:ListModelVersions lookoutequipment:ListModels lookoutequipment:ListRetrainingSchedulers lookoutequipment:ListSensorStatistics lookoutequipment:PutResourcePolicy lookoutequipment:StartDataIngestionJob lookoutequipment:StartInferenceScheduler lookoutequipment:StartRetrainingScheduler lookoutequipment:StopInferenceScheduler lookoutequipment:StopRetrainingScheduler lookoutequipment:UpdateActiveModelVersion lookoutequipment:UpdateInferenceScheduler lookoutequipment:UpdateLabelGroup lookoutequipment:UpdateModel lookoutequipment:UpdateRetrainingScheduler  | 
| lookoutmetrics |  lookoutmetrics:ActivateAnomalyDetector lookoutmetrics:BackTestAnomalyDetector lookoutmetrics:CreateAlert lookoutmetrics:CreateAnomalyDetector lookoutmetrics:CreateMetricSet lookoutmetrics:DeactivateAnomalyDetector lookoutmetrics:DeleteAlert lookoutmetrics:DeleteAnomalyDetector lookoutmetrics:DescribeAlert lookoutmetrics:DescribeAnomalyDetectionExecutions lookoutmetrics:DescribeAnomalyDetector lookoutmetrics:DescribeMetricSet lookoutmetrics:DetectMetricSetConfig lookoutmetrics:GetAnomalyGroup lookoutmetrics:GetDataQualityMetrics lookoutmetrics:GetFeedback lookoutmetrics:GetSampleData lookoutmetrics:ListAlerts lookoutmetrics:ListAnomalyDetectors lookoutmetrics:ListAnomalyGroupRelatedMetrics lookoutmetrics:ListAnomalyGroupSummaries lookoutmetrics:ListAnomalyGroupTimeSeries lookoutmetrics:ListMetricSets lookoutmetrics:PutFeedback lookoutmetrics:UpdateAlert lookoutmetrics:UpdateAnomalyDetector lookoutmetrics:UpdateMetricSet  | 
| lookoutvision |  lookoutvision:CreateDataset lookoutvision:CreateModel lookoutvision:CreateProject lookoutvision:DeleteDataset lookoutvision:DeleteModel lookoutvision:DeleteProject lookoutvision:DescribeDataset lookoutvision:DescribeModel lookoutvision:DescribeModelPackagingJob lookoutvision:DescribeProject lookoutvision:DetectAnomalies lookoutvision:ListDatasetEntries lookoutvision:ListModelPackagingJobs lookoutvision:ListModels lookoutvision:ListProjects lookoutvision:StartModel lookoutvision:StartModelPackagingJob lookoutvision:StopModel lookoutvision:UpdateDatasetEntries  | 
| m2 |  m2:CancelBatchJobExecution m2:CreateApplication m2:CreateDataSetExportTask m2:CreateDataSetImportTask m2:CreateDeployment m2:CreateEnvironment m2:DeleteApplication m2:DeleteApplicationFromEnvironment m2:DeleteEnvironment m2:GetApplication m2:GetApplicationVersion m2:GetBatchJobExecution m2:GetDataSetDetails m2:GetDataSetExportTask m2:GetDataSetImportTask m2:GetDeployment m2:GetEnvironment m2:GetSignedBluinsightsUrl m2:ListApplicationVersions m2:ListApplications m2:ListBatchJobDefinitions m2:ListBatchJobExecutions m2:ListBatchJobRestartPoints m2:ListDataSetExportHistory m2:ListDataSetImportHistory m2:ListDataSets m2:ListDeployments m2:ListEngineVersions m2:ListEnvironments m2:StartApplication m2:StartBatchJob m2:StopApplication m2:UpdateApplication m2:UpdateEnvironment  | 
| managedblockchain |  managedblockchain:CreateAccessor managedblockchain:CreateMember managedblockchain:CreateNetwork managedblockchain:CreateNode managedblockchain:CreateProposal managedblockchain:DeleteAccessor managedblockchain:DeleteMember managedblockchain:DeleteNode managedblockchain:GetAccessor managedblockchain:GetMember managedblockchain:GetNetwork managedblockchain:GetNode managedblockchain:GetProposal managedblockchain:InvokeRpcPolygonMainnet managedblockchain:InvokeRpcPolygonMumbaiTestnet managedblockchain:ListAccessors managedblockchain:ListInvitations managedblockchain:ListMembers managedblockchain:ListNetworks managedblockchain:ListNodes managedblockchain:ListProposalVotes managedblockchain:ListProposals managedblockchain:RejectInvitation managedblockchain:UpdateMember managedblockchain:UpdateNode managedblockchain:VoteOnProposal  | 
| mediaconnect |  mediaconnect:AddBridgeOutputs mediaconnect:AddBridgeSources mediaconnect:AddFlowMediaStreams mediaconnect:AddFlowOutputs mediaconnect:AddFlowSources mediaconnect:AddFlowVpcInterfaces mediaconnect:CreateBridge mediaconnect:CreateFlow mediaconnect:CreateGateway mediaconnect:DeleteBridge mediaconnect:DeleteFlow mediaconnect:DeleteGateway mediaconnect:DeleteRouterInput mediaconnect:DeleteRouterNetworkInterface mediaconnect:DeleteRouterOutput mediaconnect:DeregisterGatewayInstance mediaconnect:DescribeBridge mediaconnect:DescribeFlow mediaconnect:DescribeFlowSourceMetadata mediaconnect:DescribeFlowSourceThumbnail mediaconnect:DescribeGateway mediaconnect:DescribeGatewayInstance mediaconnect:DescribeOffering mediaconnect:DescribeReservation mediaconnect:GetRouterInput mediaconnect:GetRouterInputSourceMetadata mediaconnect:GetRouterInputThumbnail mediaconnect:GetRouterNetworkInterface mediaconnect:GetRouterOutput mediaconnect:GrantFlowEntitlements mediaconnect:ListBridges mediaconnect:ListEntitlements mediaconnect:ListFlows mediaconnect:ListGatewayInstances mediaconnect:ListGateways mediaconnect:ListOfferings mediaconnect:ListReservations mediaconnect:ListRouterInputs mediaconnect:ListRouterNetworkInterfaces mediaconnect:ListRouterOutputs mediaconnect:PurchaseOffering mediaconnect:RemoveBridgeOutput mediaconnect:RemoveBridgeSource mediaconnect:RemoveFlowMediaStream mediaconnect:RemoveFlowOutput mediaconnect:RemoveFlowSource mediaconnect:RemoveFlowVpcInterface mediaconnect:RestartRouterInput mediaconnect:RestartRouterOutput mediaconnect:RevokeFlowEntitlement mediaconnect:StartFlow mediaconnect:StartRouterInput mediaconnect:StartRouterOutput mediaconnect:StopFlow mediaconnect:StopRouterInput mediaconnect:StopRouterOutput mediaconnect:TakeRouterInput mediaconnect:UpdateBridge mediaconnect:UpdateBridgeOutput mediaconnect:UpdateBridgeSource mediaconnect:UpdateBridgeState mediaconnect:UpdateFlow mediaconnect:UpdateFlowEntitlement mediaconnect:UpdateFlowMediaStream mediaconnect:UpdateGatewayInstance  | 
| mediaconvert |  mediaconvert:AssociateCertificate mediaconvert:CancelJob mediaconvert:CreateJob mediaconvert:CreateJobTemplate mediaconvert:CreatePreset mediaconvert:CreateQueue mediaconvert:CreateResourceShare mediaconvert:DeleteJobTemplate mediaconvert:DeletePolicy mediaconvert:DeletePreset mediaconvert:DeleteQueue mediaconvert:DescribeEndpoints mediaconvert:DisassociateCertificate mediaconvert:GetJob mediaconvert:GetJobTemplate mediaconvert:GetPolicy mediaconvert:GetPreset mediaconvert:GetQueue mediaconvert:ListJobTemplates mediaconvert:ListJobs mediaconvert:ListPresets mediaconvert:ListQueues mediaconvert:ListVersions mediaconvert:Probe mediaconvert:PutPolicy mediaconvert:SearchJobs mediaconvert:UpdateJobTemplate mediaconvert:UpdatePreset mediaconvert:UpdateQueue  | 
| medialive |  medialive:AcceptInputDeviceTransfer medialive:BatchDelete medialive:BatchStart medialive:BatchStop medialive:BatchUpdateSchedule medialive:CancelInputDeviceTransfer medialive:ClaimDevice medialive:CreateChannel medialive:CreateChannelPlacementGroup medialive:CreateCloudWatchAlarmTemplate medialive:CreateCloudWatchAlarmTemplateGroup medialive:CreateCluster medialive:CreateEventBridgeRuleTemplate medialive:CreateEventBridgeRuleTemplateGroup medialive:CreateInput medialive:CreateInputSecurityGroup medialive:CreateMultiplex medialive:CreateMultiplexProgram medialive:CreateNetwork medialive:CreateNode medialive:CreateNodeRegistrationScript medialive:CreatePartnerInput medialive:CreateSdiSource medialive:CreateSignalMap medialive:DeleteChannel medialive:DeleteChannelPlacementGroup medialive:DeleteCloudWatchAlarmTemplate medialive:DeleteCloudWatchAlarmTemplateGroup medialive:DeleteCluster medialive:DeleteEventBridgeRuleTemplate medialive:DeleteEventBridgeRuleTemplateGroup medialive:DeleteInput medialive:DeleteInputSecurityGroup medialive:DeleteMultiplex medialive:DeleteMultiplexProgram medialive:DeleteNetwork medialive:DeleteNode medialive:DeleteReservation medialive:DeleteSchedule medialive:DeleteSdiSource medialive:DeleteSignalMap medialive:DescribeAccountConfiguration medialive:DescribeChannel medialive:DescribeChannelPlacementGroup medialive:DescribeCluster medialive:DescribeInput medialive:DescribeInputDevice medialive:DescribeInputDeviceThumbnail medialive:DescribeInputSecurityGroup medialive:DescribeMultiplex medialive:DescribeMultiplexProgram medialive:DescribeNetwork medialive:DescribeNode medialive:DescribeOffering medialive:DescribeReservation medialive:DescribeSchedule medialive:DescribeSdiSource medialive:DescribeThumbnails medialive:GetCloudWatchAlarmTemplate medialive:GetCloudWatchAlarmTemplateGroup medialive:GetEventBridgeRuleTemplate medialive:GetEventBridgeRuleTemplateGroup medialive:GetSignalMap medialive:ListAlerts medialive:ListChannelPlacementGroups medialive:ListChannels medialive:ListCloudWatchAlarmTemplateGroups medialive:ListCloudWatchAlarmTemplates medialive:ListClusterAlerts medialive:ListClusters medialive:ListEventBridgeRuleTemplateGroups medialive:ListEventBridgeRuleTemplates medialive:ListInputDeviceTransfers medialive:ListInputDevices medialive:ListInputSecurityGroups medialive:ListInputs medialive:ListMultiplexAlerts medialive:ListMultiplexPrograms medialive:ListMultiplexes medialive:ListNetworks medialive:ListNodes medialive:ListOfferings medialive:ListReservations medialive:ListSdiSources medialive:ListSignalMaps medialive:ListVersions medialive:PurchaseOffering medialive:RebootInputDevice medialive:RejectInputDeviceTransfer medialive:RestartChannelPipelines medialive:StartChannel medialive:StartDeleteMonitorDeployment medialive:StartInputDevice medialive:StartInputDeviceMaintenanceWindow medialive:StartMonitorDeployment medialive:StartMultiplex medialive:StartUpdateSignalMap medialive:StopChannel medialive:StopInputDevice medialive:StopMultiplex medialive:TransferInputDevice medialive:UpdateAccountConfiguration medialive:UpdateChannel medialive:UpdateChannelClass medialive:UpdateChannelPlacementGroup medialive:UpdateCloudWatchAlarmTemplate medialive:UpdateCloudWatchAlarmTemplateGroup medialive:UpdateCluster medialive:UpdateEventBridgeRuleTemplate medialive:UpdateEventBridgeRuleTemplateGroup medialive:UpdateInput medialive:UpdateInputDevice medialive:UpdateInputSecurityGroup medialive:UpdateMultiplex medialive:UpdateMultiplexProgram medialive:UpdateNetwork medialive:UpdateNode medialive:UpdateNodeState medialive:UpdateReservation medialive:UpdateSdiSource  | 
| mediastore |  mediastore:CreateContainer mediastore:DeleteContainer mediastore:DeleteContainerPolicy mediastore:DeleteCorsPolicy mediastore:DeleteLifecyclePolicy mediastore:DeleteMetricPolicy mediastore:DescribeContainer mediastore:GetContainerPolicy mediastore:GetCorsPolicy mediastore:GetLifecyclePolicy mediastore:GetMetricPolicy mediastore:ListContainers mediastore:PutContainerPolicy mediastore:PutCorsPolicy mediastore:PutLifecyclePolicy mediastore:PutMetricPolicy mediastore:StartAccessLogging mediastore:StopAccessLogging  | 
| mediatailor |  mediatailor:ConfigureLogsForPlaybackConfiguration mediatailor:CreateChannel mediatailor:CreateLiveSource mediatailor:CreatePrefetchSchedule mediatailor:CreateProgram mediatailor:CreateSourceLocation mediatailor:CreateVodSource mediatailor:DeleteChannel mediatailor:DeleteChannelPolicy mediatailor:DeleteLiveSource mediatailor:DeletePlaybackConfiguration mediatailor:DeletePrefetchSchedule mediatailor:DeleteProgram mediatailor:DeleteSourceLocation mediatailor:DeleteVodSource mediatailor:DescribeChannel mediatailor:DescribeLiveSource mediatailor:DescribeProgram mediatailor:DescribeSourceLocation mediatailor:DescribeVodSource mediatailor:GetChannelPolicy mediatailor:GetChannelSchedule mediatailor:GetPlaybackConfiguration mediatailor:GetPrefetchSchedule mediatailor:ListAlerts mediatailor:ListChannels mediatailor:ListLiveSources mediatailor:ListPlaybackConfigurations mediatailor:ListPrefetchSchedules mediatailor:ListSourceLocations mediatailor:ListVodSources mediatailor:PutChannelPolicy mediatailor:PutPlaybackConfiguration mediatailor:StartChannel mediatailor:StopChannel mediatailor:UpdateChannel mediatailor:UpdateLiveSource mediatailor:UpdateProgram mediatailor:UpdateSourceLocation mediatailor:UpdateVodSource  | 
| memorydb |  memorydb:BatchUpdateCluster memorydb:CopySnapshot memorydb:CreateAcl memorydb:CreateCluster memorydb:CreateMultiRegionCluster memorydb:CreateParameterGroup memorydb:CreateSnapshot memorydb:CreateSubnetGroup memorydb:CreateUser memorydb:DeleteAcl memorydb:DeleteCluster memorydb:DeleteMultiRegionCluster memorydb:DeleteParameterGroup memorydb:DeleteSnapshot memorydb:DeleteSubnetGroup memorydb:DeleteUser memorydb:DescribeAcls memorydb:DescribeClusters memorydb:DescribeEngineVersions memorydb:DescribeEvents memorydb:DescribeMultiRegionClusters memorydb:DescribeMultiRegionParameterGroups memorydb:DescribeMultiRegionParameters memorydb:DescribeParameterGroups memorydb:DescribeParameters memorydb:DescribeReservedNodes memorydb:DescribeReservedNodesOfferings memorydb:DescribeServiceUpdates memorydb:DescribeSnapshots memorydb:DescribeSubnetGroups memorydb:DescribeUsers memorydb:FailoverShard memorydb:ListAllowedMultiRegionClusterUpdates memorydb:ListAllowedNodeTypeUpdates memorydb:PurchaseReservedNodesOffering memorydb:ResetParameterGroup memorydb:UpdateAcl memorydb:UpdateCluster memorydb:UpdateMultiRegionCluster memorydb:UpdateParameterGroup memorydb:UpdateSubnetGroup memorydb:UpdateUser  | 
| mgh |  mgh:AssociateCreatedArtifact mgh:AssociateDiscoveredResource mgh:AssociateSourceResource mgh:CreateHomeRegionControl mgh:CreateProgressUpdateStream mgh:DeleteHomeRegionControl mgh:DeleteProgressUpdateStream mgh:DescribeApplicationState mgh:DescribeHomeRegionControls mgh:DescribeMigrationTask mgh:DisassociateCreatedArtifact mgh:DisassociateDiscoveredResource mgh:DisassociateSourceResource mgh:GetHomeRegion mgh:ImportMigrationTask mgh:ListApplicationStates mgh:ListCreatedArtifacts mgh:ListDiscoveredResources mgh:ListMigrationTaskUpdates mgh:ListMigrationTasks mgh:ListProgressUpdateStreams mgh:ListSourceResources mgh:NotifyApplicationState mgh:NotifyMigrationTaskState mgh:PutResourceAttributes  | 
| mgn |  mgn:ArchiveApplication mgn:ArchiveWave mgn:AssociateApplications mgn:AssociateSourceServers mgn:ChangeServerLifeCycleState mgn:CreateApplication mgn:CreateConnector mgn:CreateLaunchConfigurationTemplate mgn:CreateReplicationConfigurationTemplate mgn:CreateWave mgn:DeleteApplication mgn:DeleteConnector mgn:DeleteJob mgn:DeleteLaunchConfigurationTemplate mgn:DeleteReplicationConfigurationTemplate mgn:DeleteSourceServer mgn:DeleteVcenterClient mgn:DeleteWave mgn:DescribeJobLogItems mgn:DescribeJobs mgn:DescribeLaunchConfigurationTemplates mgn:DescribeReplicationConfigurationTemplates mgn:DescribeVcenterClients mgn:DisassociateApplications mgn:DisassociateSourceServers mgn:DisconnectFromService mgn:FinalizeCutover mgn:GetReplicationConfiguration mgn:InitializeService mgn:ListConnectors mgn:ListExportErrors mgn:ListExports mgn:ListImportErrors mgn:ListImports mgn:ListManagedAccounts mgn:ListSourceServerActions mgn:ListTemplateActions mgn:MarkAsArchived mgn:PauseReplication mgn:PutSourceServerAction mgn:PutTemplateAction mgn:RemoveSourceServerAction mgn:RemoveTemplateAction mgn:ResumeReplication mgn:RetryDataReplication mgn:StartCutover mgn:StartExport mgn:StartImport mgn:StartReplication mgn:StartTest mgn:StopReplication mgn:TerminateTargetInstances mgn:UnarchiveApplication mgn:UnarchiveWave mgn:UpdateApplication mgn:UpdateConnector mgn:UpdateLaunchConfigurationTemplate mgn:UpdateReplicationConfiguration mgn:UpdateReplicationConfigurationTemplate mgn:UpdateSourceServer mgn:UpdateSourceServerReplicationType mgn:UpdateWave  | 
| migrationhub-strategy |  migrationhub-strategy:GetAntiPattern migrationhub-strategy:GetApplicationComponentDetails migrationhub-strategy:GetApplicationComponentStrategies migrationhub-strategy:GetAssessment migrationhub-strategy:GetImportFileTask migrationhub-strategy:GetLatestAssessmentId migrationhub-strategy:GetMessage migrationhub-strategy:GetPortfolioPreferences migrationhub-strategy:GetPortfolioSummary migrationhub-strategy:GetRecommendationReportDetails migrationhub-strategy:GetServerDetails migrationhub-strategy:GetServerStrategies migrationhub-strategy:ListAnalyzableServers migrationhub-strategy:ListAntiPatterns migrationhub-strategy:ListApplicationComponents migrationhub-strategy:ListCollectors migrationhub-strategy:ListImportFileTask migrationhub-strategy:ListJarArtifacts migrationhub-strategy:ListServers migrationhub-strategy:PutLogData migrationhub-strategy:PutMetricData migrationhub-strategy:PutPortfolioPreferences migrationhub-strategy:RegisterCollector migrationhub-strategy:SendMessage migrationhub-strategy:StartAssessment migrationhub-strategy:StartImportFileTask migrationhub-strategy:StartRecommendationReportGeneration migrationhub-strategy:StopAssessment migrationhub-strategy:UpdateApplicationComponentConfig migrationhub-strategy:UpdateCollectorConfiguration migrationhub-strategy:UpdateServerConfig  | 
| mobiletargeting |  mobiletargeting:CreateApp mobiletargeting:CreateCampaign mobiletargeting:CreateEmailTemplate mobiletargeting:CreateExportJob mobiletargeting:CreateImportJob mobiletargeting:CreateInAppTemplate mobiletargeting:CreateJourney mobiletargeting:CreatePushTemplate mobiletargeting:CreateRecommenderConfiguration mobiletargeting:CreateSegment mobiletargeting:CreateSmsTemplate mobiletargeting:CreateVoiceTemplate mobiletargeting:DeleteAdmChannel mobiletargeting:DeleteApnsChannel mobiletargeting:DeleteApnsSandboxChannel mobiletargeting:DeleteApnsVoipChannel mobiletargeting:DeleteApnsVoipSandboxChannel mobiletargeting:DeleteApp mobiletargeting:DeleteBaiduChannel mobiletargeting:DeleteCampaign mobiletargeting:DeleteEmailChannel mobiletargeting:DeleteEmailTemplate mobiletargeting:DeleteEndpoint mobiletargeting:DeleteEventStream mobiletargeting:DeleteGcmChannel mobiletargeting:DeleteInAppTemplate mobiletargeting:DeleteJourney mobiletargeting:DeletePushTemplate mobiletargeting:DeleteRecommenderConfiguration mobiletargeting:DeleteSegment mobiletargeting:DeleteSmsChannel mobiletargeting:DeleteSmsTemplate mobiletargeting:DeleteUserEndpoints mobiletargeting:DeleteVoiceChannel mobiletargeting:DeleteVoiceTemplate mobiletargeting:GetAdmChannel mobiletargeting:GetApnsChannel mobiletargeting:GetApnsSandboxChannel mobiletargeting:GetApnsVoipChannel mobiletargeting:GetApnsVoipSandboxChannel mobiletargeting:GetApp mobiletargeting:GetApplicationDateRangeKpi mobiletargeting:GetApplicationSettings mobiletargeting:GetApps mobiletargeting:GetBaiduChannel mobiletargeting:GetCampaign mobiletargeting:GetCampaignActivities mobiletargeting:GetCampaignDateRangeKpi mobiletargeting:GetCampaignVersion mobiletargeting:GetCampaignVersions mobiletargeting:GetCampaigns mobiletargeting:GetChannels mobiletargeting:GetEmailChannel mobiletargeting:GetEmailTemplate mobiletargeting:GetEndpoint mobiletargeting:GetEventStream mobiletargeting:GetExportJob mobiletargeting:GetExportJobs mobiletargeting:GetGcmChannel mobiletargeting:GetImportJob mobiletargeting:GetImportJobs mobiletargeting:GetInAppMessages mobiletargeting:GetInAppTemplate mobiletargeting:GetJourney mobiletargeting:GetJourneyDateRangeKpi mobiletargeting:GetJourneyExecutionActivityMetrics mobiletargeting:GetJourneyExecutionMetrics mobiletargeting:GetJourneyRunExecutionActivityMetrics mobiletargeting:GetJourneyRunExecutionMetrics mobiletargeting:GetJourneyRuns mobiletargeting:GetPushTemplate mobiletargeting:GetRecommenderConfiguration mobiletargeting:GetRecommenderConfigurations mobiletargeting:GetSegment mobiletargeting:GetSegmentExportJobs mobiletargeting:GetSegmentImportJobs mobiletargeting:GetSegmentVersion mobiletargeting:GetSegmentVersions mobiletargeting:GetSegments mobiletargeting:GetSmsChannel mobiletargeting:GetSmsTemplate mobiletargeting:GetUserEndpoints mobiletargeting:GetVoiceChannel mobiletargeting:GetVoiceTemplate mobiletargeting:ListJourneys mobiletargeting:ListTemplateVersions mobiletargeting:ListTemplates mobiletargeting:PhoneNumberValidate mobiletargeting:PutEventStream mobiletargeting:RemoveAttributes mobiletargeting:UpdateAdmChannel mobiletargeting:UpdateApnsChannel mobiletargeting:UpdateApnsSandboxChannel mobiletargeting:UpdateApnsVoipChannel mobiletargeting:UpdateApnsVoipSandboxChannel mobiletargeting:UpdateApplicationSettings mobiletargeting:UpdateBaiduChannel mobiletargeting:UpdateCampaign mobiletargeting:UpdateEmailChannel mobiletargeting:UpdateEmailTemplate mobiletargeting:UpdateEndpoint mobiletargeting:UpdateEndpointsBatch mobiletargeting:UpdateGcmChannel mobiletargeting:UpdateInAppTemplate mobiletargeting:UpdateJourney mobiletargeting:UpdateJourneyState mobiletargeting:UpdatePushTemplate mobiletargeting:UpdateRecommenderConfiguration mobiletargeting:UpdateSegment mobiletargeting:UpdateSmsChannel mobiletargeting:UpdateSmsTemplate mobiletargeting:UpdateTemplateActiveVersion mobiletargeting:UpdateVoiceChannel mobiletargeting:UpdateVoiceTemplate mobiletargeting:VerifyOTPMessage  | 
| mq |  mq:CreateBroker mq:CreateConfiguration mq:CreateUser mq:DeleteBroker mq:DeleteConfiguration mq:DeleteUser mq:DescribeBroker mq:DescribeBrokerEngineTypes mq:DescribeBrokerInstanceOptions mq:DescribeConfiguration mq:DescribeConfigurationRevision mq:DescribeUser mq:ListBrokers mq:ListConfigurationRevisions mq:ListConfigurations mq:ListUsers mq:Promote mq:RebootBroker mq:UpdateBroker mq:UpdateConfiguration mq:UpdateUser  | 
| networkmanager |  networkmanager:AcceptAttachment networkmanager:AssociateConnectPeer networkmanager:AssociateCustomerGateway networkmanager:AssociateLink networkmanager:AssociateTransitGatewayConnectPeer networkmanager:CreateConnectAttachment networkmanager:CreateConnectPeer networkmanager:CreateConnection networkmanager:CreateCoreNetwork networkmanager:CreateDevice networkmanager:CreateDirectConnectGatewayAttachment networkmanager:CreateGlobalNetwork networkmanager:CreateLink networkmanager:CreateSite networkmanager:CreateSiteToSiteVpnAttachment networkmanager:CreateTransitGatewayPeering networkmanager:CreateTransitGatewayRouteTableAttachment networkmanager:CreateVpcAttachment networkmanager:DeleteAttachment networkmanager:DeleteConnectPeer networkmanager:DeleteConnection networkmanager:DeleteCoreNetwork networkmanager:DeleteCoreNetworkPolicyVersion networkmanager:DeleteDevice networkmanager:DeleteGlobalNetwork networkmanager:DeleteLink networkmanager:DeletePeering networkmanager:DeleteResourcePolicy networkmanager:DeleteSite networkmanager:DeregisterTransitGateway networkmanager:DescribeGlobalNetworks networkmanager:DisassociateConnectPeer networkmanager:DisassociateCustomerGateway networkmanager:DisassociateLink networkmanager:DisassociateTransitGatewayConnectPeer networkmanager:ExecuteCoreNetworkChangeSet networkmanager:GetConnectAttachment networkmanager:GetConnectPeer networkmanager:GetConnectPeerAssociations networkmanager:GetConnections networkmanager:GetCoreNetwork networkmanager:GetCoreNetworkChangeEvents networkmanager:GetCoreNetworkChangeSet networkmanager:GetCoreNetworkPolicy networkmanager:GetCustomerGatewayAssociations networkmanager:GetDevices networkmanager:GetLinkAssociations networkmanager:GetLinks networkmanager:GetNetworkResourceCounts networkmanager:GetNetworkResourceRelationships networkmanager:GetNetworkResources networkmanager:GetNetworkRoutes networkmanager:GetNetworkTelemetry networkmanager:GetResourcePolicy networkmanager:GetRouteAnalysis networkmanager:GetSiteToSiteVpnAttachment networkmanager:GetSites networkmanager:GetTransitGatewayConnectPeerAssociations networkmanager:GetTransitGatewayPeering networkmanager:GetTransitGatewayRegistrations networkmanager:GetTransitGatewayRouteTableAttachment networkmanager:GetVpcAttachment networkmanager:ListAttachmentRoutingPolicyAssociations networkmanager:ListAttachments networkmanager:ListConnectPeers networkmanager:ListCoreNetworkPolicyVersions networkmanager:ListCoreNetworkPrefixListAssociations networkmanager:ListCoreNetworkRoutingInformation networkmanager:ListCoreNetworks networkmanager:ListOrganizationServiceAccessStatus networkmanager:ListPeerings networkmanager:PutAttachmentRoutingPolicyLabel networkmanager:PutCoreNetworkPolicy networkmanager:PutResourcePolicy networkmanager:RegisterTransitGateway networkmanager:RejectAttachment networkmanager:RemoveAttachmentRoutingPolicyLabel networkmanager:RestoreCoreNetworkPolicyVersion networkmanager:StartOrganizationServiceAccessUpdate networkmanager:StartRouteAnalysis networkmanager:UpdateConnection networkmanager:UpdateCoreNetwork networkmanager:UpdateDevice networkmanager:UpdateDirectConnectGatewayAttachment networkmanager:UpdateGlobalNetwork networkmanager:UpdateLink networkmanager:UpdateNetworkResourceMetadata networkmanager:UpdateSite networkmanager:UpdateVpcAttachment  | 
| nimble |  nimble:AcceptEulas nimble:CreateLaunchProfile nimble:CreateStreamingImage nimble:CreateStreamingSession nimble:CreateStreamingSessionStream nimble:CreateStudio nimble:CreateStudioComponent nimble:DeleteLaunchProfile nimble:DeleteLaunchProfileMember nimble:DeleteStreamingImage nimble:DeleteStreamingSession nimble:DeleteStudio nimble:DeleteStudioComponent nimble:DeleteStudioMember nimble:GetEula nimble:GetLaunchProfileDetails nimble:GetStreamingImage nimble:GetStreamingSession nimble:GetStreamingSessionBackup nimble:GetStreamingSessionStream nimble:GetStudio nimble:GetStudioComponent nimble:GetStudioMember nimble:ListEulas nimble:ListLaunchProfileMembers nimble:ListLaunchProfiles nimble:ListStreamingImages nimble:ListStreamingSessionBackups nimble:ListStreamingSessions nimble:ListStudioComponents nimble:ListStudioMembers nimble:ListStudios nimble:PutLaunchProfileMembers nimble:PutStudioMembers nimble:StartStreamingSession nimble:StartStudioSSOConfigurationRepair nimble:StopStreamingSession nimble:UpdateLaunchProfile nimble:UpdateLaunchProfileMember nimble:UpdateStreamingImage nimble:UpdateStudio nimble:UpdateStudioComponent  | 
| omics |  omics:AbortMultipartReadSetUpload omics:AcceptShare omics:BatchDeleteReadSet omics:CancelAnnotationImportJob omics:CancelRun omics:CancelVariantImportJob omics:CompleteMultipartReadSetUpload omics:CreateAnnotationStore omics:CreateAnnotationStoreVersion omics:CreateMultipartReadSetUpload omics:CreateReferenceStore omics:CreateRunGroup omics:CreateSequenceStore omics:CreateShare omics:CreateVariantStore omics:CreateWorkflow omics:CreateWorkflowVersion omics:DeleteAnnotationStore omics:DeleteAnnotationStoreVersions omics:DeleteReference omics:DeleteReferenceStore omics:DeleteRun omics:DeleteRunGroup omics:DeleteSequenceStore omics:DeleteShare omics:DeleteVariantStore omics:DeleteWorkflow omics:DeleteWorkflowVersion omics:GetAnnotationImportJob omics:GetAnnotationStore omics:GetAnnotationStoreVersion omics:GetReadSet omics:GetReadSetActivationJob omics:GetReadSetExportJob omics:GetReadSetImportJob omics:GetReadSetMetadata omics:GetReference omics:GetReferenceImportJob omics:GetReferenceMetadata omics:GetReferenceStore omics:GetRun omics:GetRunGroup omics:GetRunTask omics:GetSequenceStore omics:GetShare omics:GetVariantImportJob omics:GetVariantStore omics:GetWorkflow omics:GetWorkflowVersion omics:ListAnnotationImportJobs omics:ListAnnotationStoreVersions omics:ListAnnotationStores omics:ListMultipartReadSetUploads omics:ListReadSetActivationJobs omics:ListReadSetExportJobs omics:ListReadSetImportJobs omics:ListReadSetUploadParts omics:ListReadSets omics:ListReferenceImportJobs omics:ListReferenceStores omics:ListReferences omics:ListRunGroups omics:ListRunTasks omics:ListRuns omics:ListSequenceStores omics:ListShares omics:ListVariantImportJobs omics:ListVariantStores omics:ListWorkflowVersions omics:ListWorkflows omics:StartAnnotationImportJob omics:StartReadSetActivationJob omics:StartReadSetExportJob omics:StartReadSetImportJob omics:StartReferenceImportJob omics:StartRun omics:StartVariantImportJob omics:UpdateAnnotationStore omics:UpdateAnnotationStoreVersion omics:UpdateRunGroup omics:UpdateVariantStore omics:UpdateWorkflow omics:UpdateWorkflowVersion omics:UploadReadSetPart  | 
| opsworks |  opsworks:AssignInstance opsworks:AssignVolume opsworks:AssociateElasticIp opsworks:AttachElasticLoadBalancer opsworks:CloneStack opsworks:CreateApp opsworks:CreateDeployment opsworks:CreateInstance opsworks:CreateLayer opsworks:CreateStack opsworks:CreateUserProfile opsworks:DeleteApp opsworks:DeleteInstance opsworks:DeleteLayer opsworks:DeleteStack opsworks:DeleteUserProfile opsworks:DeregisterEcsCluster opsworks:DeregisterElasticIp opsworks:DeregisterInstance opsworks:DeregisterRdsDbInstance opsworks:DeregisterVolume opsworks:DescribeAgentVersions opsworks:DescribeApps opsworks:DescribeCommands opsworks:DescribeDeployments opsworks:DescribeEcsClusters opsworks:DescribeElasticIps opsworks:DescribeElasticLoadBalancers opsworks:DescribeInstances opsworks:DescribeLayers opsworks:DescribeLoadBasedAutoScaling opsworks:DescribeMyUserProfile opsworks:DescribeOperatingSystems opsworks:DescribePermissions opsworks:DescribeRaidArrays opsworks:DescribeRdsDbInstances opsworks:DescribeServiceErrors opsworks:DescribeStackProvisioningParameters opsworks:DescribeStackSummary opsworks:DescribeStacks opsworks:DescribeTimeBasedAutoScaling opsworks:DescribeUserProfiles opsworks:DescribeVolumes opsworks:DetachElasticLoadBalancer opsworks:DisassociateElasticIp opsworks:GetHostnameSuggestion opsworks:GrantAccess opsworks:RebootInstance opsworks:RegisterEcsCluster opsworks:RegisterElasticIp opsworks:RegisterInstance opsworks:RegisterRdsDbInstance opsworks:RegisterVolume opsworks:SetLoadBasedAutoScaling opsworks:SetPermission opsworks:SetTimeBasedAutoScaling opsworks:StartInstance opsworks:StartStack opsworks:StopInstance opsworks:StopStack opsworks:UnassignInstance opsworks:UnassignVolume opsworks:UpdateApp opsworks:UpdateElasticIp opsworks:UpdateInstance opsworks:UpdateLayer opsworks:UpdateMyUserProfile opsworks:UpdateRdsDbInstance opsworks:UpdateStack opsworks:UpdateUserProfile opsworks:UpdateVolume  | 
| opsworks-cm |  opsworks-cm:AssociateNode opsworks-cm:CreateBackup opsworks-cm:CreateServer opsworks-cm:DeleteBackup opsworks-cm:DeleteServer opsworks-cm:DescribeAccountAttributes opsworks-cm:DescribeBackups opsworks-cm:DescribeEvents opsworks-cm:DescribeNodeAssociationStatus opsworks-cm:DescribeServers opsworks-cm:DisassociateNode opsworks-cm:ExportServerEngineAttribute opsworks-cm:RestoreServer opsworks-cm:StartMaintenance opsworks-cm:UpdateServer opsworks-cm:UpdateServerEngineAttributes  | 
| organizaciones |  organizations:AcceptHandshake organizations:AttachPolicy organizations:CancelHandshake organizations:CloseAccount organizations:CreateAccount organizations:CreateGovCloudAccount organizations:CreateOrganization organizations:CreateOrganizationalUnit organizations:CreatePolicy organizations:DeclineHandshake organizations:DeleteOrganization organizations:DeleteOrganizationalUnit organizations:DeletePolicy organizations:DeleteResourcePolicy organizations:DeregisterDelegatedAdministrator organizations:DescribeAccount organizations:DescribeCreateAccountStatus organizations:DescribeEffectivePolicy organizations:DescribeHandshake organizations:DescribeOrganization organizations:DescribeOrganizationalUnit organizations:DescribePolicy organizations:DescribeResourcePolicy organizations:DescribeResponsibilityTransfer organizations:DetachPolicy organizations:DisableAWSServiceAccess organizations:DisablePolicyType organizations:EnableAWSServiceAccess organizations:EnableAllFeatures organizations:EnablePolicyType organizations:InviteAccountToOrganization organizations:LeaveOrganization organizations:ListAWSServiceAccessForOrganization organizations:ListAccounts organizations:ListAccountsForParent organizations:ListAccountsWithInvalidEffectivePolicy organizations:ListChildren organizations:ListCreateAccountStatus organizations:ListDelegatedAdministrators organizations:ListDelegatedServicesForAccount organizations:ListHandshakesForAccount organizations:ListHandshakesForOrganization organizations:ListInboundResponsibilityTransfers organizations:ListOrganizationalUnitsForParent organizations:ListOutboundResponsibilityTransfers organizations:ListParents organizations:ListPolicies organizations:ListPoliciesForTarget organizations:ListRoots organizations:ListTargetsForPolicy organizations:MoveAccount organizations:PutResourcePolicy organizations:RegisterDelegatedAdministrator organizations:RemoveAccountFromOrganization organizations:TerminateResponsibilityTransfer organizations:UpdateOrganizationalUnit organizations:UpdatePolicy organizations:UpdateResponsibilityTransfer  | 
| outposts |  outposts:CancelCapacityTask outposts:CancelOrder outposts:CreateOrder outposts:CreateOutpost outposts:CreatePrivateConnectivityConfig outposts:CreateSite outposts:DeleteOutpost outposts:DeleteSite outposts:GetCapacityTask outposts:GetCatalogItem outposts:GetConnection outposts:GetOrder outposts:GetOutpost outposts:GetOutpostBillingInformation outposts:GetOutpostInstanceTypes outposts:GetOutpostSupportedInstanceTypes outposts:GetPrivateConnectivityConfig outposts:GetSite outposts:GetSiteAddress outposts:ListAssetInstances outposts:ListAssets outposts:ListBlockingInstancesForCapacityTask outposts:ListCapacityTasks outposts:ListCatalogItems outposts:ListOrders outposts:ListOutposts outposts:ListSites outposts:StartCapacityTask outposts:StartConnection outposts:UpdateOutpost outposts:UpdateSite outposts:UpdateSiteAddress outposts:UpdateSiteRackPhysicalProperties  | 
| panorama |  panorama:CreateApplicationInstance panorama:CreateJobForDevices panorama:CreateNodeFromTemplateJob panorama:CreatePackage panorama:CreatePackageImportJob panorama:DeleteDevice panorama:DeletePackage panorama:DeregisterPackageVersion panorama:DescribeApplicationInstance panorama:DescribeApplicationInstanceDetails panorama:DescribeDevice panorama:DescribeDeviceJob panorama:DescribeNode panorama:DescribeNodeFromTemplateJob panorama:DescribePackage panorama:DescribePackageImportJob panorama:DescribePackageVersion panorama:ListApplicationInstanceDependencies panorama:ListApplicationInstanceNodeInstances panorama:ListApplicationInstances panorama:ListDevices panorama:ListDevicesJobs panorama:ListNodeFromTemplateJobs panorama:ListNodes panorama:ListPackageImportJobs panorama:ListPackages panorama:ProvisionDevice panorama:RegisterPackageVersion panorama:RemoveApplicationInstance panorama:SignalApplicationInstanceNodeInstances panorama:UpdateDeviceMetadata  | 
| pi |  pi:CreatePerformanceAnalysisReport pi:DeletePerformanceAnalysisReport pi:DescribeDimensionKeys pi:GetDimensionKeyDetails pi:GetPerformanceAnalysisReport pi:GetResourceMetadata pi:GetResourceMetrics pi:ListAvailableResourceDimensions pi:ListAvailableResourceMetrics pi:ListPerformanceAnalysisReports  | 
| pipes |  pipes:CreatePipe pipes:DeletePipe pipes:DescribePipe pipes:ListPipes pipes:StartPipe pipes:StopPipe pipes:UpdatePipe  | 
| polly |  polly:DeleteLexicon polly:DescribeVoices polly:GetLexicon polly:GetSpeechSynthesisTask polly:ListLexicons polly:ListSpeechSynthesisTasks polly:PutLexicon polly:StartSpeechSynthesisTask polly:SynthesizeSpeech  | 
| profile |  profile:AddProfileKey profile:BatchGetCalculatedAttributeForProfile profile:BatchGetProfile profile:CreateCalculatedAttributeDefinition profile:CreateDomain profile:CreateEventStream profile:CreateProfile profile:CreateRecommender profile:CreateSegmentDefinition profile:CreateSegmentEstimate profile:CreateSegmentSnapshot profile:CreateUploadJob profile:DeleteCalculatedAttributeDefinition profile:DeleteDomain profile:DeleteDomainObjectType profile:DeleteEventStream profile:DeleteIntegration profile:DeleteProfile profile:DeleteProfileKey profile:DeleteProfileObject profile:DeleteProfileObjectType profile:DeleteRecommender profile:DeleteSegmentDefinition profile:DeleteWorkflow profile:DetectProfileObjectType profile:GetAutoMergingPreview profile:GetCalculatedAttributeDefinition profile:GetCalculatedAttributeForProfile profile:GetDomain profile:GetDomainObjectType profile:GetEventStream profile:GetIdentityResolutionJob profile:GetIntegration profile:GetMatches profile:GetObjectTypeAttributeStatistics profile:GetProfileObjectType profile:GetProfileObjectTypeTemplate profile:GetProfileRecommendations profile:GetRecommender profile:GetSegmentDefinition profile:GetSegmentEstimate profile:GetSegmentMembership profile:GetSegmentSnapshot profile:GetSimilarProfiles profile:GetUploadJob profile:GetUploadJobPath profile:GetWorkflow profile:GetWorkflowSteps profile:ListAccountIntegrations profile:ListCalculatedAttributeDefinitions profile:ListCalculatedAttributesForProfile profile:ListDomainLayouts profile:ListDomainObjectTypes profile:ListDomains profile:ListEventStreams profile:ListIdentityResolutionJobs profile:ListIntegrations profile:ListObjectTypeAttributeValues profile:ListObjectTypeAttributes profile:ListProfileAttributeValues profile:ListProfileObjectTypeTemplates profile:ListProfileObjectTypes profile:ListProfileObjects profile:ListRecommenderRecipes profile:ListRecommenders profile:ListRuleBasedMatches profile:ListSegmentDefinitions profile:ListUploadJobs profile:ListWorkflows profile:MergeProfiles profile:PutDomainObjectType profile:PutIntegration profile:PutProfileObject profile:PutProfileObjectType profile:SearchProfiles profile:StartRecommender profile:StartUploadJob profile:StopRecommender profile:StopUploadJob profile:UpdateCalculatedAttributeDefinition profile:UpdateDomain profile:UpdateProfile profile:UpdateRecommender  | 
| qldb |  qldb:CancelJournalKinesisStream qldb:CreateLedger qldb:DeleteLedger qldb:DescribeJournalKinesisStream qldb:DescribeJournalS3Export qldb:DescribeLedger qldb:ExportJournalToS3 qldb:GetBlock qldb:GetDigest qldb:GetRevision qldb:ListJournalKinesisStreamsForLedger qldb:ListJournalS3Exports qldb:ListJournalS3ExportsForLedger qldb:ListLedgers qldb:StreamJournalToKinesis qldb:UpdateLedger qldb:UpdateLedgerPermissionsMode  | 
| ram |  ram:AcceptResourceShareInvitation ram:AssociateResourceShare ram:AssociateResourceSharePermission ram:CreatePermission ram:CreatePermissionVersion ram:CreateResourceShare ram:DeletePermission ram:DeletePermissionVersion ram:DeleteResourceShare ram:DisassociateResourceShare ram:DisassociateResourceSharePermission ram:EnableSharingWithAwsOrganization ram:GetPermission ram:GetResourcePolicies ram:GetResourceShareAssociations ram:GetResourceShareInvitations ram:GetResourceShares ram:ListPendingInvitationResources ram:ListPermissionAssociations ram:ListPermissionVersions ram:ListPermissions ram:ListPrincipals ram:ListReplacePermissionAssociationsWork ram:ListResourceSharePermissions ram:ListResourceTypes ram:ListResources ram:PromotePermissionCreatedFromPolicy ram:PromoteResourceShareCreatedFromPolicy ram:RejectResourceShareInvitation ram:ReplacePermissionAssociations ram:SetDefaultPermissionVersion ram:UpdateResourceShare  | 
| rbin |  rbin:CreateRule rbin:DeleteRule rbin:GetRule rbin:ListRules rbin:LockRule rbin:UnlockRule rbin:UpdateRule  | 
| rds |  rds:AddRoleToDBCluster rds:AddRoleToDBInstance rds:AddSourceIdentifierToSubscription rds:ApplyPendingMaintenanceAction rds:AuthorizeDBSecurityGroupIngress rds:BacktrackDBCluster rds:CancelExportTask rds:CopyDBClusterParameterGroup rds:CopyDBClusterSnapshot rds:CopyDBParameterGroup rds:CopyDBSnapshot rds:CopyOptionGroup rds:CreateCustomDBEngineVersion rds:CreateDBClusterParameterGroup rds:CreateDBParameterGroup rds:CreateDBProxy rds:CreateDBProxyEndpoint rds:CreateDBSecurityGroup rds:CreateDBSubnetGroup rds:CreateEventSubscription rds:CreateGlobalCluster rds:CreateOptionGroup rds:DeleteBlueGreenDeployment rds:DeleteDBClusterAutomatedBackup rds:DeleteDBClusterParameterGroup rds:DeleteDBClusterSnapshot rds:DeleteDBInstanceAutomatedBackup rds:DeleteDBParameterGroup rds:DeleteDBProxy rds:DeleteDBProxyEndpoint rds:DeleteDBSecurityGroup rds:DeleteDBSnapshot rds:DeleteDBSubnetGroup rds:DeleteEventSubscription rds:DeleteGlobalCluster rds:DeleteOptionGroup rds:DeregisterDBProxyTargets rds:DescribeAccountAttributes rds:DescribeBlueGreenDeployments rds:DescribeCertificates rds:DescribeDBClusterAutomatedBackups rds:DescribeDBClusterBacktracks rds:DescribeDBClusterEndpoints rds:DescribeDBClusterParameterGroups rds:DescribeDBClusterParameters rds:DescribeDBClusterSnapshotAttributes rds:DescribeDBClusterSnapshots rds:DescribeDBClusters rds:DescribeDBEngineVersions rds:DescribeDBInstanceAutomatedBackups rds:DescribeDBInstances rds:DescribeDBLogFiles rds:DescribeDBMajorEngineVersions rds:DescribeDBParameterGroups rds:DescribeDBParameters rds:DescribeDBProxies rds:DescribeDBProxyEndpoints rds:DescribeDBProxyTargetGroups rds:DescribeDBProxyTargets rds:DescribeDBRecommendations rds:DescribeDBSecurityGroups rds:DescribeDBSnapshotAttributes rds:DescribeDbSnapshotTenantDatabases rds:DescribeDBSnapshots rds:DescribeDBSubnetGroups rds:DescribeEngineDefaultClusterParameters rds:DescribeEngineDefaultParameters rds:DescribeEventCategories rds:DescribeEventSubscriptions rds:DescribeEvents rds:DescribeExportTasks rds:DescribeGlobalClusters rds:DescribeIntegrations rds:DescribeOptionGroupOptions rds:DescribeOptionGroups rds:DescribeOrderableDBInstanceOptions rds:DescribePendingMaintenanceActions rds:DescribeReservedDBInstances rds:DescribeReservedDBInstancesOfferings rds:DescribeSourceRegions rds:DescribeTenantDatabases rds:DescribeValidDBInstanceModifications rds:DownloadCompleteDBLogFile rds:DownloadDBLogFilePortion rds:FailoverDBCluster rds:FailoverGlobalCluster rds:ModifyActivityStream rds:ModifyCertificates rds:ModifyCurrentDBClusterCapacity rds:ModifyDBClusterEndpoint rds:ModifyDBClusterParameterGroup rds:ModifyDBClusterSnapshotAttribute rds:ModifyDBParameterGroup rds:ModifyDBProxy rds:ModifyDBProxyEndpoint rds:ModifyDBProxyTargetGroup rds:ModifyDBRecommendation rds:ModifyDBSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBSubnetGroup rds:ModifyEventSubscription rds:ModifyGlobalCluster rds:ModifyOptionGroup rds:ModifyTenantDatabase rds:PurchaseReservedDBInstancesOffering rds:RebootDBCluster rds:RegisterDBProxyTargets rds:RemoveFromGlobalCluster rds:RemoveRoleFromDBCluster rds:RemoveRoleFromDBInstance rds:RemoveSourceIdentifierFromSubscription rds:ResetDBClusterParameterGroup rds:ResetDBParameterGroup rds:RestoreDBClusterFromS3 rds:RestoreDBClusterFromSnapshot rds:RestoreDBClusterToPointInTime rds:RestoreDBInstanceFromDBSnapshot rds:RestoreDBInstanceFromS3 rds:RestoreDBInstanceToPointInTime rds:RevokeDBSecurityGroupIngress rds:StartActivityStream rds:StartDBCluster rds:StartDBInstance rds:StartDBInstanceAutomatedBackupsReplication rds:StartExportTask rds:StopActivityStream rds:StopDBCluster rds:StopDBInstance rds:StopDBInstanceAutomatedBackupsReplication rds:SwitchoverBlueGreenDeployment rds:SwitchoverGlobalCluster rds:SwitchoverReadReplica  | 
| redshift |  redshift:AcceptReservedNodeExchange redshift:AddPartner redshift:AssociateDataShareConsumer redshift:AuthorizeClusterSecurityGroupIngress redshift:AuthorizeDataShare redshift:AuthorizeEndpointAccess redshift:AuthorizeSnapshotAccess redshift:BatchDeleteClusterSnapshots redshift:BatchModifyClusterSnapshots redshift:CancelQuery redshift:CancelResize redshift:CopyClusterSnapshot redshift:CreateAuthenticationProfile redshift:CreateCluster redshift:CreateClusterParameterGroup redshift:CreateClusterSecurityGroup redshift:CreateClusterSnapshot redshift:CreateClusterSubnetGroup redshift:CreateCustomDomainAssociation redshift:CreateEndpointAccess redshift:CreateEventSubscription redshift:CreateHsmClientCertificate redshift:CreateHsmConfiguration redshift:CreateIntegration redshift:CreateRedshiftIdcApplication redshift:CreateScheduledAction redshift:CreateSnapshotCopyGrant redshift:CreateSnapshotSchedule redshift:CreateUsageLimit redshift:DeauthorizeDataShare redshift:DeleteAuthenticationProfile redshift:DeleteCluster redshift:DeleteClusterParameterGroup redshift:DeleteClusterSecurityGroup redshift:DeleteClusterSnapshot redshift:DeleteClusterSubnetGroup redshift:DeleteCustomDomainAssociation redshift:DeleteEndpointAccess redshift:DeleteEventSubscription redshift:DeleteHsmClientCertificate redshift:DeleteHsmConfiguration redshift:DeletePartner redshift:DeleteRedshiftIdcApplication redshift:DeleteResourcePolicy redshift:DeleteScheduledAction redshift:DeleteSnapshotCopyGrant redshift:DeleteSnapshotSchedule redshift:DeleteUsageLimit redshift:DeregisterNamespace redshift:DescribeAccountAttributes redshift:DescribeAuthenticationProfiles redshift:DescribeClusterDbRevisions redshift:DescribeClusterParameterGroups redshift:DescribeClusterParameters redshift:DescribeClusterSecurityGroups redshift:DescribeClusterSnapshots redshift:DescribeClusterSubnetGroups redshift:DescribeClusterTracks redshift:DescribeClusterVersions redshift:DescribeClusters redshift:DescribeCustomDomainAssociations redshift:DescribeDataShares redshift:DescribeDataSharesForConsumer redshift:DescribeDataSharesForProducer redshift:DescribeDefaultClusterParameters redshift:DescribeEndpointAccess redshift:DescribeEndpointAuthorization redshift:DescribeEventCategories redshift:DescribeEventSubscriptions redshift:DescribeEvents redshift:DescribeHsmClientCertificates redshift:DescribeHsmConfigurations redshift:DescribeInboundIntegrations redshift:DescribeIntegrations redshift:DescribeLoggingStatus redshift:DescribeNodeConfigurationOptions redshift:DescribeOrderableClusterOptions redshift:DescribePartners redshift:DescribeRedshiftIdcApplications redshift:DescribeReservedNodeExchangeStatus redshift:DescribeReservedNodeOfferings redshift:DescribeReservedNodes redshift:DescribeResize redshift:DescribeScheduledActions redshift:DescribeSnapshotCopyGrants redshift:DescribeSnapshotSchedules redshift:DescribeStorage redshift:DescribeTableRestoreStatus redshift:DescribeUsageLimits redshift:DisableLogging redshift:DisableSnapshotCopy redshift:DisassociateDataShareConsumer redshift:EnableLogging redshift:EnableSnapshotCopy redshift:FailoverPrimaryCompute redshift:GetClusterCredentials redshift:GetClusterCredentialsWithIAM redshift:GetIdentityCenterAuthToken redshift:GetReservedNodeExchangeConfigurationOptions redshift:GetReservedNodeExchangeOfferings redshift:GetResourcePolicy redshift:ListRecommendations redshift:ModifyAquaConfiguration redshift:ModifyAuthenticationProfile redshift:ModifyCluster redshift:ModifyClusterDbRevision redshift:ModifyClusterIamRoles redshift:ModifyClusterMaintenance redshift:ModifyClusterParameterGroup redshift:ModifyClusterSnapshot redshift:ModifyClusterSnapshotSchedule redshift:ModifyClusterSubnetGroup redshift:ModifyCustomDomainAssociation redshift:ModifyEndpointAccess redshift:ModifyEventSubscription redshift:ModifyRedshiftIdcApplication redshift:ModifyScheduledAction redshift:ModifySnapshotCopyRetentionPeriod redshift:ModifySnapshotSchedule redshift:ModifyUsageLimit redshift:PauseCluster redshift:PurchaseReservedNodeOffering redshift:PutResourcePolicy redshift:RebootCluster redshift:RegisterNamespace redshift:RejectDataShare redshift:ResetClusterParameterGroup redshift:ResizeCluster redshift:RestoreFromClusterSnapshot redshift:RestoreTableFromClusterSnapshot redshift:ResumeCluster redshift:RevokeClusterSecurityGroupIngress redshift:RevokeEndpointAccess redshift:RevokeSnapshotAccess redshift:RotateEncryptionKey redshift:UpdatePartnerStatus  | 
| redshift-data |  redshift-data:BatchExecuteStatement redshift-data:CancelStatement redshift-data:DescribeStatement redshift-data:DescribeTable redshift-data:ExecuteStatement redshift-data:GetStatementResult redshift-data:ListDatabases redshift-data:ListSchemas redshift-data:ListStatements redshift-data:ListTables  | 
| refactor-spaces |  refactor-spaces:CreateApplication refactor-spaces:CreateEnvironment refactor-spaces:CreateRoute refactor-spaces:CreateService refactor-spaces:DeleteApplication refactor-spaces:DeleteEnvironment refactor-spaces:DeleteResourcePolicy refactor-spaces:DeleteRoute refactor-spaces:DeleteService refactor-spaces:GetApplication refactor-spaces:GetEnvironment refactor-spaces:GetResourcePolicy refactor-spaces:GetRoute refactor-spaces:GetService refactor-spaces:ListApplications refactor-spaces:ListEnvironmentVpcs refactor-spaces:ListEnvironments refactor-spaces:ListRoutes refactor-spaces:ListServices refactor-spaces:PutResourcePolicy refactor-spaces:UpdateRoute  | 
| rekognition |  rekognition:AssociateFaces rekognition:CompareFaces rekognition:CopyProjectVersion rekognition:CreateCollection rekognition:CreateDataset rekognition:CreateFaceLivenessSession rekognition:CreateProject rekognition:CreateProjectVersion rekognition:CreateStreamProcessor rekognition:CreateUser rekognition:DeleteCollection rekognition:DeleteDataset rekognition:DeleteFaces rekognition:DeleteProject rekognition:DeleteProjectPolicy rekognition:DeleteProjectVersion rekognition:DeleteStreamProcessor rekognition:DeleteUser rekognition:DescribeCollection rekognition:DescribeDataset rekognition:DescribeProjectVersions rekognition:DescribeProjects rekognition:DescribeStreamProcessor rekognition:DetectCustomLabels rekognition:DetectFaces rekognition:DetectLabels rekognition:DetectModerationLabels rekognition:DetectProtectiveEquipment rekognition:DetectText rekognition:DisassociateFaces rekognition:DistributeDatasetEntries rekognition:GetCelebrityInfo rekognition:GetCelebrityRecognition rekognition:GetContentModeration rekognition:GetFaceDetection rekognition:GetFaceLivenessSessionResults rekognition:GetFaceSearch rekognition:GetLabelDetection rekognition:GetMediaAnalysisJob rekognition:GetPersonTracking rekognition:GetSegmentDetection rekognition:GetTextDetection rekognition:IndexFaces rekognition:ListCollections rekognition:ListDatasetEntries rekognition:ListDatasetLabels rekognition:ListFaces rekognition:ListMediaAnalysisJobs rekognition:ListProjectPolicies rekognition:ListStreamProcessors rekognition:ListUsers rekognition:PutProjectPolicy rekognition:RecognizeCelebrities rekognition:SearchFaces rekognition:SearchFacesByImage rekognition:SearchUsers rekognition:SearchUsersByImage rekognition:StartCelebrityRecognition rekognition:StartContentModeration rekognition:StartFaceDetection rekognition:StartFaceLivenessSession rekognition:StartFaceSearch rekognition:StartLabelDetection rekognition:StartMediaAnalysisJob rekognition:StartPersonTracking rekognition:StartProjectVersion rekognition:StartSegmentDetection rekognition:StartStreamProcessor rekognition:StartTextDetection rekognition:StopProjectVersion rekognition:StopStreamProcessor rekognition:UpdateDatasetEntries rekognition:UpdateStreamProcessor  | 
| resiliencehub |  resiliencehub:AcceptResourceGroupingRecommendations resiliencehub:AddDraftAppVersionResourceMappings resiliencehub:BatchUpdateRecommendationStatus resiliencehub:CreateApp resiliencehub:CreateAppVersionAppComponent resiliencehub:CreateAppVersionResource resiliencehub:CreateRecommendationTemplate resiliencehub:CreateResiliencyPolicy resiliencehub:DeleteApp resiliencehub:DeleteAppAssessment resiliencehub:DeleteAppInputSource resiliencehub:DeleteAppVersionAppComponent resiliencehub:DeleteAppVersionResource resiliencehub:DeleteRecommendationTemplate resiliencehub:DeleteResiliencyPolicy resiliencehub:DescribeApp resiliencehub:DescribeAppAssessment resiliencehub:DescribeAppVersion resiliencehub:DescribeAppVersionAppComponent resiliencehub:DescribeAppVersionResource resiliencehub:DescribeAppVersionResourcesResolutionStatus resiliencehub:DescribeAppVersionTemplate resiliencehub:DescribeDraftAppVersionResourcesImportStatus resiliencehub:DescribeMetricsExport resiliencehub:DescribeResiliencyPolicy resiliencehub:DescribeResourceGroupingRecommendationTask resiliencehub:ImportResourcesToDraftAppVersion resiliencehub:ListAlarmRecommendations resiliencehub:ListAppAssessmentComplianceDrifts resiliencehub:ListAppAssessmentResourceDrifts resiliencehub:ListAppAssessments resiliencehub:ListAppComponentCompliances resiliencehub:ListAppComponentRecommendations resiliencehub:ListAppInputSources resiliencehub:ListAppVersionAppComponents resiliencehub:ListAppVersionResourceMappings resiliencehub:ListAppVersionResources resiliencehub:ListAppVersions resiliencehub:ListApps resiliencehub:ListMetrics resiliencehub:ListRecommendationTemplates resiliencehub:ListResiliencyPolicies resiliencehub:ListResourceGroupingRecommendations resiliencehub:ListSopRecommendations resiliencehub:ListSuggestedResiliencyPolicies resiliencehub:ListTestRecommendations resiliencehub:ListUnsupportedAppVersionResources resiliencehub:PublishAppVersion resiliencehub:PutDraftAppVersionTemplate resiliencehub:RejectResourceGroupingRecommendations resiliencehub:RemoveDraftAppVersionResourceMappings resiliencehub:ResolveAppVersionResources resiliencehub:StartAppAssessment resiliencehub:StartResourceGroupingRecommendationTask resiliencehub:UpdateApp resiliencehub:UpdateAppVersion resiliencehub:UpdateAppVersionAppComponent resiliencehub:UpdateAppVersionResource resiliencehub:UpdateResiliencyPolicy  | 
| resource-explorer-2 |  resource-explorer-2:AssociateDefaultView resource-explorer-2:BatchGetView resource-explorer-2:CreateIndex resource-explorer-2:CreateResourceExplorerSetup resource-explorer-2:CreateView resource-explorer-2:DeleteIndex resource-explorer-2:DeleteResourceExplorerSetup resource-explorer-2:DeleteView resource-explorer-2:DisassociateDefaultView resource-explorer-2:GetAccountLevelServiceConfiguration resource-explorer-2:GetDefaultView resource-explorer-2:GetIndex resource-explorer-2:GetManagedView resource-explorer-2:GetResourceExplorerSetup resource-explorer-2:GetServiceIndex resource-explorer-2:GetServiceView resource-explorer-2:ListIndexes resource-explorer-2:ListIndexesForMembers resource-explorer-2:ListManagedViews resource-explorer-2:ListServiceIndexes resource-explorer-2:ListServiceViews resource-explorer-2:ListStreamingAccessForServices resource-explorer-2:ListSupportedResourceTypes resource-explorer-2:ListViews resource-explorer-2:Search resource-explorer-2:UpdateIndexType resource-explorer-2:UpdateView  | 
| resource-groups |  resource-groups:CancelTagSyncTask resource-groups:GetAccountSettings resource-groups:GetGroup resource-groups:GetGroupConfiguration resource-groups:GetGroupQuery resource-groups:GetTagSyncTask resource-groups:GroupResources resource-groups:ListGroupResources resource-groups:ListGroupingStatuses resource-groups:ListGroups resource-groups:ListTagSyncTasks resource-groups:PutGroupConfiguration resource-groups:SearchResources resource-groups:StartTagSyncTask resource-groups:UngroupResources resource-groups:UpdateAccountSettings resource-groups:UpdateGroup resource-groups:UpdateGroupQuery  | 
| robomaker |  robomaker:BatchDeleteWorlds robomaker:BatchDescribeSimulationJob robomaker:CancelDeploymentJob robomaker:CancelSimulationJob robomaker:CancelSimulationJobBatch robomaker:CancelWorldExportJob robomaker:CancelWorldGenerationJob robomaker:CreateDeploymentJob robomaker:CreateFleet robomaker:CreateRobot robomaker:CreateRobotApplication robomaker:CreateRobotApplicationVersion robomaker:CreateSimulationApplication robomaker:CreateSimulationApplicationVersion robomaker:CreateSimulationJob robomaker:CreateWorldExportJob robomaker:CreateWorldGenerationJob robomaker:CreateWorldTemplate robomaker:DeleteFleet robomaker:DeleteRobot robomaker:DeleteRobotApplication robomaker:DeleteSimulationApplication robomaker:DeleteWorldTemplate robomaker:DeregisterRobot robomaker:DescribeDeploymentJob robomaker:DescribeFleet robomaker:DescribeRobot robomaker:DescribeRobotApplication robomaker:DescribeSimulationApplication robomaker:DescribeSimulationJob robomaker:DescribeSimulationJobBatch robomaker:DescribeWorld robomaker:DescribeWorldExportJob robomaker:DescribeWorldGenerationJob robomaker:DescribeWorldTemplate robomaker:GetWorldTemplateBody robomaker:ListDeploymentJobs robomaker:ListFleets robomaker:ListRobotApplications robomaker:ListRobots robomaker:ListSimulationApplications robomaker:ListSimulationJobBatches robomaker:ListSimulationJobs robomaker:ListWorldExportJobs robomaker:ListWorldGenerationJobs robomaker:ListWorldTemplates robomaker:ListWorlds robomaker:RegisterRobot robomaker:RestartSimulationJob robomaker:StartSimulationJobBatch robomaker:SyncDeploymentJob robomaker:UpdateRobotApplication robomaker:UpdateSimulationApplication robomaker:UpdateWorldTemplate  | 
| rolesanywhere |  rolesanywhere:CreateProfile rolesanywhere:CreateTrustAnchor rolesanywhere:DeleteAttributeMapping rolesanywhere:DeleteCrl rolesanywhere:DeleteProfile rolesanywhere:DeleteTrustAnchor rolesanywhere:DisableCrl rolesanywhere:DisableProfile rolesanywhere:DisableTrustAnchor rolesanywhere:EnableCrl rolesanywhere:EnableProfile rolesanywhere:EnableTrustAnchor rolesanywhere:GetCrl rolesanywhere:GetProfile rolesanywhere:GetSubject rolesanywhere:GetTrustAnchor rolesanywhere:ImportCrl rolesanywhere:ListCrls rolesanywhere:ListProfiles rolesanywhere:ListSubjects rolesanywhere:ListTrustAnchors rolesanywhere:PutAttributeMapping rolesanywhere:PutNotificationSettings rolesanywhere:ResetNotificationSettings rolesanywhere:UpdateCrl rolesanywhere:UpdateProfile rolesanywhere:UpdateTrustAnchor  | 
| route53 |  route53:ActivateKeySigningKey route53:AssociateVPCWithHostedZone route53:ChangeCidrCollection route53:ChangeResourceRecordSets route53:CreateCidrCollection route53:CreateHealthCheck route53:CreateHostedZone route53:CreateKeySigningKey route53:CreateQueryLoggingConfig route53:CreateReusableDelegationSet route53:CreateTrafficPolicy route53:CreateTrafficPolicyInstance route53:CreateTrafficPolicyVersion route53:CreateVPCAssociationAuthorization route53:DeactivateKeySigningKey route53:DeleteCidrCollection route53:DeleteHealthCheck route53:DeleteHostedZone route53:DeleteKeySigningKey route53:DeleteQueryLoggingConfig route53:DeleteReusableDelegationSet route53:DeleteTrafficPolicy route53:DeleteTrafficPolicyInstance route53:DeleteVPCAssociationAuthorization route53:DisableHostedZoneDNSSEC route53:DisassociateVPCFromHostedZone route53:EnableHostedZoneDNSSEC route53:GetAccountLimit route53:GetChange route53:GetCheckerIpRanges route53:GetDNSSEC route53:GetGeoLocation route53:GetHealthCheck route53:GetHealthCheckCount route53:GetHealthCheckLastFailureReason route53:GetHealthCheckStatus route53:GetHostedZone route53:GetHostedZoneCount route53:GetHostedZoneLimit route53:GetQueryLoggingConfig route53:GetReusableDelegationSet route53:GetReusableDelegationSetLimit route53:GetTrafficPolicy route53:GetTrafficPolicyInstance route53:GetTrafficPolicyInstanceCount route53:ListCidrBlocks route53:ListCidrCollections route53:ListCidrLocations route53:ListGeoLocations route53:ListHealthChecks route53:ListHostedZones route53:ListHostedZonesByName route53:ListHostedZonesByVPC route53:ListQueryLoggingConfigs route53:ListResourceRecordSets route53:ListReusableDelegationSets route53:ListTrafficPolicies route53:ListTrafficPolicyInstances route53:ListTrafficPolicyInstancesByHostedZone route53:ListTrafficPolicyInstancesByPolicy route53:ListTrafficPolicyVersions route53:ListVPCAssociationAuthorizations route53:TestDNSAnswer route53:UpdateHealthCheck route53:UpdateHostedZoneComment route53:UpdateTrafficPolicyComment route53:UpdateTrafficPolicyInstance  | 
| route53-recovery-control-config |  route53-recovery-control-config:CreateCluster route53-recovery-control-config:CreateControlPanel route53-recovery-control-config:CreateRoutingControl route53-recovery-control-config:CreateSafetyRule route53-recovery-control-config:DeleteCluster route53-recovery-control-config:DeleteControlPanel route53-recovery-control-config:DeleteRoutingControl route53-recovery-control-config:DeleteSafetyRule route53-recovery-control-config:DescribeCluster route53-recovery-control-config:DescribeControlPanel route53-recovery-control-config:DescribeRoutingControl route53-recovery-control-config:DescribeSafetyRule route53-recovery-control-config:GetResourcePolicy route53-recovery-control-config:ListAssociatedRoute53HealthChecks route53-recovery-control-config:ListClusters route53-recovery-control-config:ListControlPanels route53-recovery-control-config:ListRoutingControls route53-recovery-control-config:ListSafetyRules route53-recovery-control-config:UpdateCluster route53-recovery-control-config:UpdateControlPanel route53-recovery-control-config:UpdateRoutingControl route53-recovery-control-config:UpdateSafetyRule  | 
| route53-recovery-readiness |  route53-recovery-readiness:CreateCell route53-recovery-readiness:CreateCrossAccountAuthorization route53-recovery-readiness:CreateReadinessCheck route53-recovery-readiness:CreateRecoveryGroup route53-recovery-readiness:CreateResourceSet route53-recovery-readiness:DeleteCell route53-recovery-readiness:DeleteCrossAccountAuthorization route53-recovery-readiness:DeleteReadinessCheck route53-recovery-readiness:DeleteRecoveryGroup route53-recovery-readiness:DeleteResourceSet route53-recovery-readiness:GetArchitectureRecommendations route53-recovery-readiness:GetCell route53-recovery-readiness:GetCellReadinessSummary route53-recovery-readiness:GetReadinessCheck route53-recovery-readiness:GetReadinessCheckResourceStatus route53-recovery-readiness:GetReadinessCheckStatus route53-recovery-readiness:GetRecoveryGroup route53-recovery-readiness:GetRecoveryGroupReadinessSummary route53-recovery-readiness:GetResourceSet route53-recovery-readiness:ListCells route53-recovery-readiness:ListCrossAccountAuthorizations route53-recovery-readiness:ListReadinessChecks route53-recovery-readiness:ListRecoveryGroups route53-recovery-readiness:ListResourceSets route53-recovery-readiness:ListRules route53-recovery-readiness:UpdateCell route53-recovery-readiness:UpdateReadinessCheck route53-recovery-readiness:UpdateRecoveryGroup route53-recovery-readiness:UpdateResourceSet  | 
| route53resolver |  route53resolver:AssociateFirewallRuleGroup route53resolver:AssociateResolverEndpointIpAddress route53resolver:AssociateResolverQueryLogConfig route53resolver:AssociateResolverRule route53resolver:CreateFirewallDomainList route53resolver:CreateFirewallRule route53resolver:CreateFirewallRuleGroup route53resolver:CreateResolverEndpoint route53resolver:CreateResolverQueryLogConfig route53resolver:CreateResolverRule route53resolver:DeleteFirewallDomainList route53resolver:DeleteFirewallRule route53resolver:DeleteFirewallRuleGroup route53resolver:DeleteOutpostResolver route53resolver:DeleteResolverEndpoint route53resolver:DeleteResolverQueryLogConfig route53resolver:DeleteResolverRule route53resolver:DisassociateFirewallRuleGroup route53resolver:DisassociateResolverEndpointIpAddress route53resolver:DisassociateResolverQueryLogConfig route53resolver:DisassociateResolverRule route53resolver:GetFirewallConfig route53resolver:GetFirewallDomainList route53resolver:GetFirewallRuleGroup route53resolver:GetFirewallRuleGroupAssociation route53resolver:GetFirewallRuleGroupPolicy route53resolver:GetOutpostResolver route53resolver:GetResolverConfig route53resolver:GetResolverDnssecConfig route53resolver:GetResolverEndpoint route53resolver:GetResolverQueryLogConfig route53resolver:GetResolverQueryLogConfigAssociation route53resolver:GetResolverQueryLogConfigPolicy route53resolver:GetResolverRule route53resolver:GetResolverRuleAssociation route53resolver:GetResolverRulePolicy route53resolver:ImportFirewallDomains route53resolver:ListFirewallConfigs route53resolver:ListFirewallDomainLists route53resolver:ListFirewallDomains route53resolver:ListFirewallRuleGroupAssociations route53resolver:ListFirewallRuleGroups route53resolver:ListFirewallRules route53resolver:ListOutpostResolvers route53resolver:ListResolverConfigs route53resolver:ListResolverDnssecConfigs route53resolver:ListResolverEndpointIpAddresses route53resolver:ListResolverEndpoints route53resolver:ListResolverQueryLogConfigAssociations route53resolver:ListResolverQueryLogConfigs route53resolver:ListResolverRuleAssociations route53resolver:ListResolverRules route53resolver:PutFirewallRuleGroupPolicy route53resolver:PutResolverQueryLogConfigPolicy route53resolver:UpdateFirewallConfig route53resolver:UpdateFirewallDomains route53resolver:UpdateFirewallRule route53resolver:UpdateFirewallRuleGroupAssociation route53resolver:UpdateOutpostResolver route53resolver:UpdateResolverConfig route53resolver:UpdateResolverDnssecConfig route53resolver:UpdateResolverEndpoint route53resolver:UpdateResolverRule  | 
| rum |  rum:BatchCreateRumMetricDefinitions rum:BatchDeleteRumMetricDefinitions rum:BatchGetRumMetricDefinitions rum:CreateAppMonitor rum:DeleteAppMonitor rum:DeleteResourcePolicy rum:DeleteRumMetricsDestination rum:GetAppMonitor rum:GetAppMonitorData rum:GetResourcePolicy rum:ListAppMonitors rum:ListRumMetricsDestinations rum:PutResourcePolicy rum:PutRumMetricsDestination rum:UpdateAppMonitor rum:UpdateRumMetricDefinition  | 
| s3 |  s3:AssociateAccessGrantsIdentityCenter s3:CreateAccessGrant s3:CreateAccessGrantsInstance s3:CreateAccessGrantsLocation s3:CreateAccessPoint s3:CreateAccessPointForObjectLambda s3:CreateBucket s3:CreateBucketMetadataTableConfiguration s3:CreateJob s3:CreateMultiRegionAccessPoint s3:DeleteAccessGrant s3:DeleteAccessGrantsInstance s3:DeleteAccessGrantsInstanceResourcePolicy s3:DeleteAccessGrantsLocation s3:DeleteAccessPoint s3:DeleteAccessPointForObjectLambda s3:DeleteAccessPointPolicy s3:DeleteAccessPointPolicyForObjectLambda s3:DeleteBucket s3:DeleteBucketMetadataTableConfiguration s3:DeleteBucketPolicy s3:DeleteBucketWebsite s3:DeleteMultiRegionAccessPoint s3:DeleteStorageLensConfiguration s3:DescribeJob s3:DescribeMultiRegionAccessPointOperation s3:DissociateAccessGrantsIdentityCenter s3:GetAccelerateConfiguration s3:GetAccessGrant s3:GetAccessGrantsInstance s3:GetAccessGrantsInstanceForPrefix s3:GetAccessGrantsInstanceResourcePolicy s3:GetAccessGrantsLocation s3:GetAccessPoint s3:GetAccessPointConfigurationForObjectLambda s3:GetAccessPointForObjectLambda s3:GetAccessPointPolicy s3:GetAccessPointPolicyForObjectLambda s3:GetAccessPointPolicyStatus s3:GetAccessPointPolicyStatusForObjectLambda s3:GetAccountPublicAccessBlock s3:GetAnalyticsConfiguration s3:GetBucketAbac s3:GetBucketAcl s3:GetBucketCORS s3:GetBucketLocation s3:GetBucketLogging s3:GetBucketNotification s3:GetBucketObjectLockConfiguration s3:GetBucketOwnershipControls s3:GetBucketPolicy s3:GetBucketPolicyStatus s3:GetBucketPublicAccessBlock s3:GetBucketRequestPayment s3:GetBucketVersioning s3:GetBucketWebsite s3:GetDataAccess s3:GetEncryptionConfiguration s3:GetIntelligentTieringConfiguration s3:GetInventoryConfiguration s3:GetLifecycleConfiguration s3:GetMetricsConfiguration s3:GetMultiRegionAccessPoint s3:GetMultiRegionAccessPointPolicy s3:GetMultiRegionAccessPointPolicyStatus s3:GetMultiRegionAccessPointRoutes s3:GetReplicationConfiguration s3:GetStorageLensConfiguration s3:GetStorageLensDashboard s3:ListAccessGrants s3:ListAccessGrantsInstances s3:ListAccessGrantsLocations s3:ListAccessPoints s3:ListAccessPointsForObjectLambda s3:ListAllMyBuckets s3:ListBucketMultipartUploads s3:ListCallerAccessGrants s3:ListJobs s3:ListMultiRegionAccessPoints s3:ListStorageLensConfigurations s3:PutAccelerateConfiguration s3:PutAccessGrantsInstanceResourcePolicy s3:PutAccessPointConfigurationForObjectLambda s3:PutAccessPointPolicy s3:PutAccessPointPolicyForObjectLambda s3:PutAccountPublicAccessBlock s3:PutAnalyticsConfiguration s3:PutBucketAbac s3:PutBucketAcl s3:PutBucketCORS s3:PutBucketLogging s3:PutBucketNotification s3:PutBucketObjectLockConfiguration s3:PutBucketOwnershipControls s3:PutBucketPolicy s3:PutBucketPublicAccessBlock s3:PutBucketRequestPayment s3:PutBucketVersioning s3:PutBucketWebsite s3:PutEncryptionConfiguration s3:PutIntelligentTieringConfiguration s3:PutInventoryConfiguration s3:PutLifecycleConfiguration s3:PutMetricsConfiguration s3:PutMultiRegionAccessPointPolicy s3:PutReplicationConfiguration s3:PutStorageLensConfiguration s3:SubmitMultiRegionAccessPointRoutes s3:UpdateAccessGrantsLocation s3:UpdateBucketMetadataJournalTableConfiguration s3:UpdateJobPriority s3:UpdateJobStatus  | 
| s3-outposts |  s3-outposts:CreateEndpoint s3-outposts:DeleteEndpoint s3-outposts:ListEndpoints s3-outposts:ListOutpostsWithS3 s3-outposts:ListSharedEndpoints  | 
| sagemaker-geospatial |  sagemaker-geospatial:DeleteEarthObservationJob sagemaker-geospatial:DeleteVectorEnrichmentJob sagemaker-geospatial:ExportEarthObservationJob sagemaker-geospatial:ExportVectorEnrichmentJob sagemaker-geospatial:GetEarthObservationJob sagemaker-geospatial:GetRasterDataCollection sagemaker-geospatial:GetTile sagemaker-geospatial:GetVectorEnrichmentJob sagemaker-geospatial:ListEarthObservationJobs sagemaker-geospatial:ListRasterDataCollections sagemaker-geospatial:ListVectorEnrichmentJobs sagemaker-geospatial:SearchRasterDataCollection sagemaker-geospatial:StartEarthObservationJob sagemaker-geospatial:StartVectorEnrichmentJob sagemaker-geospatial:StopEarthObservationJob sagemaker-geospatial:StopVectorEnrichmentJob  | 
| savingsplans |  savingsplans:CreateSavingsPlan savingsplans:DeleteQueuedSavingsPlan savingsplans:DescribeSavingsPlanRates savingsplans:DescribeSavingsPlans savingsplans:DescribeSavingsPlansOfferingRates savingsplans:DescribeSavingsPlansOfferings savingsplans:ReturnSavingsPlan  | 
| schemas |  schemas:CreateDiscoverer schemas:CreateRegistry schemas:CreateSchema schemas:DeleteDiscoverer schemas:DeleteRegistry schemas:DeleteResourcePolicy schemas:DeleteSchema schemas:DeleteSchemaVersion schemas:DescribeCodeBinding schemas:DescribeDiscoverer schemas:DescribeRegistry schemas:DescribeSchema schemas:ExportSchema schemas:GetCodeBindingSource schemas:GetDiscoveredSchema schemas:GetResourcePolicy schemas:ListDiscoverers schemas:ListRegistries schemas:ListSchemaVersions schemas:ListSchemas schemas:PutCodeBinding schemas:PutResourcePolicy schemas:SearchSchemas schemas:StartDiscoverer schemas:StopDiscoverer schemas:UpdateDiscoverer schemas:UpdateRegistry schemas:UpdateSchema  | 
| sdb |  sdb:CreateDomain sdb:DeleteDomain sdb:DomainMetadata sdb:ListDomains  | 
| secretsmanager |  secretsmanager:CancelRotateSecret secretsmanager:CreateSecret secretsmanager:DeleteResourcePolicy secretsmanager:DeleteSecret secretsmanager:DescribeSecret secretsmanager:GetRandomPassword secretsmanager:GetResourcePolicy secretsmanager:GetSecretValue secretsmanager:ListSecretVersionIds secretsmanager:ListSecrets secretsmanager:PutResourcePolicy secretsmanager:PutSecretValue secretsmanager:RemoveRegionsFromReplication secretsmanager:ReplicateSecretToRegions secretsmanager:RestoreSecret secretsmanager:RotateSecret secretsmanager:StopReplicationToReplica secretsmanager:UpdateSecret secretsmanager:ValidateResourcePolicy  | 
| securityhub |  securityhub:AcceptAdministratorInvitation securityhub:AcceptInvitation securityhub:BatchDeleteAutomationRules securityhub:BatchDisableStandards securityhub:BatchEnableStandards securityhub:BatchGetAutomationRules securityhub:BatchGetConfigurationPolicyAssociations securityhub:BatchGetSecurityControls securityhub:BatchGetStandardsControlAssociations securityhub:BatchImportFindings securityhub:BatchUpdateAutomationRules securityhub:BatchUpdateFindings securityhub:BatchUpdateStandardsControlAssociations securityhub:ConnectorRegistrationsV2 securityhub:CreateActionTarget securityhub:CreateAggregatorV2 securityhub:CreateAutomationRule securityhub:CreateAutomationRuleV2 securityhub:CreateConfigurationPolicy securityhub:CreateConnectorV2 securityhub:CreateFindingAggregator securityhub:CreateInsight securityhub:CreateMembers securityhub:CreateTicketV2 securityhub:DeclineInvitations securityhub:DeleteActionTarget securityhub:DeleteAggregatorV2 securityhub:DeleteAutomationRuleV2 securityhub:DeleteConfigurationPolicy securityhub:DeleteConnectorV2 securityhub:DeleteFindingAggregator securityhub:DeleteInsight securityhub:DeleteInvitations securityhub:DeleteMembers securityhub:DescribeActionTargets securityhub:DescribeHub securityhub:DescribeOrganizationConfiguration securityhub:DescribeProducts securityhub:DescribeSecurityHubV2 securityhub:DescribeStandards securityhub:DisableImportFindingsForProduct securityhub:DisableOrganizationAdminAccount securityhub:DisableSecurityHub securityhub:DisableSecurityHubV2 securityhub:DisassociateFromAdministratorAccount securityhub:DisassociateFromMasterAccount securityhub:DisassociateMembers securityhub:EnableImportFindingsForProduct securityhub:EnableOrganizationAdminAccount securityhub:EnableSecurityHub securityhub:GetAdministratorAccount securityhub:GetAggregatorV2 securityhub:GetAutomationRuleV2 securityhub:GetConfigurationPolicy securityhub:GetConfigurationPolicyAssociation securityhub:GetConnectorV2 securityhub:GetEnabledStandards securityhub:GetFindingAggregator securityhub:GetFindingHistory securityhub:GetFindings securityhub:GetInsightResults securityhub:GetInsights securityhub:GetInvitationsCount securityhub:GetMasterAccount securityhub:GetMembers securityhub:GetSecurityControlDefinition securityhub:InviteMembers securityhub:ListAggregatorsV2 securityhub:ListAutomationRules securityhub:ListAutomationRulesV2 securityhub:ListConfigurationPolicies securityhub:ListConfigurationPolicyAssociations securityhub:ListConnectorsV2 securityhub:ListEnabledProductsForImport securityhub:ListFindingAggregators securityhub:ListInvitations securityhub:ListMembers securityhub:ListOrganizationAdminAccounts securityhub:ListSecurityControlDefinitions securityhub:ListStandardsControlAssociations securityhub:StartConfigurationPolicyAssociation securityhub:StartConfigurationPolicyDisassociation securityhub:UpdateActionTarget securityhub:UpdateAggregatorV2 securityhub:UpdateAutomationRuleV2 securityhub:UpdateConfigurationPolicy securityhub:UpdateConnectorV2 securityhub:UpdateFindingAggregator securityhub:UpdateFindings securityhub:UpdateInsight securityhub:UpdateOrganizationConfiguration securityhub:UpdateSecurityControl securityhub:UpdateSecurityHubConfiguration  | 
| securitylake |  securitylake:CreateAwsLogSource securitylake:CreateCustomLogSource securitylake:CreateDataLakeExceptionSubscription securitylake:CreateDataLakeOrganizationConfiguration securitylake:CreateSubscriber securitylake:CreateSubscriberNotification securitylake:DeleteAwsLogSource securitylake:DeleteCustomLogSource securitylake:DeleteDataLakeExceptionSubscription securitylake:DeleteDataLakeOrganizationConfiguration securitylake:DeleteSubscriber securitylake:DeleteSubscriberNotification securitylake:DeregisterDataLakeDelegatedAdministrator securitylake:GetDataLakeExceptionSubscription securitylake:GetDataLakeOrganizationConfiguration securitylake:GetDataLakeSources securitylake:GetSubscriber securitylake:ListDataLakes securitylake:ListLogSources securitylake:ListSubscribers securitylake:RegisterDataLakeDelegatedAdministrator securitylake:UpdateDataLakeExceptionSubscription securitylake:UpdateSubscriber securitylake:UpdateSubscriberNotification  | 
| serverlessrepo |  serverlessrepo:CreateApplication serverlessrepo:CreateApplicationVersion serverlessrepo:CreateCloudFormationChangeSet serverlessrepo:CreateCloudFormationTemplate serverlessrepo:DeleteApplication serverlessrepo:GetApplication serverlessrepo:GetApplicationPolicy serverlessrepo:GetCloudFormationTemplate serverlessrepo:ListApplicationDependencies serverlessrepo:ListApplicationVersions serverlessrepo:ListApplications serverlessrepo:PutApplicationPolicy serverlessrepo:UnshareApplication serverlessrepo:UpdateApplication  | 
| servicecatalog |  servicecatalog:AcceptPortfolioShare servicecatalog:AssociateBudgetWithResource servicecatalog:AssociatePrincipalWithPortfolio servicecatalog:AssociateProductWithPortfolio servicecatalog:AssociateServiceActionWithProvisioningArtifact servicecatalog:BatchAssociateServiceActionWithProvisioningArtifact servicecatalog:BatchDisassociateServiceActionFromProvisioningArtifact servicecatalog:CopyProduct servicecatalog:CreateAttributeGroup servicecatalog:CreateConstraint servicecatalog:CreatePortfolio servicecatalog:CreatePortfolioShare servicecatalog:CreateProduct servicecatalog:CreateProvisionedProductPlan servicecatalog:CreateProvisioningArtifact servicecatalog:CreateServiceAction servicecatalog:DeleteAttributeGroup servicecatalog:DeleteConstraint servicecatalog:DeletePortfolio servicecatalog:DeletePortfolioShare servicecatalog:DeleteProduct servicecatalog:DeleteProvisionedProductPlan servicecatalog:DeleteProvisioningArtifact servicecatalog:DeleteServiceAction servicecatalog:DescribeConstraint servicecatalog:DescribeCopyProductStatus servicecatalog:DescribePortfolio servicecatalog:DescribePortfolioShareStatus servicecatalog:DescribePortfolioShares servicecatalog:DescribeProduct servicecatalog:DescribeProductAsAdmin servicecatalog:DescribeProductView servicecatalog:DescribeProvisionedProduct servicecatalog:DescribeProvisionedProductPlan servicecatalog:DescribeProvisioningArtifact servicecatalog:DescribeProvisioningParameters servicecatalog:DescribeRecord servicecatalog:DescribeServiceAction servicecatalog:DescribeServiceActionExecutionParameters servicecatalog:DisableAWSOrganizationsAccess servicecatalog:DisassociateBudgetFromResource servicecatalog:DisassociatePrincipalFromPortfolio servicecatalog:DisassociateProductFromPortfolio servicecatalog:DisassociateServiceActionFromProvisioningArtifact servicecatalog:EnableAWSOrganizationsAccess servicecatalog:ExecuteProvisionedProductPlan servicecatalog:ExecuteProvisionedProductServiceAction servicecatalog:GetAWSOrganizationsAccessStatus servicecatalog:GetProvisionedProductOutputs servicecatalog:ImportAsProvisionedProduct servicecatalog:ListAcceptedPortfolioShares servicecatalog:ListAttributeGroups servicecatalog:ListBudgetsForResource servicecatalog:ListConstraintsForPortfolio servicecatalog:ListLaunchPaths servicecatalog:ListOrganizationPortfolioAccess servicecatalog:ListPortfolioAccess servicecatalog:ListPortfolios servicecatalog:ListPortfoliosForProduct servicecatalog:ListPrincipalsForPortfolio servicecatalog:ListProvisionedProductPlans servicecatalog:ListProvisioningArtifacts servicecatalog:ListProvisioningArtifactsForServiceAction servicecatalog:ListRecordHistory servicecatalog:ListServiceActions servicecatalog:ListServiceActionsForProvisioningArtifact servicecatalog:ListStackInstancesForProvisionedProduct servicecatalog:NotifyProvisionProductEngineWorkflowResult servicecatalog:NotifyTerminateProvisionedProductEngineWorkflowResult servicecatalog:NotifyUpdateProvisionedProductEngineWorkflowResult servicecatalog:ProvisionProduct servicecatalog:RejectPortfolioShare servicecatalog:ScanProvisionedProducts servicecatalog:SearchProducts servicecatalog:SearchProductsAsAdmin servicecatalog:SearchProvisionedProducts servicecatalog:TerminateProvisionedProduct servicecatalog:UpdateConstraint servicecatalog:UpdatePortfolio servicecatalog:UpdatePortfolioShare servicecatalog:UpdateProduct servicecatalog:UpdateProvisionedProduct servicecatalog:UpdateProvisionedProductProperties servicecatalog:UpdateProvisioningArtifact servicecatalog:UpdateServiceAction  | 
| servicediscovery |  servicediscovery:CreateHttpNamespace servicediscovery:CreatePrivateDnsNamespace servicediscovery:CreatePublicDnsNamespace servicediscovery:CreateService servicediscovery:DeleteNamespace servicediscovery:DeleteService servicediscovery:DeleteServiceAttributes servicediscovery:DeregisterInstance servicediscovery:GetInstance servicediscovery:GetInstancesHealthStatus servicediscovery:GetNamespace servicediscovery:GetOperation servicediscovery:GetService servicediscovery:ListInstances servicediscovery:ListNamespaces servicediscovery:ListOperations servicediscovery:ListServices servicediscovery:RegisterInstance servicediscovery:UpdateHttpNamespace servicediscovery:UpdateInstanceCustomHealthStatus servicediscovery:UpdatePrivateDnsNamespace servicediscovery:UpdatePublicDnsNamespace servicediscovery:UpdateService servicediscovery:UpdateServiceAttributes  | 
| servicequotas |  servicequotas:AssociateServiceQuotaTemplate servicequotas:CreateSupportCase servicequotas:DeleteServiceQuotaIncreaseRequestFromTemplate servicequotas:DisassociateServiceQuotaTemplate servicequotas:GetAWSDefaultServiceQuota servicequotas:GetAssociationForServiceQuotaTemplate servicequotas:GetAutoManagementConfiguration servicequotas:GetQuotaUtilizationReport servicequotas:GetRequestedServiceQuotaChange servicequotas:GetServiceQuota servicequotas:GetServiceQuotaIncreaseRequestFromTemplate servicequotas:ListAWSDefaultServiceQuotas servicequotas:ListRequestedServiceQuotaChangeHistory servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota servicequotas:ListServiceQuotaIncreaseRequestsInTemplate servicequotas:ListServiceQuotas servicequotas:ListServices servicequotas:PutServiceQuotaIncreaseRequestIntoTemplate servicequotas:RequestServiceQuotaIncrease servicequotas:StartAutoManagement servicequotas:StartQuotaUtilizationReport servicequotas:StopAutoManagement servicequotas:UpdateAutoManagement  | 
| ses |  ses:BatchGetMetricData ses:CloneReceiptRuleSet ses:CreateAddonInstance ses:CreateAddonSubscription ses:CreateAddressList ses:CreateAddressListImportJob ses:CreateArchive ses:CreateConfigurationSet ses:CreateConfigurationSetEventDestination ses:CreateConfigurationSetTrackingOptions ses:CreateContact ses:CreateContactList ses:CreateCustomVerificationEmailTemplate ses:CreateDedicatedIpPool ses:CreateDeliverabilityTestReport ses:CreateEmailIdentity ses:CreateEmailIdentityPolicy ses:CreateEmailTemplate ses:CreateImportJob ses:CreateIngressPoint ses:CreateMultiRegionEndpoint ses:CreateReceiptFilter ses:CreateReceiptRule ses:CreateReceiptRuleSet ses:CreateRelay ses:CreateRuleSet ses:CreateTemplate ses:CreateTenant ses:CreateTenantResourceAssociation ses:CreateTrafficPolicy ses:DeleteAddonInstance ses:DeleteAddonSubscription ses:DeleteAddressList ses:DeleteArchive ses:DeleteConfigurationSet ses:DeleteConfigurationSetEventDestination ses:DeleteConfigurationSetTrackingOptions ses:DeleteContact ses:DeleteContactList ses:DeleteCustomVerificationEmailTemplate ses:DeleteDedicatedIpPool ses:DeleteEmailIdentity ses:DeleteEmailIdentityPolicy ses:DeleteEmailTemplate ses:DeleteIdentity ses:DeleteIdentityPolicy ses:DeleteIngressPoint ses:DeleteMultiRegionEndpoint ses:DeleteReceiptFilter ses:DeleteReceiptRule ses:DeleteReceiptRuleSet ses:DeleteRelay ses:DeleteRuleSet ses:DeleteSuppressedDestination ses:DeleteTemplate ses:DeleteTenant ses:DeleteTenantResourceAssociation ses:DeleteTrafficPolicy ses:DeleteVerifiedEmailAddress ses:DeregisterMemberFromAddressList ses:DescribeActiveReceiptRuleSet ses:DescribeConfigurationSet ses:DescribeReceiptRule ses:DescribeReceiptRuleSet ses:GetAccount ses:GetAccountSendingEnabled ses:GetAddonInstance ses:GetAddonSubscription ses:GetAddressList ses:GetArchive ses:GetArchiveExport ses:GetArchiveMessage ses:GetArchiveMessageContent ses:GetArchiveSearch ses:GetArchiveSearchResults ses:GetBlacklistReports ses:GetConfigurationSet ses:GetConfigurationSetEventDestinations ses:GetContact ses:GetContactList ses:GetCustomVerificationEmailTemplate ses:GetDedicatedIp ses:GetDedicatedIpPool ses:GetDedicatedIps ses:GetDeliverabilityDashboardOptions ses:GetDeliverabilityTestReport ses:GetDomainDeliverabilityCampaign ses:GetDomainStatisticsReport ses:GetEmailAddressInsights ses:GetEmailIdentity ses:GetEmailIdentityPolicies ses:GetEmailTemplate ses:GetIdentityDkimAttributes ses:GetIdentityMailFromDomainAttributes ses:GetIdentityNotificationAttributes ses:GetIdentityPolicies ses:GetIdentityVerificationAttributes ses:GetImportJob ses:GetIngressPoint ses:GetMemberOfAddressList ses:GetMessageInsights ses:GetMultiRegionEndpoint ses:GetRelay ses:GetRuleSet ses:GetSendQuota ses:GetSendStatistics ses:GetSuppressedDestination ses:GetTemplate ses:GetTenant ses:GetTrafficPolicy ses:ListAddonInstances ses:ListAddonSubscriptions ses:ListAddressListImportJobs ses:ListAddressLists ses:ListArchiveExports ses:ListArchiveSearches ses:ListArchives ses:ListConfigurationSets ses:ListContactLists ses:ListContacts ses:ListCustomVerificationEmailTemplates ses:ListDedicatedIpPools ses:ListDeliverabilityTestReports ses:ListDomainDeliverabilityCampaigns ses:ListEmailIdentities ses:ListEmailTemplates ses:ListExportJobs ses:ListIdentities ses:ListIdentityPolicies ses:ListImportJobs ses:ListIngressPoints ses:ListMembersOfAddressList ses:ListMultiRegionEndpoints ses:ListReceiptFilters ses:ListReceiptRuleSets ses:ListRecommendations ses:ListRelays ses:ListReputationEntities ses:ListResourceTenants ses:ListRuleSets ses:ListSuppressedDestinations ses:ListTemplates ses:ListTenantResources ses:ListTenants ses:ListTrafficPolicies ses:ListVerifiedEmailAddresses ses:PutAccountDedicatedIpWarmupAttributes ses:PutAccountDetails ses:PutAccountSendingAttributes ses:PutAccountSuppressionAttributes ses:PutAccountVdmAttributes ses:PutConfigurationSetArchivingOptions ses:PutConfigurationSetDeliveryOptions ses:PutConfigurationSetReputationOptions ses:PutConfigurationSetSendingOptions ses:PutConfigurationSetSuppressionOptions ses:PutConfigurationSetTrackingOptions ses:PutConfigurationSetVdmOptions ses:PutDedicatedIpInPool ses:PutDedicatedIpPoolScalingAttributes ses:PutDedicatedIpWarmupAttributes ses:PutDeliverabilityDashboardOption ses:PutEmailIdentityConfigurationSetAttributes ses:PutEmailIdentityDkimAttributes ses:PutEmailIdentityDkimSigningAttributes ses:PutEmailIdentityFeedbackAttributes ses:PutEmailIdentityMailFromAttributes ses:PutIdentityPolicy ses:PutSuppressedDestination ses:RegisterMemberToAddressList ses:ReorderReceiptRuleSet ses:SendBounce ses:SendCustomVerificationEmail ses:SetActiveReceiptRuleSet ses:SetIdentityDkimEnabled ses:SetIdentityFeedbackForwardingEnabled ses:SetIdentityHeadersInNotificationsEnabled ses:SetIdentityMailFromDomain ses:SetIdentityNotificationTopic ses:SetReceiptRulePosition ses:StartArchiveExport ses:StartArchiveSearch ses:StopArchiveExport ses:StopArchiveSearch ses:TestRenderEmailTemplate ses:TestRenderTemplate ses:UpdateAccountSendingEnabled ses:UpdateArchive ses:UpdateConfigurationSetEventDestination ses:UpdateConfigurationSetReputationMetricsEnabled ses:UpdateConfigurationSetSendingEnabled ses:UpdateConfigurationSetTrackingOptions ses:UpdateContact ses:UpdateContactList ses:UpdateCustomVerificationEmailTemplate ses:UpdateEmailIdentityPolicy ses:UpdateEmailTemplate ses:UpdateIngressPoint ses:UpdateReceiptRule ses:UpdateRelay ses:UpdateRuleSet ses:UpdateTemplate ses:UpdateTrafficPolicy ses:VerifyDomainDkim ses:VerifyDomainIdentity ses:VerifyEmailAddress ses:VerifyEmailIdentity  | 
| shield |  shield:AssociateDRTLogBucket shield:AssociateHealthCheck shield:AssociateProactiveEngagementDetails shield:CreateProtection shield:CreateProtectionGroup shield:CreateSubscription shield:DeleteProtection shield:DeleteProtectionGroup shield:DeleteSubscription shield:DescribeAttack shield:DescribeAttackStatistics shield:DescribeDRTAccess shield:DescribeEmergencyContactSettings shield:DescribeProtection shield:DescribeProtectionGroup shield:DescribeSubscription shield:DisableApplicationLayerAutomaticResponse shield:DisableProactiveEngagement shield:DisassociateDRTLogBucket shield:DisassociateDRTRole shield:DisassociateHealthCheck shield:EnableApplicationLayerAutomaticResponse shield:EnableProactiveEngagement shield:GetSubscriptionState shield:ListAttacks shield:ListProtectionGroups shield:ListProtections shield:ListResourcesInProtectionGroup shield:UpdateApplicationLayerAutomaticResponse shield:UpdateEmergencyContactSettings shield:UpdateProtectionGroup shield:UpdateSubscription  | 
| signer |  signer:AddProfilePermission signer:CancelSigningProfile signer:DescribeSigningJob signer:GetSigningPlatform signer:GetSigningProfile signer:ListProfilePermissions signer:ListSigningJobs signer:ListSigningPlatforms signer:ListSigningProfiles signer:PutSigningProfile signer:RemoveProfilePermission signer:RevokeSignature signer:RevokeSigningProfile signer:SignPayload signer:StartSigningJob  | 
| simspaceweaver |  simspaceweaver:CreateSnapshot simspaceweaver:DeleteApp simspaceweaver:DeleteSimulation simspaceweaver:DescribeApp simspaceweaver:DescribeSimulation simspaceweaver:ListApps simspaceweaver:ListSimulations simspaceweaver:StartApp simspaceweaver:StartClock simspaceweaver:StartSimulation simspaceweaver:StopApp simspaceweaver:StopClock simspaceweaver:StopSimulation  | 
| sms |  sms:CreateApp sms:CreateReplicationJob sms:DeleteApp sms:DeleteAppLaunchConfiguration sms:DeleteAppReplicationConfiguration sms:DeleteAppValidationConfiguration sms:DeleteReplicationJob sms:DeleteServerCatalog sms:DisassociateConnector sms:GenerateChangeSet sms:GenerateTemplate sms:GetApp sms:GetAppLaunchConfiguration sms:GetAppReplicationConfiguration sms:GetAppValidationConfiguration sms:GetAppValidationOutput sms:GetConnectors sms:GetReplicationJobs sms:GetReplicationRuns sms:GetServers sms:ImportAppCatalog sms:ImportServerCatalog sms:LaunchApp sms:ListApps sms:NotifyAppValidationOutput sms:PutAppLaunchConfiguration sms:PutAppReplicationConfiguration sms:PutAppValidationConfiguration sms:StartAppReplication sms:StartOnDemandAppReplication sms:StartOnDemandReplicationRun sms:StopAppReplication sms:TerminateApp sms:UpdateApp sms:UpdateReplicationJob  | 
| sms-voice |  sms-voice:AssociateProtectConfiguration sms-voice:CreateConfigurationSet sms-voice:CreateConfigurationSetEventDestination sms-voice:CreateEventDestination sms-voice:CreateOptOutList sms-voice:CreatePool sms-voice:CreateProtectConfiguration sms-voice:CreateRegistration sms-voice:CreateRegistrationAssociation sms-voice:CreateRegistrationAttachment sms-voice:CreateRegistrationVersion sms-voice:CreateVerifiedDestinationNumber sms-voice:DeleteAccountDefaultProtectConfiguration sms-voice:DeleteConfigurationSet sms-voice:DeleteConfigurationSetEventDestination sms-voice:DeleteDefaultMessageType sms-voice:DeleteDefaultSenderId sms-voice:DeleteEventDestination sms-voice:DeleteKeyword sms-voice:DeleteMediaMessageSpendLimitOverride sms-voice:DeleteOptOutList sms-voice:DeleteOptedOutNumber sms-voice:DeletePool sms-voice:DeleteProtectConfiguration sms-voice:DeleteProtectConfigurationRuleSetNumberOverride sms-voice:DeleteRegistration sms-voice:DeleteRegistrationAttachment sms-voice:DeleteResourcePolicy sms-voice:DeleteTextMessageSpendLimitOverride sms-voice:DeleteVerifiedDestinationNumber sms-voice:DeleteVoiceMessageSpendLimitOverride sms-voice:DescribeAccountAttributes sms-voice:DescribeAccountLimits sms-voice:DescribeConfigurationSets sms-voice:DescribeKeywords sms-voice:DescribeOptOutLists sms-voice:DescribeOptedOutNumbers sms-voice:DescribePhoneNumbers sms-voice:DescribePools sms-voice:DescribeProtectConfigurations sms-voice:DescribeRegistrationAttachments sms-voice:DescribeRegistrationFieldDefinitions sms-voice:DescribeRegistrationFieldValues sms-voice:DescribeRegistrationSectionDefinitions sms-voice:DescribeRegistrationTypeDefinitions sms-voice:DescribeRegistrationVersions sms-voice:DescribeRegistrations sms-voice:DescribeSenderIds sms-voice:DescribeSpendLimits sms-voice:DescribeVerifiedDestinationNumbers sms-voice:DisassociateOriginationIdentity sms-voice:DisassociateProtectConfiguration sms-voice:DiscardRegistrationVersion sms-voice:GetConfigurationSetEventDestinations sms-voice:GetProtectConfigurationCountryRuleSet sms-voice:GetResourcePolicy sms-voice:ListConfigurationSets sms-voice:ListPoolOriginationIdentities sms-voice:ListProtectConfigurationRuleSetNumberOverrides sms-voice:ListRegistrationAssociations sms-voice:PutKeyword sms-voice:PutOptedOutNumber sms-voice:PutProtectConfigurationRuleSetNumberOverride sms-voice:PutResourcePolicy sms-voice:ReleasePhoneNumber sms-voice:ReleaseSenderId sms-voice:RequestPhoneNumber sms-voice:RequestSenderId sms-voice:SendDestinationNumberVerificationCode sms-voice:SetAccountDefaultProtectConfiguration sms-voice:SetDefaultMessageFeedbackEnabled sms-voice:SetDefaultMessageType sms-voice:SetDefaultSenderId sms-voice:SetMediaMessageSpendLimitOverride sms-voice:SetTextMessageSpendLimitOverride sms-voice:SetVoiceMessageSpendLimitOverride sms-voice:SubmitRegistrationVersion sms-voice:UpdateConfigurationSetEventDestination sms-voice:UpdateEventDestination sms-voice:UpdatePhoneNumber sms-voice:UpdatePool sms-voice:UpdateProtectConfiguration sms-voice:UpdateProtectConfigurationCountryRuleSet sms-voice:UpdateSenderId  | 
| snowball |  snowball:CancelCluster snowball:CancelJob snowball:CreateAddress snowball:CreateCluster snowball:CreateJob snowball:CreateLongTermPricing snowball:CreateReturnShippingLabel snowball:DescribeAddress snowball:DescribeAddresses snowball:DescribeCluster snowball:DescribeJob snowball:DescribeReturnShippingLabel snowball:GetJobManifest snowball:GetJobUnlockCode snowball:GetSnowballUsage snowball:GetSoftwareUpdates snowball:ListClusterJobs snowball:ListClusters snowball:ListCompatibleImages snowball:ListJobs snowball:ListLongTermPricing snowball:ListPickupLocations snowball:ListServiceVersions snowball:UpdateCluster snowball:UpdateJob snowball:UpdateJobShipmentState snowball:UpdateLongTermPricing  | 
| sqs |  sqs:AddPermission sqs:CancelMessageMoveTask sqs:CreateQueue sqs:DeleteQueue sqs:PurgeQueue sqs:RemovePermission sqs:SetQueueAttributes  | 
| ssm |  ssm:AssociateOpsItemRelatedItem ssm:CancelCommand ssm:CancelMaintenanceWindowExecution ssm:CreateActivation ssm:CreateAssociation ssm:CreateAssociationBatch ssm:CreateDocument ssm:CreateMaintenanceWindow ssm:CreateOpsItem ssm:CreateOpsMetadata ssm:CreatePatchBaseline ssm:CreateResourceDataSync ssm:DeleteActivation ssm:DeleteAssociation ssm:DeleteDocument ssm:DeleteInventory ssm:DeleteMaintenanceWindow ssm:DeleteOpsItem ssm:DeleteOpsMetadata ssm:DeleteParameter ssm:DeleteParameters ssm:DeletePatchBaseline ssm:DeleteResourceDataSync ssm:DeleteResourcePolicy ssm:DeregisterManagedInstance ssm:DeregisterPatchBaselineForPatchGroup ssm:DeregisterTargetFromMaintenanceWindow ssm:DeregisterTaskFromMaintenanceWindow ssm:DescribeActivations ssm:DescribeAssociation ssm:DescribeAssociationExecutionTargets ssm:DescribeAssociationExecutions ssm:DescribeAutomationExecutions ssm:DescribeAutomationStepExecutions ssm:DescribeAvailablePatches ssm:DescribeDocument ssm:DescribeDocumentParameters ssm:DescribeDocumentPermission ssm:DescribeEffectiveInstanceAssociations ssm:DescribeEffectivePatchesForPatchBaseline ssm:DescribeInstanceAssociationsStatus ssm:DescribeInstanceInformation ssm:DescribeInstancePatchStates ssm:DescribeInstancePatchStatesForPatchGroup ssm:DescribeInstancePatches ssm:DescribeInstanceProperties ssm:DescribeInventoryDeletions ssm:DescribeMaintenanceWindowExecutionTaskInvocations ssm:DescribeMaintenanceWindowExecutionTasks ssm:DescribeMaintenanceWindowExecutions ssm:DescribeMaintenanceWindowSchedule ssm:DescribeMaintenanceWindowTargets ssm:DescribeMaintenanceWindowTasks ssm:DescribeMaintenanceWindows ssm:DescribeMaintenanceWindowsForTarget ssm:DescribeOpsItems ssm:DescribeParameters ssm:DescribePatchBaselines ssm:DescribePatchGroupState ssm:DescribePatchGroups ssm:DescribePatchProperties ssm:DescribeSessions ssm:DisassociateOpsItemRelatedItem ssm:GetAccessToken ssm:GetAutomationExecution ssm:GetCalendarState ssm:GetCommandInvocation ssm:GetConnectionStatus ssm:GetDefaultPatchBaseline ssm:GetDeployablePatchSnapshotForInstance ssm:GetDocument ssm:GetExecutionPreview ssm:GetInventory ssm:GetInventorySchema ssm:GetMaintenanceWindow ssm:GetMaintenanceWindowExecution ssm:GetMaintenanceWindowExecutionTask ssm:GetMaintenanceWindowExecutionTaskInvocation ssm:GetMaintenanceWindowTask ssm:GetOpsItem ssm:GetOpsMetadata ssm:GetOpsSummary ssm:GetParameter ssm:GetParameterHistory ssm:GetParameters ssm:GetParametersByPath ssm:GetPatchBaseline ssm:GetPatchBaselineForPatchGroup ssm:GetResourcePolicies ssm:GetServiceSetting ssm:LabelParameterVersion ssm:ListAssociationVersions ssm:ListAssociations ssm:ListCommandInvocations ssm:ListCommands ssm:ListComplianceItems ssm:ListComplianceSummaries ssm:ListDocumentMetadataHistory ssm:ListDocumentVersions ssm:ListDocuments ssm:ListInstanceAssociations ssm:ListInventoryEntries ssm:ListNodes ssm:ListNodesSummary ssm:ListOpsItemEvents ssm:ListOpsItemRelatedItems ssm:ListOpsMetadata ssm:ListResourceComplianceSummaries ssm:ListResourceDataSync ssm:ModifyDocumentPermission ssm:PutComplianceItems ssm:PutInventory ssm:PutParameter ssm:PutResourcePolicy ssm:RegisterDefaultPatchBaseline ssm:RegisterManagedInstance ssm:RegisterPatchBaselineForPatchGroup ssm:RegisterTargetWithMaintenanceWindow ssm:RegisterTaskWithMaintenanceWindow ssm:ResetServiceSetting ssm:ResumeSession ssm:SendAutomationSignal ssm:SendCommand ssm:StartAssociationsOnce ssm:StartAutomationExecution ssm:StartChangeRequestExecution ssm:StartSession ssm:StopAutomationExecution ssm:TerminateSession ssm:UnlabelParameterVersion ssm:UpdateAssociation ssm:UpdateAssociationStatus ssm:UpdateDocument ssm:UpdateDocumentDefaultVersion ssm:UpdateDocumentMetadata ssm:UpdateInstanceInformation ssm:UpdateMaintenanceWindow ssm:UpdateMaintenanceWindowTarget ssm:UpdateMaintenanceWindowTask ssm:UpdateManagedInstanceRole ssm:UpdateOpsItem ssm:UpdateOpsMetadata ssm:UpdatePatchBaseline ssm:UpdateResourceDataSync ssm:UpdateServiceSetting  | 
| ssm-incidents |  ssm-incidents:BatchGetIncidentFindings ssm-incidents:CreateReplicationSet ssm-incidents:CreateResponsePlan ssm-incidents:CreateTimelineEvent ssm-incidents:DeleteIncidentRecord ssm-incidents:DeleteReplicationSet ssm-incidents:DeleteResourcePolicy ssm-incidents:DeleteResponsePlan ssm-incidents:DeleteTimelineEvent ssm-incidents:GetIncidentRecord ssm-incidents:GetReplicationSet ssm-incidents:GetResourcePolicies ssm-incidents:GetResponsePlan ssm-incidents:GetTimelineEvent ssm-incidents:ListIncidentFindings ssm-incidents:ListIncidentRecords ssm-incidents:ListRelatedItems ssm-incidents:ListReplicationSets ssm-incidents:ListResponsePlans ssm-incidents:ListTimelineEvents ssm-incidents:PutResourcePolicy ssm-incidents:StartIncident ssm-incidents:UpdateDeletionProtection ssm-incidents:UpdateIncidentRecord ssm-incidents:UpdateRelatedItems ssm-incidents:UpdateReplicationSet ssm-incidents:UpdateResponsePlan ssm-incidents:UpdateTimelineEvent  | 
| ssm-sap |  ssm-sap:BackupDatabase ssm-sap:DeleteResourcePermission ssm-sap:DeregisterApplication ssm-sap:GetApplication ssm-sap:GetComponent ssm-sap:GetConfigurationCheckOperation ssm-sap:GetDatabase ssm-sap:GetOperation ssm-sap:GetResourcePermission ssm-sap:ListApplications ssm-sap:ListComponents ssm-sap:ListConfigurationCheckDefinitions ssm-sap:ListConfigurationCheckOperations ssm-sap:ListDatabases ssm-sap:ListOperationEvents ssm-sap:ListOperations ssm-sap:ListSubCheckResults ssm-sap:ListSubCheckRuleResults ssm-sap:PutResourcePermission ssm-sap:RegisterApplication ssm-sap:RestoreDatabase ssm-sap:StartApplication ssm-sap:StartApplicationRefresh ssm-sap:StartConfigurationChecks ssm-sap:StopApplication ssm-sap:UpdateApplicationSettings ssm-sap:UpdateHANABackupSettings  | 
| states |  states:CreateActivity states:CreateStateMachine states:CreateStateMachineAlias states:DeleteActivity states:DeleteStateMachine states:DeleteStateMachineAlias states:DeleteStateMachineVersion states:DescribeActivity states:DescribeExecution states:DescribeMapRun states:DescribeStateMachine states:DescribeStateMachineAlias states:DescribeStateMachineForExecution states:GetExecutionHistory states:ListActivities states:ListExecutions states:ListMapRuns states:ListStateMachineAliases states:ListStateMachineVersions states:ListStateMachines states:SendTaskFailure states:SendTaskHeartbeat states:SendTaskSuccess states:StartExecution states:StopExecution states:UpdateMapRun states:UpdateStateMachine states:UpdateStateMachineAlias states:ValidateStateMachineDefinition  | 
| sts |  sts:AssumeRole sts:AssumeRoleWithSAML sts:AssumeRoleWithWebIdentity sts:DecodeAuthorizationMessage sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetSessionToken sts:GetWebIdentityToken  | 
| swf |  swf:DeleteActivityType swf:DeleteWorkflowType swf:DeprecateActivityType swf:DeprecateDomain swf:DeprecateWorkflowType swf:DescribeActivityType swf:DescribeDomain swf:DescribeWorkflowType swf:ListActivityTypes swf:ListDomains swf:ListWorkflowTypes swf:RegisterActivityType swf:RegisterDomain swf:RegisterWorkflowType swf:UndeprecateActivityType swf:UndeprecateDomain swf:UndeprecateWorkflowType  | 
| synthetics |  synthetics:AssociateResource synthetics:CreateCanary synthetics:CreateGroup synthetics:DeleteCanary synthetics:DeleteGroup synthetics:DescribeCanaries synthetics:DescribeCanariesLastRun synthetics:DescribeRuntimeVersions synthetics:DisassociateResource synthetics:GetCanary synthetics:GetCanaryRuns synthetics:GetGroup synthetics:ListAssociatedGroups synthetics:ListGroupResources synthetics:ListGroups synthetics:StartCanary synthetics:StartCanaryDryRun synthetics:StopCanary synthetics:UpdateCanary  | 
| etiqueta |  tag:DescribeReportCreation tag:GetComplianceSummary tag:GetResources tag:StartReportCreation  | 
| textract |  textract:AnalyzeDocument textract:AnalyzeExpense textract:AnalyzeID textract:CreateAdapter textract:CreateAdapterVersion textract:DeleteAdapter textract:DeleteAdapterVersion textract:DetectDocumentText textract:GetAdapter textract:GetAdapterVersion textract:GetDocumentAnalysis textract:GetDocumentTextDetection textract:GetExpenseAnalysis textract:GetLendingAnalysis textract:GetLendingAnalysisSummary textract:ListAdapterVersions textract:ListAdapters textract:StartDocumentAnalysis textract:StartDocumentTextDetection textract:StartExpenseAnalysis textract:StartLendingAnalysis textract:UpdateAdapter  | 
| timestream |  timestream:CancelQuery timestream:CreateDatabase timestream:CreateScheduledQuery timestream:CreateTable timestream:DeleteDatabase timestream:DeleteScheduledQuery timestream:DeleteTable timestream:DescribeAccountSettings timestream:DescribeDatabase timestream:DescribeScheduledQuery timestream:DescribeTable timestream:ExecuteScheduledQuery timestream:ListBatchLoadTasks timestream:ListDatabases timestream:ListScheduledQueries timestream:ListTables timestream:PrepareQuery timestream:UpdateAccountSettings timestream:UpdateDatabase timestream:UpdateScheduledQuery timestream:UpdateTable  | 
| tnb |  tnb:CancelSolNetworkOperation tnb:CreateSolFunctionPackage tnb:CreateSolNetworkInstance tnb:CreateSolNetworkPackage tnb:DeleteSolFunctionPackage tnb:DeleteSolNetworkInstance tnb:DeleteSolNetworkPackage tnb:GetSolFunctionInstance tnb:GetSolFunctionPackage tnb:GetSolFunctionPackageContent tnb:GetSolFunctionPackageDescriptor tnb:GetSolNetworkInstance tnb:GetSolNetworkOperation tnb:GetSolNetworkPackage tnb:GetSolNetworkPackageContent tnb:GetSolNetworkPackageDescriptor tnb:InstantiateSolNetworkInstance tnb:ListSolFunctionInstances tnb:ListSolFunctionPackages tnb:ListSolNetworkInstances tnb:ListSolNetworkOperations tnb:ListSolNetworkPackages tnb:PutSolFunctionPackageContent tnb:PutSolNetworkPackageContent tnb:TerminateSolNetworkInstance tnb:UpdateSolFunctionPackage tnb:UpdateSolNetworkInstance tnb:UpdateSolNetworkPackage tnb:ValidateSolFunctionPackageContent tnb:ValidateSolNetworkPackageContent  | 
| transcribe |  transcribe:CreateCallAnalyticsCategory transcribe:CreateLanguageModel transcribe:CreateMedicalVocabulary transcribe:CreateVocabulary transcribe:CreateVocabularyFilter transcribe:DeleteCallAnalyticsCategory transcribe:DeleteCallAnalyticsJob transcribe:DeleteLanguageModel transcribe:DeleteMedicalScribeJob transcribe:DeleteMedicalTranscriptionJob transcribe:DeleteMedicalVocabulary transcribe:DeleteTranscriptionJob transcribe:DeleteVocabulary transcribe:DeleteVocabularyFilter transcribe:DescribeLanguageModel transcribe:GetCallAnalyticsCategory transcribe:GetCallAnalyticsJob transcribe:GetMedicalScribeJob transcribe:GetMedicalTranscriptionJob transcribe:GetMedicalVocabulary transcribe:GetTranscriptionJob transcribe:GetVocabulary transcribe:GetVocabularyFilter transcribe:ListCallAnalyticsCategories transcribe:ListCallAnalyticsJobs transcribe:ListLanguageModels transcribe:ListMedicalScribeJobs transcribe:ListMedicalTranscriptionJobs transcribe:ListMedicalVocabularies transcribe:ListTranscriptionJobs transcribe:ListVocabularies transcribe:ListVocabularyFilters transcribe:StartCallAnalyticsJob transcribe:StartCallAnalyticsStreamTranscription transcribe:StartCallAnalyticsStreamTranscriptionWebSocket transcribe:StartMedicalScribeJob transcribe:StartMedicalStreamTranscription transcribe:StartMedicalStreamTranscriptionWebSocket transcribe:StartMedicalTranscriptionJob transcribe:StartStreamTranscription transcribe:StartStreamTranscriptionWebSocket transcribe:StartTranscriptionJob transcribe:UpdateCallAnalyticsCategory transcribe:UpdateMedicalVocabulary transcribe:UpdateVocabulary transcribe:UpdateVocabularyFilter  | 
| transfer |  transfer:CreateAccess transfer:CreateAgreement transfer:CreateConnector transfer:CreateProfile transfer:CreateServer transfer:CreateUser transfer:CreateWebApp transfer:CreateWorkflow transfer:DeleteAccess transfer:DeleteAgreement transfer:DeleteCertificate transfer:DeleteConnector transfer:DeleteHostKey transfer:DeleteProfile transfer:DeleteServer transfer:DeleteSshPublicKey transfer:DeleteUser transfer:DeleteWebApp transfer:DeleteWebAppCustomization transfer:DeleteWorkflow transfer:DescribeAccess transfer:DescribeAgreement transfer:DescribeCertificate transfer:DescribeConnector transfer:DescribeExecution transfer:DescribeHostKey transfer:DescribeProfile transfer:DescribeSecurityPolicy transfer:DescribeServer transfer:DescribeUser transfer:DescribeWebApp transfer:DescribeWebAppCustomization transfer:DescribeWorkflow transfer:ImportCertificate transfer:ImportHostKey transfer:ImportSshPublicKey transfer:ListAccesses transfer:ListCertificates transfer:ListConnectors transfer:ListExecutions transfer:ListFileTransferResults transfer:ListHostKeys transfer:ListProfiles transfer:ListSecurityPolicies transfer:ListServers transfer:ListUsers transfer:ListWebApps transfer:ListWorkflows transfer:SendWorkflowStepState transfer:StartDirectoryListing transfer:StartFileTransfer transfer:StartRemoteDelete transfer:StartRemoteMove transfer:StartServer transfer:StopServer transfer:TestConnection transfer:TestIdentityProvider transfer:UpdateAccess transfer:UpdateAgreement transfer:UpdateCertificate transfer:UpdateConnector transfer:UpdateHostKey transfer:UpdateProfile transfer:UpdateServer transfer:UpdateUser transfer:UpdateWebApp transfer:UpdateWebAppCustomization  | 
| translate |  translate:CreateParallelData translate:DeleteParallelData translate:DeleteTerminology translate:DescribeTextTranslationJob translate:GetParallelData translate:GetTerminology translate:ImportTerminology translate:ListLanguages translate:ListParallelData translate:ListTerminologies translate:ListTextTranslationJobs translate:StartTextTranslationJob translate:StopTextTranslationJob translate:TranslateDocument translate:TranslateText translate:UpdateParallelData  | 
| voiceid |  voiceid:AssociateFraudster voiceid:CreateDomain voiceid:CreateWatchlist voiceid:DeleteDomain voiceid:DeleteFraudster voiceid:DeleteSpeaker voiceid:DeleteWatchlist voiceid:DescribeDomain voiceid:DescribeFraudster voiceid:DescribeFraudsterRegistrationJob voiceid:DescribeSpeaker voiceid:DescribeSpeakerEnrollmentJob voiceid:DescribeWatchlist voiceid:DisassociateFraudster voiceid:EvaluateSession voiceid:ListDomains voiceid:ListFraudsterRegistrationJobs voiceid:ListFraudsters voiceid:ListSpeakerEnrollmentJobs voiceid:ListSpeakers voiceid:ListWatchlists voiceid:OptOutSpeaker voiceid:StartFraudsterRegistrationJob voiceid:StartSpeakerEnrollmentJob voiceid:UpdateDomain voiceid:UpdateWatchlist  | 
| vpc-lattice |  vpc-lattice:CreateAccessLogSubscription vpc-lattice:CreateListener vpc-lattice:CreateResourceConfiguration vpc-lattice:CreateResourceGateway vpc-lattice:CreateRule vpc-lattice:CreateService vpc-lattice:CreateServiceNetwork vpc-lattice:CreateServiceNetworkResourceAssociation vpc-lattice:CreateServiceNetworkServiceAssociation vpc-lattice:CreateServiceNetworkVpcAssociation vpc-lattice:CreateTargetGroup vpc-lattice:DeleteAccessLogSubscription vpc-lattice:DeleteAuthPolicy vpc-lattice:DeleteDomainVerification vpc-lattice:DeleteListener vpc-lattice:DeleteResourceConfiguration vpc-lattice:DeleteResourceEndpointAssociation vpc-lattice:DeleteResourceGateway vpc-lattice:DeleteResourcePolicy vpc-lattice:DeleteRule vpc-lattice:DeleteService vpc-lattice:DeleteServiceNetwork vpc-lattice:DeleteServiceNetworkResourceAssociation vpc-lattice:DeleteServiceNetworkServiceAssociation vpc-lattice:DeleteServiceNetworkVpcAssociation vpc-lattice:DeleteTargetGroup vpc-lattice:DeregisterTargets vpc-lattice:GetAccessLogSubscription vpc-lattice:GetAuthPolicy vpc-lattice:GetDomainVerification vpc-lattice:GetListener vpc-lattice:GetResourceConfiguration vpc-lattice:GetResourceGateway vpc-lattice:GetResourcePolicy vpc-lattice:GetRule vpc-lattice:GetService vpc-lattice:GetServiceNetwork vpc-lattice:GetServiceNetworkResourceAssociation vpc-lattice:GetServiceNetworkServiceAssociation vpc-lattice:GetServiceNetworkVpcAssociation vpc-lattice:GetTargetGroup vpc-lattice:ListAccessLogSubscriptions vpc-lattice:ListDomainVerifications vpc-lattice:ListListeners vpc-lattice:ListResourceConfigurations vpc-lattice:ListResourceEndpointAssociations vpc-lattice:ListResourceGateways vpc-lattice:ListRules vpc-lattice:ListServiceNetworkResourceAssociations vpc-lattice:ListServiceNetworkServiceAssociations vpc-lattice:ListServiceNetworkVpcAssociations vpc-lattice:ListServiceNetworkVpcEndpointAssociations vpc-lattice:ListServiceNetworks vpc-lattice:ListServices vpc-lattice:ListTargetGroups vpc-lattice:ListTargets vpc-lattice:PutAuthPolicy vpc-lattice:PutResourcePolicy vpc-lattice:RegisterTargets vpc-lattice:StartDomainVerification vpc-lattice:UpdateAccessLogSubscription vpc-lattice:UpdateListener vpc-lattice:UpdateResourceConfiguration vpc-lattice:UpdateResourceGateway vpc-lattice:UpdateRule vpc-lattice:UpdateService vpc-lattice:UpdateServiceNetwork vpc-lattice:UpdateServiceNetworkVpcAssociation vpc-lattice:UpdateTargetGroup  | 
| wafv2 |  wafv2:AssociateWebACL wafv2:CheckCapacity wafv2:CreateAPIKey wafv2:CreateIPSet wafv2:CreateRegexPatternSet wafv2:CreateRuleGroup wafv2:CreateWebACL wafv2:DeleteAPIKey wafv2:DeleteFirewallManagerRuleGroups wafv2:DeleteIPSet wafv2:DeleteLoggingConfiguration wafv2:DeletePermissionPolicy wafv2:DeleteRegexPatternSet wafv2:DeleteRuleGroup wafv2:DeleteWebACL wafv2:DescribeAllManagedProducts wafv2:DescribeManagedProductsByVendor wafv2:DescribeManagedRuleGroup wafv2:DisassociateWebACL wafv2:GenerateMobileSdkReleaseUrl wafv2:GetDecryptedAPIKey wafv2:GetIPSet wafv2:GetLoggingConfiguration wafv2:GetManagedRuleSet wafv2:GetMobileSdkRelease wafv2:GetRateBasedStatementManagedKeys wafv2:GetRegexPatternSet wafv2:GetRuleGroup wafv2:GetSampledRequests wafv2:GetWebACLForResource wafv2:ListAPIKeys wafv2:ListAvailableManagedRuleGroupVersions wafv2:ListAvailableManagedRuleGroups wafv2:ListIPSets wafv2:ListLoggingConfigurations wafv2:ListManagedRuleSets wafv2:ListMobileSdkReleases wafv2:ListRegexPatternSets wafv2:ListResourcesForWebACL wafv2:ListRuleGroups wafv2:ListWebACLs wafv2:PutLoggingConfiguration wafv2:PutManagedRuleSetVersions wafv2:UpdateIPSet wafv2:UpdateManagedRuleSetVersionExpiryDate wafv2:UpdateRegexPatternSet wafv2:UpdateRuleGroup wafv2:UpdateWebACL  | 
| wellarchitected |  wellarchitected:AssociateLenses wellarchitected:AssociateProfiles wellarchitected:CreateLensShare wellarchitected:CreateLensVersion wellarchitected:CreateMilestone wellarchitected:CreateProfile wellarchitected:CreateProfileShare wellarchitected:CreateReviewTemplate wellarchitected:CreateWorkload wellarchitected:CreateWorkloadShare wellarchitected:DeleteLens wellarchitected:DeleteLensShare wellarchitected:DeleteProfile wellarchitected:DeleteProfileShare wellarchitected:DeleteReviewTemplate wellarchitected:DeleteTemplateShare wellarchitected:DeleteWorkload wellarchitected:DeleteWorkloadShare wellarchitected:DisassociateLenses wellarchitected:DisassociateProfiles wellarchitected:ExportLens wellarchitected:GetAnswer wellarchitected:GetConsolidatedReport wellarchitected:GetGlobalSettings wellarchitected:GetLens wellarchitected:GetLensReview wellarchitected:GetLensReviewReport wellarchitected:GetLensVersionDifference wellarchitected:GetMilestone wellarchitected:GetProfile wellarchitected:GetProfileTemplate wellarchitected:GetReviewTemplate wellarchitected:GetReviewTemplateAnswer wellarchitected:GetReviewTemplateLensReview wellarchitected:GetWorkload wellarchitected:ImportLens wellarchitected:ListAnswers wellarchitected:ListCheckDetails wellarchitected:ListCheckSummaries wellarchitected:ListLensReviewImprovements wellarchitected:ListLensReviews wellarchitected:ListLensShares wellarchitected:ListLenses wellarchitected:ListMilestones wellarchitected:ListNotifications wellarchitected:ListProfileNotifications wellarchitected:ListProfileShares wellarchitected:ListProfiles wellarchitected:ListReviewTemplateAnswers wellarchitected:ListReviewTemplates wellarchitected:ListShareInvitations wellarchitected:ListTemplateShares wellarchitected:ListWorkloadShares wellarchitected:ListWorkloads wellarchitected:UpdateAnswer wellarchitected:UpdateGlobalSettings wellarchitected:UpdateIntegration wellarchitected:UpdateLensReview wellarchitected:UpdateProfile wellarchitected:UpdateReviewTemplate wellarchitected:UpdateReviewTemplateLensReview wellarchitected:UpdateShareInvitation wellarchitected:UpdateWorkload wellarchitected:UpdateWorkloadShare wellarchitected:UpgradeLensReview wellarchitected:UpgradeProfileVersion wellarchitected:UpgradeReviewTemplateLensReview  | 
| wisdom |  wisdom:CreateAssistant wisdom:CreateAssistantAssociation wisdom:CreateContent wisdom:CreateKnowledgeBase wisdom:CreateQuickResponse wisdom:CreateSession wisdom:DeleteAssistant wisdom:DeleteAssistantAssociation wisdom:DeleteContent wisdom:DeleteImportJob wisdom:DeleteKnowledgeBase wisdom:DeleteQuickResponse wisdom:GetAssistant wisdom:GetAssistantAssociation wisdom:GetContent wisdom:GetContentAssociation wisdom:GetContentSummary wisdom:GetImportJob wisdom:GetKnowledgeBase wisdom:GetRecommendations wisdom:GetSession wisdom:ListAssistantAssociations wisdom:ListAssistants wisdom:ListContentAssociations wisdom:ListContents wisdom:ListImportJobs wisdom:ListKnowledgeBases wisdom:ListQuickResponses wisdom:NotifyRecommendationsReceived wisdom:QueryAssistant wisdom:RemoveKnowledgeBaseTemplateUri wisdom:SearchContent wisdom:SearchQuickResponses wisdom:SearchSessions wisdom:StartContentUpload wisdom:StartImportJob wisdom:UpdateContent wisdom:UpdateKnowledgeBaseTemplateUri wisdom:UpdateQuickResponse wisdom:UpdateSession  | 
| worklink |  worklink:AssociateDomain worklink:AssociateWebsiteAuthorizationProvider worklink:AssociateWebsiteCertificateAuthority worklink:CreateFleet worklink:DeleteFleet worklink:DescribeAuditStreamConfiguration worklink:DescribeCompanyNetworkConfiguration worklink:DescribeDevice worklink:DescribeDevicePolicyConfiguration worklink:DescribeDomain worklink:DescribeFleetMetadata worklink:DescribeIdentityProviderConfiguration worklink:DescribeWebsiteCertificateAuthority worklink:DisassociateDomain worklink:DisassociateWebsiteAuthorizationProvider worklink:DisassociateWebsiteCertificateAuthority worklink:ListDevices worklink:ListDomains worklink:ListFleets worklink:ListWebsiteAuthorizationProviders worklink:ListWebsiteCertificateAuthorities worklink:RestoreDomainAccess worklink:RevokeDomainAccess worklink:SignOutUser worklink:UpdateAuditStreamConfiguration worklink:UpdateCompanyNetworkConfiguration worklink:UpdateDevicePolicyConfiguration worklink:UpdateDomainMetadata worklink:UpdateFleetMetadata worklink:UpdateIdentityProviderConfiguration  | 
| workspaces |  workspaces:AcceptAccountLinkInvitation workspaces:AssociateConnectionAlias workspaces:AssociateIpGroups workspaces:AssociateWorkspaceApplication workspaces:CopyWorkspaceImage workspaces:CreateAccountLinkInvitation workspaces:CreateConnectClientAddIn workspaces:CreateConnectionAlias workspaces:CreateIpGroup workspaces:CreateStandbyWorkspaces workspaces:CreateUpdatedWorkspaceImage workspaces:CreateWorkspaceBundle workspaces:CreateWorkspaceImage workspaces:CreateWorkspaces workspaces:CreateWorkspacesPool workspaces:DeleteAccountLinkInvitation workspaces:DeleteClientBranding workspaces:DeleteConnectClientAddIn workspaces:DeleteConnectionAlias workspaces:DeleteIpGroup workspaces:DeleteWorkspaceBundle workspaces:DeleteWorkspaceImage workspaces:DeployWorkspaceApplications workspaces:DeregisterWorkspaceDirectory workspaces:DescribeAccount workspaces:DescribeAccountModifications workspaces:DescribeApplicationAssociations workspaces:DescribeApplications workspaces:DescribeBundleAssociations workspaces:DescribeClientBranding workspaces:DescribeClientProperties workspaces:DescribeConnectClientAddIns workspaces:DescribeConnectionAliasPermissions workspaces:DescribeConnectionAliases workspaces:DescribeCustomWorkspaceImageImport workspaces:DescribeImageAssociations workspaces:DescribeIpGroups workspaces:DescribeWorkspaceAssociations workspaces:DescribeWorkspaceBundles workspaces:DescribeWorkspaceDirectories workspaces:DescribeWorkspaceImagePermissions workspaces:DescribeWorkspaceSnapshots workspaces:DescribeWorkspaces workspaces:DescribeWorkspacesConnectionStatus workspaces:DescribeWorkspacesPoolSessions workspaces:DescribeWorkspacesPools workspaces:DisassociateConnectionAlias workspaces:DisassociateIpGroups workspaces:DisassociateWorkspaceApplication workspaces:GetAccountLink workspaces:ImportClientBranding workspaces:ImportWorkspaceImage workspaces:ListAccountLinks workspaces:ListAvailableManagementCidrRanges workspaces:MigrateWorkspace workspaces:ModifyAccount workspaces:ModifyCertificateBasedAuthProperties workspaces:ModifyClientProperties workspaces:ModifyEndpointEncryptionMode workspaces:ModifySamlProperties workspaces:ModifySelfservicePermissions workspaces:ModifyStreamingProperties workspaces:ModifyWorkspaceAccessProperties workspaces:ModifyWorkspaceCreationProperties workspaces:ModifyWorkspaceProperties workspaces:ModifyWorkspaceState workspaces:RebootWorkspaces workspaces:RebuildWorkspaces workspaces:RegisterWorkspaceDirectory workspaces:RejectAccountLinkInvitation workspaces:RestoreWorkspace workspaces:StartWorkspaces workspaces:StartWorkspacesPool workspaces:StopWorkspaces workspaces:StopWorkspacesPool workspaces:TerminateWorkspaces workspaces:TerminateWorkspacesPool workspaces:TerminateWorkspacesPoolSession workspaces:UpdateConnectClientAddIn workspaces:UpdateConnectionAliasPermission workspaces:UpdateWorkspaceBundle workspaces:UpdateWorkspaceImagePermission workspaces:UpdateWorkspacesPool  | 
| xray |  xray:CreateGroup xray:CreateSamplingRule xray:DeleteGroup xray:DeleteResourcePolicy xray:DeleteSamplingRule xray:GetEncryptionConfig xray:GetGroup xray:GetGroups xray:GetInsight xray:GetInsightEvents xray:GetInsightImpactGraph xray:GetInsightSummaries xray:GetSamplingRules xray:ListResourcePolicies xray:PutEncryptionConfig xray:PutResourcePolicy xray:UpdateGroup xray:UpdateSamplingRule  | 

# Resúmenes de políticas
<a name="access_policies_understand"></a>

La consola de IAM incluye tablas de *resumen de política* que describen el nivel de acceso, los recursos y las condiciones permitidos o rechazados para cada servicio de una política. Las políticas se resumen en tres tablas: el [resumen de política](access_policies_understand-policy-summary.md), el [resumen de servicio](access_policies_understand-service-summary.md) y el [resumen de acción](access_policies_understand-action-summary.md). La tabla de *resumen de política* contiene una lista de servicios. Elija un servicio para ver el *resumen de servicio*. Esta tabla de resumen incluye una lista de las acciones y permisos asociados con el servicio elegido. Puede elegir una acción de dicha tabla para ver el *resumen de acción*. Esta tabla incluye una lista de recursos y condiciones para la acción que haya elegido. 

![\[Imagen del diagrama de resúmenes de política que ilustra las tres tablas y su relación\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policy_summaries-diagram.png)


Puede ver los resúmenes de las políticas en la página **Users (Usuarios)** o **Roles** de todas las políticas (administradas e insertadas) asociadas a dicho usuario. Puede ver los resúmenes de las políticas administradas en la página **Policies (Políticas)**. Las políticas administradas incluyen políticas administradas por AWS, políticas de función administradas por AWS y las políticas administradas por el cliente. Puede ver resúmenes de estas políticas en la página **Policies (Politicas)**, independientemente de si están asignadas a un usuario u otra identidad de IAM.

Puede utilizar la información de los resúmenes de política para comprender los permisos que autoriza o deniega la política. Los resúmenes de políticas pueden ayudarle a [solucionar problemas](troubleshoot_policies.md) y arreglar las políticas que no están proporcionando los permisos que espera.

**Topics**
+ [Resumen de política (lista de servicios)](access_policies_understand-policy-summary.md)
+ [Niveles de acceso en los resúmenes de políticas](access_policies_understand-policy-summary-access-level-summaries.md)
+ [Resumen de servicios (lista de acciones)](access_policies_understand-service-summary.md)
+ [Resumen de acción (lista de recursos)](access_policies_understand-action-summary.md)
+ [Ejemplos de resúmenes de políticas](access_policies_policy-summary-examples.md)

# Resumen de política (lista de servicios)
<a name="access_policies_understand-policy-summary"></a>

Las políticas se resumen en tres tablas: el resumen de política, el [resumen de servicio](access_policies_understand-service-summary.md) y el [resumen de acción](access_policies_understand-action-summary.md). La tabla *resumen de política* incluye una lista de servicios y resúmenes de los permisos que la política elegida define. 

![\[Imagen del diagrama de resúmenes de política que ilustra las tres tablas y su relación\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policy_summaries-pol-sum.png)


La tabla de resumen de política se agrupa en una o varias secciones **Uncategorized services (Servicios sin categorizar)**, **Explicit deny (Denegar explícitamente)** y **Allow (Permitir)**. Si la política incluye un servicio que IAM no reconoce, el servicio se incluye en la sección **Servicios sin categorizar** de la tabla. Si IAM reconoce el servicio, este se incluye en las secciones **Denegación explícita** o **Permitir** de la tabla, en función del efecto de la política (`Deny` o `Allow`).

## Descripción de los elementos de un resumen de política
<a name="understanding-elements-policy-summary"></a>

En el siguiente ejemplo de página de detalles de una política, la política **SummaryAllElements** es una política administrada (política administrada por el cliente) que está asociada directamente al usuario. Esta política se ha ampliado para mostrar el resumen de política. 

![\[Imagen del cuadro de diálogo de resumen de política\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-summary-user-page-dialog.png)


En la imagen anterior, el resumen de política es visible desde la página **Políticas**:

1. La pestaña **Permisos** incluye los permisos definidos en la política.

1. Si la política no concede permisos a todas las acciones, recursos y condiciones definidos por la política, aparece un banner de advertencia o error en la parte superior de la página. El resumen de política incluye información sobre el problema. Para obtener más información acerca de cómo los resúmenes de políticas pueden ser de ayuda para comprender y solucionar problemas de los permisos que concede su política, consulte [Mi política no concede los permisos esperados](troubleshoot_policies.md#policy-summary-not-grant-permissions).

1. Utilice los botones **Resumen** y **JSON** para alternar entre el resumen de política y el documento de política de JSON.

1.  Utilice el cuadro **Buscar** para reducir la lista de servicios y buscar un determinado servicio.

1. La vista ampliada muestra detalles adicionales de la política **SummaryAllElements**.

En la siguiente imagen de tabla de resumen de política se muestra la política **SummaryAllElements** ampliada en la página de detalles de la política.

![\[Imagen del cuadro de diálogo de resumen de política\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-summary-table-dialog.png)


En la imagen anterior, el resumen de política es visible desde la página **Políticas**:

1. En el caso de aquellos servicios que IAM reconoce, los servicios se organizan en función de si la política permite o deniega explícitamente el uso del servicio. En este ejemplo, la política incluye una instrucción `Deny` para el servicio Amazon S3, e instrucciones `Allow` para los servicios Facturación, CodeDeploy y Amazon EC2.

1. **Servicio** - Esta columna enumera los servicios definidos en la política y ofrece detalles de cada servicio. Cada nombre de servicio incluido en la tabla de resumen de política es un enlace a la tabla *resumen de servicio*, que se explica en [Resumen de servicios (lista de acciones)](access_policies_understand-service-summary.md). En este ejemplo, se definen permisos para los servicios Amazon S3, Facturación, CodeDeploy y Amazon EC2.

1. **Nivel de acceso**: esta columna indica si las acciones de cada nivel de acceso (`List`, `Read`, `Write`, `Permission Management` y `Tagging`) tienen permisos `Full` o `Limited` definidos en la política. Para obtener información y ejemplos adicionales del resumen de nivel de acceso, consulte [Niveles de acceso en los resúmenes de políticas](access_policies_understand-policy-summary-access-level-summaries.md).
   + **Acceso total** - Esta entrada indica que el servicio tiene acceso a todas las acciones de los cuatro niveles de acceso disponibles para el servicio.
   + <a name="full-vs-limited-access-summary"></a>Si la entrada no incluye **Full access (Acceso total)**, el servicio tiene acceso a algunas, pero no todas, acciones del servicio. El acceso viene definido por las siguientes descripciones de cada clasificación de nivel de acceso (`List`, `Read`, `Write`, `Permission Management` y `Tagging`):

     **Full (Total)**: la política proporciona acceso a todas las acciones de cada clasificación de nivel de acceso indicada. En este ejemplo, la política proporciona acceso a todas las acciones `Read` del servicio Facturación.

     **Limited (Limitado)**: la política proporciona acceso a una o varias, pero no todas, acciones de la clasificación de nivel de acceso indicada. En este ejemplo, la política proporciona acceso a algunas de las acciones `Write` del servicio Facturación.

1. **Recurso** - Esta columna muestra los recursos que la política especifica para cada servicio. 
   + **Múltiples** - La política incluye más de uno, pero no todos los recursos, del servicio. En este ejemplo, el acceso se deniega explícitamente a más de un recurso de Amazon S3.
   + **Todos los recursos**: la política se define para todos los recursos del servicio. En este ejemplo, la política permite que las acciones indicadas se realicen en todos los recursos del servicio Facturación.
   + Texto de recurso - La política incluye un recurso del servicio. En este ejemplo, las acciones indicadas solo están permitidas para el recurso `DeploymentGroupName` de CodeDeploy. En función de la información que el servicio proporcione a IAM, es posible que aparezca un ARN o bien el tipo de recurso definido.
**nota**  
Esta columna puede incluir un recurso de otro servicio. Si la instrucción de la política que incluye el recurso no incluye ambas acciones y recursos del mismo servicio, el servicio incluirá recursos erróneos. IAM no le avisa de recursos no coincidentes al crear una política o al visualizar una política en el resumen de política. Si esta columna incluye un recurso no coincidente, debe comprobar que la política no tiene errores. Para comprender mejor las políticas, pruébelas siempre con el [simulador de políticas](access_policies_testing-policies.md).

1. **Condición de solicitud** - Esta columna indica si los servicios o acciones asociados al recurso están sujetos a las condiciones.
   + **Ninguna** - La política no incluye ninguna condición para el servicio. En este ejemplo, no se aplica ninguna condición a las acciones denegadas en el servicio de Amazon S3.
   + Texto de condición - La política incluye una condición para el servicio. En este ejemplo, las acciones del servicio Facturación indicadas solo están permitidas si la dirección IP del origen coincide con `203.0.113.0/24`.
   + **Múltiples** - La política incluye más de una condición para el servicio. Para ver cada una de las diversas condiciones de la política, seleccione **JSON** con el fin de ver el documento de política.

1. **Mostrar servicios restantes**: utilice este botón para ampliar la tabla con el fin de incluir los servicios que no están definidos por la política. Estos servicios *se deniegan implícitamente* (o se deniegan de forma predeterminada) en esta política. Sin embargo, una instrucción de otra política podría seguir permitiendo o denegar explícitamente el uso del servicio. El resumen de política resume los permisos de una única política. Para obtener información sobre cómo el servicio de AWS decide si se permite o deniega una determinada solicitud, consulte [Lógica de evaluación de políticas](reference_policies_evaluation-logic.md).

Cuando una política o un elemento dentro de la política no concede permisos, IAM, proporciona información y advertencias adicionales en la política de resumen. En la siguiente tabla de resumen de política se muestran los servicios de **Mostrar servicios restantes** ampliados en la página de detalles de la política **SummaryAllElements** junto con las posibles advertencias.

![\[Imagen del cuadro de diálogo de resumen de política\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-summary-table-showremaining-dialog.png)


En la imagen anterior, puede ver todos los servicios que incluyen acciones, recursos o condiciones definidos sin permisos:

1. **Advertencia del recurso** - En el caso de servicios que no conceden permisos para todas las acciones o recursos incluidos, verá una de las siguientes advertencias en la columna **Recurso** de la tabla:
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/console-alert-icon.console.png) No resources are defined. (No hay recursos definidos.** - Esto significa que el servicio ha definido acciones, pero no se incluyen recursos admitidos en la política.
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/console-alert-icon.console.png) One or more actions do not have an applicable resource. (Una o más acciones no tienen un recurso aplicable.** - Esto significa que el servicio ha definido acciones, pero que algunas de ellas no incluyen un recurso admitido.
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/console-alert-icon.console.png) One or more resources do not have an applicable action. (Uno o más recursos no tienen una acción aplicable.** - Esto significa que el servicio ha definido recursos, pero que algunos de ellos no incluyen una acción admitida.

   Si un servicio incluye tanto acciones que no tienen un recurso aplicable como recursos que sí tienen un recurso aplicable, solo aparece la advertencia **Uno o varios recursos no tienen una acción aplicable**. Esto se debe a que el resumen de servicio del servicio en cuestión no muestra los recursos que no son aplicables a ninguna acción. En el caso de la acción `ListAllMyBuckets`, esta política incluye la última advertencia porque la acción no admite permisos en el nivel de recursos ni la clave de condición `s3:x-amz-acl`. Si soluciona el problema de recursos o el de condición, el problema que quede pendiente aparece en una advertencia detallada.

1. **Advertencias de la condición de solicitud** - En el caso de servicios que no conceden permisos para todas las condiciones incluidas, verá una de las siguientes advertencias en la columna **Condición de la solicitud** de la tabla:
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/console-alert-icon.console.png) One or more actions do not have an applicable condition. (Una o más acciones no tienen una condición aplicable.** - Esto significa que el servicio ha definido acciones, pero que algunas de ellas no incluyen una condición admitida.
   + **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/console-alert-icon.console.png) One or more conditions do not have an applicable action. (Una o más condiciones no tienen una acción aplicable.** - Esto significa que el servicio ha definido condiciones, pero que algunas de ellas no incluyen una acción admitida.

1. **Multiple (Múltiples) \$1 ![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/console-alert-icon.console.png) One or more actions do not have an applicable resource. (Una o más acciones no tienen un recurso aplicable.)** - La instrucción `Deny` para Amazon S3 incluye más de un recurso. También incluye más de una acción, de las cuales algunas admiten los recursos y otras no. Para consultar esta política, visite [Documento de política JSON **SummaryAllElements**](#policy-summary-example-json). En este caso, la política incluye todas las acciones de Amazon S3 y se deniegan solo las acciones que pueden realizarse en un bucket o en un objeto de bucket.

1. **![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/console-alert-icon.console.png) No resources are defined (No hay recursos definidos)** - El servicio incluye acciones definidas, pero la política no incluye recursos admitidos. Por lo tanto, el servicio no concede permisos. En este caso, la política incluye acciones de CodeCommit pero ningún recurso de CodeCommit.

1. **DeploymentGroupName \$1 cadena como \$1 Todas, región \$1 cadena como \$1 us-west-2 \$1 ![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/console-alert-icon.console.png) Una o varias acciones no tienen un recurso aplicable.** - El servicio tiene una acción definida y al menos una acción más que no tiene recurso de apoyo.

1. **Ninguna \$1 ![\[Warning hazard sign icon with yellow triangle background.\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/console-alert-icon.console.png) Una o varias condiciones no tienen una acción aplicable.** - El servicio tiene al menos una clave de condición que no tiene acción de apoyo.

## Documento de política JSON **SummaryAllElements**
<a name="policy-summary-example-json"></a>

La política **SummaryAllElements** no ha sido creada para que defina permisos en su cuenta. En su lugar, se incluyen para demostrar los errores y las advertencias que podría encontrar al consultar un resumen de políticas.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "billing:Get*",
                "payments:List*",
                "payments:Update*",
                "account:Get*",
                "account:List*",
                "cur:GetUsage*"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": "203.0.113.0/24"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": [
                "s3:*"
            ],
            "Resource": [
                "arn:aws:s3:::customer",
                "arn:aws:s3:::customer/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:GetConsoleScreenshots"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "codedploy:*",
                "codecommit:*"
            ],
            "Resource": [
                "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:*",
                "arn:aws:codebuild:us-east-1:123456789012:project/my-demo-project"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:GetObject",
                "s3:DeletObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "arn:aws:autoscling:us-east-2:123456789012:autoscalgrp"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": [
                        "public-read"
                    ],
                    "s3:prefix": [
                        "custom",
                        "other"
                    ]
                }
            }
        }
    ]
}
```

------

# Visualización de resúmenes de políticas
<a name="access_policies_view-policy-summary"></a>

Puede ver los resúmenes de políticas para cualquier política que esté asociada a un usuario o rol de IAM. En el caso de las políticas administradas, puede ver los resúmenes de las políticas en la página **Políticas**. Si la política no incluye ningún resumen de política, consulte [Resumen de la política que falta](troubleshoot_policies.md#missing-policy-summary) para descubrir el motivo.

## Visualización de resúmenes de políticas desde la página **Políticas**
<a name="viewing-policy-summaries-from-the-policies-page"></a>

Puede ver el resumen de política de las políticas administradas en la página **Policies (Políticas)**.

**Para ver el resumen de política desde la página **Policies (Políticas)****

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Políticas**.

1. En la lista de políticas, seleccione el nombre de la política que desea ver.

1. En la página **Detalles de la política** correspondiente a la política, consulte la pestaña **Permisos** para ver el resumen de la política.

## Visualización de un resumen de políticas de una política asociada a un usuario
<a name="viewing-policy-summaries-for-policies-attached-to-users"></a>

Puede ver el resumen de políticas de cualquier política asociada a un usuario de IAM.

**Para ver el resumen de una política asociada a un usuario**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Elija la opción **Users (Usuarios)** en el panel de navegación.

1. En la lista de usuarios, seleccione el nombre del usuario cuya política desea ver.

1. En la página **Summary (Resumen)** del usuario, diríjase a la pestaña **Permissions (Permisos)** para ver la lista de políticas asociadas directamente al usuario o desde un grupo.

1. En la tabla de políticas del usuario, amplíe la fila de la política que desea ver.

## Visualización de un resumen de políticas de una política asociada a un rol
<a name="viewing-policy-summaries-for-policies-attached-to-roles"></a>

Puede ver el resumen de políticas de cualquier política asociada a un rol.

**Para ver el resumen de una política asociada a un rol**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Seleccione **Roles** en el panel de navegación.

1. En la lista de roles, seleccione el nombre del rol cuya política desea ver.

1. En la página **Summary (Resumen)** del rol, diríjase a la pestaña **Permissions (Permisos)** para ver la lista de políticas asociadas al rol.

1. En la tabla de políticas del rol, amplíe la fila de la política que desea ver.

## Edición de políticas para solucionar mensajes de advertencia
<a name="edit-policy-summary"></a>

Mientras visualiza el resumen de una política, puede encontrar un error tipográfico o descubrir que la política no proporciona los permisos que esperaba. No se puede editar un resumen de política directamente. Sin embargo, puede editar una política administrada por el cliente con el editor visual de políticas, que detecta muchos de los mismos errores y advertencias que informa el resumen de políticas. A continuación, puede ver los cambios en el resumen de política para confirmar que han resuelto todos los problemas. Para obtener información sobre cómo editar una política insertada, consulte [Edición de políticas de IAM](access_policies_manage-edit.md). No se puede editar políticas administradas por AWS.

Para editar una política para el resumen de políticas, puede utilizar la opción **Visual**.

**Para editar una política para el resumen de política mediante la opción **Visual****

1. Abra el resumen de política, tal y como se ha explicado en los últimos procedimientos.

1. Elija **Edit (Edición de)**.

   Si está en la página **Users (Usuarios)** y opta por editar una política administrada por el cliente asociada a dicho usuario, se le redirigirá a la página **Policies (Políticas)**. Solo puede editar las políticas administradas por el cliente en la página **Policies (Políticas)**.

1. Seleccione la opción **Visual** para ver la representación visual editable de la política. IAM podría reestructurar la política a fin de optimizarla para el editor visual y para facilitar la detección y corrección de problemas. Los mensajes de advertencia y error de la página le ayudarán a solucionar cualquier problema con la política. Para obtener más información sobre cómo IAM reestructura las políticas, consulte [Reestructuración de políticas](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Edite la política y seleccione **Siguiente** para ver los cambios reflejados en el resumen de política. Si sigue viendo un problema, elija **Previous (Anterior)** para volver a la pantalla de edición.

1. Elija **Guardar cambios** para guardar los cambios.

Para editar una política para el resumen de políticas, puede utilizar la opción **JSON**.

**Para editar una política para el resumen de políticas a través de la opción **JSON****

1. Abra el resumen de política, tal y como se ha explicado en los últimos procedimientos.

1. Puede utilizar los botones **Resumen** y **JSON** para comparar el resumen de política con el documento de política de JSON. Puede utilizar esta información para determinar qué líneas del documento de política desea cambiar.

1. Seleccione **Editar** y después la opción **JSON** para editar el documento de política de JSON.
**nota**  
Puede alternar entre las opciones **Visual** y **JSON** del editor en todo momento. No obstante, si realiza cambios o selecciona **Siguiente** en la opción **Visual** del editor, es posible que IAM reestructure la política con el fin de optimizarla para el editor visual. Para obtener más información, consulte [Reestructuración de políticas](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

   Si está en la página **Users (Usuarios)** y opta por editar una política administrada por el cliente asociada a dicho usuario, se le redirigirá a la página **Policies (Políticas)**. Solo puede editar las políticas administradas por el cliente en la página **Policies (Políticas)**.

1. Edite su política. Resuelva las advertencias de seguridad, errores o advertencias generales que se generen durante la[ validación de la política](access_policies_policy-validator.md) y luego elija **Siguiente**. Si sigue viendo un problema, elija **Previous (Anterior)** para volver a la pantalla de edición.

1. Elija **Guardar cambios** para guardar los cambios.

# Niveles de acceso en los resúmenes de políticas
<a name="access_policies_understand-policy-summary-access-level-summaries"></a>

## AWSResumen de nivel de acceso de
<a name="access_policies_access-level-summaries"></a>

Los resúmenes de políticas son resúmenes de niveles de acceso que describen los permisos de acciones definidos en cada servicio mencionado en la política en cuestión. Para obtener más información acerca de los resúmenes de políticas, consulte [Resúmenes de políticas](access_policies_understand.md). Los resúmenes de niveles de acceso indican si las acciones en cada nivel de acceso (`List`, `Read`, `Tagging`, `Write` y `Permissions management`) tienen permisos `Full` o `Limited` definidos en la política. Para ver la clasificación de nivel de acceso que se asigna a cada acción de un servicio, consulte [Acciones, Recursos y Claves de condición para servicios de AWS](reference_policies_actions-resources-contextkeys.html).

En el siguiente ejemplo se describe el acceso proporcionado por una política a unos servicios determinados. Para ver ejemplos de documentos de política JSON completos y los resúmenes de políticas relacionados, consulte [Ejemplos de resúmenes de políticas](access_policies_policy-summary-examples.md).


****  

| Servicio | Nivel de acceso | Esta política proporciona lo siguiente | 
| --- | --- | --- | 
| IAM | Acceso completo | Acceso a todas las acciones dentro del servicio de IAM. | 
| CloudWatch | Full (Completo): List (Enumerar) | Acceso a todas las acciones de CloudWatch en el nivel de acceso List, pero sin acceso a las acciones con la clasificación de nivel de acceso Read, Write o Permissions management. | 
| Data Pipeline | Limited (Limitado): List, (Enumerar), Read (Lectura) | Acceso a al menos una pero no todas las acciones de AWS Data Pipeline con el nivel de acceso List y Read, pero sin acceso a las acciones Write o Permissions management | 
| EC2 | Full (Completo): List (Enumerar), Read (Lectura)Limited (Limitado): Write (Escritura) | Acceso a todas las acciones Amazon EC2 y List de Read y acceso a al menos una pero no a todas las acciones Write de Amazon EC2, pero ningún acceso a acciones con la clasificación de nivel de acceso Permissions management. | 
| S3 | Limited (Limitado): Read (Lectura), Write (Escritura), Permissions management (Administración de permisos) | Acceso a al menos una pero no a todas las acciones de Amazon S3 Read, Write y Permissions management. | 
| codedploy | (empty) | Acceso desconocido, porque IAM no reconoce este servicio. | 
| API Gateway | Ninguno | No hay accesos definidos en la política. | 
| CodeBuild | ![\[a white exclamation point on an orange triangle background\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/console-alert-icon.console.png) No hay acciones definidas. | No hay acceso porque no se definen las acciones para el servicio. Para obtener información sobre cómo comprender y resolver este problema, consulte [Mi política no concede los permisos esperados](troubleshoot_policies.md#policy-summary-not-grant-permissions). | 

En el resumen de una política, el **Acceso completo** indica que la política proporciona acceso a todas las acciones dentro del servicio. Las políticas que proporcionan acceso a algunas pero no a todas las acciones de un servicio se agrupan en función de la clasificación del nivel de acceso. Esto se indica mediante una de las siguientes agrupaciones de nivel de acceso:
+ **Full (Completo):** la política proporciona acceso a todas las acciones de la clasificación de nivel de acceso especificada.
+ **Limited (Limitado):** la política proporciona acceso a una o varias, pero no todas, las acciones de la clasificación del nivel de acceso especificado.
+ **None (Ninguno):** la política no proporciona ningún tipo de acceso.
+ (vacío): IAM no reconoce este servicio. Si el nombre del servicio incluye un error tipográfico, entonces la política no proporcionará acceso al servicio. Si el nombre del servicio es correcto, el servicio podría no admitir resúmenes de políticas o podría estar en vista previa. En este caso, la política podría proporcionar acceso, pero dicho acceso no puede mostrarse en el resumen de la política. Para solicitar soporte de resumen de políticas para un servicio de disponibilidad general, consulte [El servicio no admite resúmenes de políticas de IAM](troubleshoot_policies.md#unsupported-services-actions).

Los resúmenes de niveles de acceso que incluyen acceso (parcial) a acciones se agrupan utilizando las clasificaciones de nivel de acceso AWS, `List`, `Read`, `Tagging` o `Write` de `Permissions management`.

## AWSNiveles de acceso de
<a name="access_policies_access-level"></a>

AWS define las siguientes clasificaciones de nivel de acceso para las acciones en un servicio:
+ **List (Enumerar):** permiso para enumerar los recursos dentro del servicio para determinar si existe un objeto. Las acciones con este nivel de acceso pueden enumerar objetos pero no pueden ver el contenido de un recurso. Por ejemplo, la acción de Amazon S3 `ListBucket` tiene el nivel de acceso **Lista**. 
+ **Read (Lectura):** permiso para leer, pero no editar, el contenido y los atributos de los recursos del servicio. Por ejemplo, las acciones de Amazon S3 `GetObject` y `GetBucketLocation` tienen el nivel de acceso **Lectura**.
+ **Etiquetado**: permiso para realizar acciones que solo cambian el estado de etiquetas de recursos. Por ejemplo, las acciones de IAM `TagRole` y `UntagRole` tienen el nivel de acceso **Etiquetado** porque solo permiten etiquetar o quitar etiquetas de un rol. Sin embargo, la acción `CreateRole` permite etiquetar los recursos del rol al crear ese rol. Dado que la acción no solo añade una etiqueta, tiene el nivel de acceso `Write`.
+ **Write (Escritura):** permiso para crear, eliminar o modificar los recursos del servicio. Por ejemplo, las acciones de Amazon S3 `CreateBucket`, `DeleteBucket` y `PutObject` tienen nivel de acceso **Escritura**. Las acciones `Write` también podrían permitir modificar una etiqueta de recurso. Sin embargo, una acción que solo permite cambios a etiquetas tiene el nivel de acceso `Tagging`.
+ **Administración de permisos**: la administración de permisos se refiere a las acciones que controlan el acceso dentro de Servicios de AWS, incluidos los permisos de identidad de IAM o que no sean de IAM, pero excluye los controles de acceso a nivel de red, como los grupos de seguridad. Por ejemplo, la mayoría de las acciones de IAM y AWS Organizations, además de las acciones `PutBucketPolicy` y `DeleteBucketPolicy` de Amazon S3 tienen el nivel de acceso **Administración de permisos**.
**Sugerencia**  
Para mejorar la seguridad de su cuenta de Cuenta de AWS, limite o monitoree periódicamente las políticas que incluyen la clasificación de nivel de acceso **Permissions management** (Administración de permisos).

Para ver la clasificación de nivel de acceso para todas las acciones de un servicio, consulte [Acciones, Recursos y Claves de condición para servicios de AWS](reference_policies_actions-resources-contextkeys.html).

# Resumen de servicios (lista de acciones)
<a name="access_policies_understand-service-summary"></a>

Las políticas se resumen en tres tablas: el resumen de política, el [resumen de servicio](access_policies_understand-policy-summary.md) y el [resumen de acción](access_policies_understand-action-summary.md). La tabla *resumen de servicio* incluye una lista de acciones y resúmenes de los permisos definidos por la política del servicio elegido.

![\[Imagen del diagrama de resúmenes de política que ilustra las tres tablas y su relación\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policy_summaries-svc-sum.png)


Puede ver un resumen de cada servicio enumerado en el resumen de política que concede los permisos. La tabla se agrupa en las secciones **Uncategorized actions (Acciones sin categorizar)**, **Uncategorized resource types (Tipos de recursos sin categorizar)** y nivel de acceso. Si la política incluye una acción que IAM no reconoce, entonces la acción se incluye en la sección **Acciones no categorizadas** de la tabla. Si IAM reconoce la acción, entonces se incluye en una de las secciones de nivel de acceso (**Enumerar**, **Leer**, **Escribir** y **Administración de permisos**) de la tabla. Para ver la clasificación de nivel de acceso que se asigna a cada acción de un servicio, consulte [Acciones, Recursos y Claves de condición para servicios de AWS](reference_policies_actions-resources-contextkeys.html).

## Descripción de los elementos de un resumen de servicio
<a name="understanding-elements-service-summary"></a>

El ejemplo siguiente es el resumen de servicio correspondiente a acciones de Amazon S3 que están permitidas desde un resumen de política. Las acciones de este servicio se agrupan por nivel de acceso. Por ejemplo, se definen 35 acciones **Leer** de un total de 52 acciones **Leer** disponibles para el servicio.

![\[Imagen del cuadro de diálogo de resumen del servicio\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-summary-action-dialog.png)


La página de resumen de servicio de una política administrada incluye la siguiente información:

1. Si la política no concede permisos a todas las acciones, recursos y condiciones definidos por el servicio de la política, aparece un banner de advertencia en la parte superior de la página. El resumen de servicio incluye información sobre el problema. Para obtener más información acerca de cómo los resúmenes de políticas pueden ser de ayuda para comprender y solucionar problemas de los permisos que concede su política, consulte [Mi política no concede los permisos esperados](troubleshoot_policies.md#policy-summary-not-grant-permissions).

1. Seleccione **JSON** para ver detalles adicionales sobre la política. Puede hacerlo para ver todas las condiciones que se aplican a las acciones. (Si visualiza el resumen de servicio de una política insertada asociada directamente a un usuario, debe cerrar el cuadro de diálogo del resumen de servicio y volver al resumen de política para acceder al documento de la política JSON).

1. Para ver el resumen de una acción específica, escriba palabras clave en el cuadro **Buscar**, con el fin de reducir la lista de acciones disponibles.

1. Junto a la flecha de retroceso **Servicios** aparece el nombre del servicio (en este caso, **S3**). El resumen de servicio correspondiente a este servicio incluye la lista de acciones permitidas o denegadas que están definidas en la política. Si el servicio aparece en **(Denegación explícita)** en la pestaña **Permisos**, se deniegan explícitamente las acciones que figuran en la tabla de resumen de servicio. Si el servicio aparece en **Permitir** en la pestaña **Permisos**, se permiten las acciones que figuran en la tabla de resumen de servicio. 

1. **Acción**: esta columna muestra las acciones que están definidas en la política y proporciona los recursos y condiciones para cada acción. Si la política concede o deniega permisos para la acción, el nombre de la acción enlaza a la tabla de *[resumen de acción](access_policies_understand-action-summary.md)*. Esta tabla agrupa estas acciones en al menos una sección y hasta un máximo de cinco, en función del nivel de acceso que la política permita o deniegue. Las secciones son **Enumerar**, **Leer**, **Escribir**, **Administración de permisos** y **Etiquetado**. El recuento indica el número de acciones reconocidas que proporcionan permisos en cada nivel de acceso. El total es el número de acciones conocidas para el servicio. En este ejemplo, 35 acciones proporcionan permisos de un total de 52 acciones **Leer** de Amazon S3 conocidas. Para ver la clasificación de nivel de acceso que se asigna a cada acción de un servicio, consulte [Acciones, Recursos y Claves de condición para servicios de AWS](reference_policies_actions-resources-contextkeys.html).

1. **Mostrar acciones restantes**: utilice este botón para ampliar u ocultar la tabla con el fin de incluir las acciones conocidas pero que no proporcionan permisos para este servicio. Al utilizar este botón también se muestran advertencias para los elementos que no proporcionan permisos.

1. **Recurso** - Esta columna muestra los recursos que la política define para el servicio. IAM no comprueba si el recurso se aplica a cada acción. En este ejemplo, las acciones del servicio Amazon S3 solo están permitidas en el recurso de bucket de Amazon S3 `developer_bucket`. En función de la información que el servicio proporcione a IAM, se puede mostrar un ARN, como `arn:aws:s3:::developer_bucket/*`, o el tipo de recurso definido, como `BucketName = developer_bucket`.
**nota**  
Esta columna puede incluir un recurso de otro servicio. Si la instrucción de la política que incluye el recurso no incluye ambas acciones y recursos del mismo servicio, el servicio incluirá recursos erróneos. IAM no le avisa sobre recursos erróneos al crear una política o al visualizar una política en el resumen de servicio. IAM tampoco indica si la acción se aplica a los recursos, solo si coincide con el servicio. Si esta columna incluye un recurso no coincidente, debe comprobar que la política no tiene errores. Para comprender mejor las políticas, pruébelas siempre con el [simulador de políticas](access_policies_testing-policies.md).

1. **Condición de solicitud** - Esta columna muestra si las acciones asociadas al recurso están sujetas a las condiciones. Para obtener más información sobre estas condiciones, seleccione **JSON** para revisar el documento de política de JSON.

1. **Sin acceso** - Esta política incluye una acción que no proporciona permisos. 

1. **Advertencia de recursos** - En el caso de acciones con recursos que no conceden permisos completos, verá una de las siguientes advertencias:
   + **This action does not support resource-level permissions. (Esta acción no admite permisos por recursos. This requires a wildcard (\$1) for the resource. (Se necesita un comodín [\$1] para el recurso.** - Esto significa que la política incluye permisos en el nivel de recursos, pero debe incluir `"Resource": ["*"]` para conceder permisos para esta acción.
   + **This action does not have an applicable resource. (Esta acción no tiene un recurso aplicable.** - Esto significa que la acción está incluida en la política, pero sin un recurso admitido.
   + **This action does not have an applicable resource and condition. (Esta acción no tienen un recurso y una condición aplicables.** - Esto significa que la acción está incluida en la política, pero sin un recurso ni una condición admitidos. En este caso, también existe una condición incluida en la política para este servicio, pero no hay condiciones aplicables a esta acción.

1. Entre las acciones que conceden los permisos se incluye un enlace al resumen de la acción.

# Visualización de resúmenes de servicios
<a name="access_policies_view-service-summary"></a>

Puede ver un resumen de cada servicio enumerado en el resumen de política que concede los permisos. 

## Visualización de los resúmenes de servicios desde la página **Políticas**
<a name="viewing-service-summaries-from-the-policies-page"></a>

Puede ver el resumen de servicio de las políticas administradas en la página **Políticas**.

**Para ver el resumen de servicio de una política administrada**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Políticas**.

1. En la lista de políticas, seleccione el nombre de la política que desea ver.

1. En la página **Detalles de la política** correspondiente a la política, consulte la pestaña **Permisos** para ver el resumen de la política.

1. En la lista de servicios del resumen de política, elija el nombre del servicio que desea ver.

## Visualización de un resumen de servicios de una política asociada a un usuario
<a name="viewing-service-summaries-for-policies-attached-to-users"></a>

Puede ver el resumen de servicios de cualquier política asociada a un usuario de IAM.

**Para ver el resumen de servicio de una política asociada a un usuario**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Usuarios**.

1. En la lista de usuarios, seleccione el nombre del usuario cuya política desea ver.

1. En la página **Summary (Resumen)** del usuario, diríjase a la pestaña **Permissions (Permisos)** para ver la lista de políticas asociadas directamente al usuario o desde un grupo.

1. En la tabla de políticas del usuario, elija el nombre de la política que desea ver.

   Si está en la página **Usuarios** y decide ver el resumen de servicio correspondiente a una política que está asociada a ese usuario, se le redirigirá a la página **Políticas**. Solo se pueden ver resúmenes de servicios en la página **Políticas**.

1. Seleccione **Resumen**. En la lista de servicios del resumen de política, elija el nombre del servicio que desea ver.
**nota**  
Si la política que selecciona es una política insertada que está asociada directamente con el usuario, aparecerá la tabla de resumen de servicio. Si la política es una política insertada asociada a un grupo, entonces accederá al documento de política JSON de ese grupo. Si la política es una política administrada, se le redirigirá al resumen de servicio de dicha política en la página **Policies (Políticas)**.

## Visualización de un resumen de servicios de una política asociada a un rol
<a name="viewing-service-summaries-for-policies-attached-to-roles"></a>

Puede ver el resumen de políticas de cualquier política asociada a un rol.

**Para ver el resumen de servicio de una política asociada a un rol**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Elija la opción **Roles** en el panel de navegación.

1. En la lista de roles, seleccione el nombre del rol cuya política desea ver.

1. En la página **Summary (Resumen)** del rol, diríjase a la pestaña **Permissions (Permisos)** para ver la lista de políticas asociadas al rol.

1. En la tabla de políticas del rol, seleccione el nombre de la política que desee ver.

   Si está en la página **Roles** y decide ver el resumen de servicio correspondiente a una política que está asociada a ese usuario, se le redirigirá a la página **Políticas**. Solo se pueden ver resúmenes de servicios en la página **Políticas**.

1. En la lista de servicios del resumen de política, elija el nombre del servicio que desea ver.

# Resumen de acción (lista de recursos)
<a name="access_policies_understand-action-summary"></a>

Las políticas se resumen en tres tablas: el resumen de política, el [resumen de servicio](access_policies_understand-policy-summary.md) y el [resumen de acción](access_policies_understand-service-summary.md). La tabla de *resumen de acción* incluye una lista de recursos y las condiciones asociadas que son aplicables a la acción que elija. 

![\[Imagen del diagrama de resúmenes de política que ilustra las tres tablas y su relación.\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policy_summaries-action-sum.png)


Para ver un resumen de acción de cada acción que concede permisos, elija el enlace en el resumen del servicio. La tabla de resumen de acción incluye detalles sobre el recurso, incluidas las opciones **Region (Región)** y **Account (Cuenta)**. También puede ver las condiciones que se aplican a cada recurso. Esto permite ver las condiciones que se aplican a algunos recursos, pero no a otros.

## Descripción de los elementos de un resumen de acción
<a name="understanding-elements-action-summary"></a>

El ejemplo que aparece a continuación es el resumen de acción `PutObject` (escritura) del resumen de servicio de Amazon S3 (consulte [Resumen de servicios (lista de acciones)](access_policies_understand-service-summary.md)). En esta acción, la política define varias condiciones en un único recurso.



![\[Imagen del cuadro de diálogo de resumen de la acción\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-summary-resource-dialog.png)


La página de resumen de acción incluye la siguiente información:

1. Seleccione **JSON** para ver detalles adicionales sobre la política, tales como las diversas condiciones que se aplican a las acciones. (Si está viendo el resumen de la acción para una política insertada que se adjunta directamente a un usuario, los pasos son diferentes. Para acceder al documento de política JSON en ese caso, debe cerrar el cuadro de diálogo de resumen de acciones y volver al resumen de políticas).

1. Para ver el resumen correspondiente a un recurso específico, escriba palabras clave en el cuadro **Buscar**, con el fin de reducir la lista de recursos disponibles.

1. Junto a la flecha de retroceso **Acciones** aparece el nombre del servicio y la acción con el formato `action name action in service` (en este caso **PutObject action in S3**). El resumen de acción de este servicio incluye la lista de recursos que se define en la política.

1. **Recurso** - Esta columna enumera los recursos que la política define para el servicio que elija. En este ejemplo, la acción **PutObject** está permitida en todas las rutas de objetos, pero solo en el recurso de bucket de Amazon S3 `developer_bucket`. En función de la información que el servicio proporcione a IAM, se puede mostrar un ARN, como `arn:aws:s3:::developer_bucket/*`, o el tipo de recurso definido, como `BucketName = developer_bucket, ObjectPath = All`.

1. **Región** - Esta columna muestra la región en la que se define el recurso. Los recursos se pueden definir para todas las regiones o para una única región. No pueden existir en más de una región específica.
   + **Todas las regiones**: las acciones que están asociadas al recurso se aplican a todas las regiones. En este ejemplo, la acción pertenece a un servicio global, Amazon S3. Las acciones que pertenecen a los servicios globales se aplican a todas las regiones.
   + Texto de la región - Las acciones asociadas al recurso se aplican a una región. Por ejemplo, una política puede especificar la región `us-east-2` para un recurso.

1. **Cuenta** - Esta columna indica si los servicios o acciones asociados al recurso se aplican a una cuenta específica. Los recursos pueden existir en todas las cuentas o en una única cuenta. No pueden existir en más de una cuenta específica.
   + **Todas las cuentas** - Las acciones asociadas al recurso se aplican a todas las cuentas. En este ejemplo, la acción pertenece a un servicio global, Amazon S3. Las acciones que pertenecen a los servicios globales se aplican a todas las cuentas.
   + **Esta cuenta**: las acciones que están asociadas al recurso solo se aplican a la cuenta actual.
   + Número de cuenta - Las acciones asociadas al recurso se aplican a una cuenta (en la que no haya iniciado sesión actualmente). Por ejemplo, si una política especifica la cuenta `123456789012` para un recurso, el número de cuenta aparece en el resumen de política.

1. **Condición de solicitud** - Esta columna muestra si las acciones asociadas al recurso están sujetas a condiciones. En este ejemplo se incluye la condición `s3:x-amz-acl = public-read`. Para obtener más información sobre estas condiciones, seleccione **JSON** para revisar el documento de política de JSON.

# Ver resúmenes de acciones
<a name="access_policies_view-action-summary"></a>

Puede ver un resumen de acciones de cada acción enumerada en el resumen de políticas que concede permisos. 

## Visualización de resúmenes de acciones desde la página **Políticas**
<a name="viewing-action-summaries-from-the-policies-page"></a>

Puede ver el resumen de acciones de las políticas administradas.

**Para ver el resumen de acción de una política administrada**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Políticas**.

1. En la lista de políticas, seleccione el nombre de la política que desea ver.

1. En la página **Detalles de la política** correspondiente a la política, consulte la pestaña **Permisos** para ver el resumen de la política.

1. En la lista de servicios del resumen de política, elija el nombre del servicio que desea ver.

1. En la lista de acciones del resumen de servicio, elija el nombre de la acción que desea ver.

## Visualización de resúmenes de acciones de una política asociada a un usuario
<a name="viewing-action-summaries-for-policies-attached-to-users"></a>

Puede ver el resumen de acciones de cualquier política asociada a un usuario.

**Para ver el resumen de acción de una política asociada a un usuario**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Elija la opción **Users (Usuarios)** en el panel de navegación.

1. En la lista de usuarios, seleccione el nombre del usuario cuya política desea ver.

1. En la página **Summary (Resumen)** del usuario, diríjase a la pestaña **Permissions (Permisos)** para ver la lista de políticas asociadas directamente al usuario o desde un grupo.

1. En la tabla de políticas del usuario, elija el nombre de la política que desea ver.

   Si está en la página **Usuarios** y decide ver el resumen de servicio correspondiente a una política que está asociada a ese usuario, se le redirigirá a la página **Políticas**. Solo se pueden ver resúmenes de servicios en la página **Políticas**.

1. En la lista de servicios del resumen de política, elija el nombre del servicio que desea ver.
**nota**  
Si la política que selecciona es una política insertada que está asociada directamente con el usuario, aparecerá la tabla de resumen de servicio. Si la política es una política insertada asociada a un grupo, entonces accederá al documento de política JSON de ese grupo. Si la política es una política administrada, se le redirigirá al resumen de servicio de dicha política en la página **Policies (Políticas)**.

1. En la lista de acciones del resumen de servicio, elija el nombre de la acción que desea ver.

## Visualización de resúmenes de acciones de una política asociada a un rol
<a name="viewing-action-summaries-for-policies-attached-to-roles"></a>

Puede ver el resumen de acciones de cualquier política asociada a un rol.

**Para ver el resumen de acción de una política asociada a un rol**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Seleccione **Roles** en el panel de navegación.

1. En la lista de roles, seleccione el nombre del rol cuya política desea ver.

1. En la página **Summary (Resumen)** del rol, diríjase a la pestaña **Permissions (Permisos)** para ver la lista de políticas asociadas al rol.

1. En la tabla de políticas del rol, seleccione el nombre de la política que desee ver.

   Si está en la página **Roles** y decide ver el resumen de servicio correspondiente a una política que está asociada a ese usuario, se le redirigirá a la página **Políticas**. Solo se pueden ver resúmenes de servicios en la página **Políticas**.

1. En la lista de servicios del resumen de política, elija el nombre del servicio que desea ver.

1. En la lista de acciones del resumen de servicio, elija el nombre de la acción que desea ver.

# Ejemplos de resúmenes de políticas
<a name="access_policies_policy-summary-examples"></a>

Los siguientes ejemplos muestran políticas JSON con sus [resúmenes de política](access_policies_understand-policy-summary.md), [resúmenes de servicio](access_policies_understand-service-summary.md) y [resúmenes de acción](access_policies_understand-action-summary.md) asociados para comprender los permisos que se dan por medio de una política.

## Política 1: DenyCustomerBucket
<a name="example1"></a>

Esta política demuestra un permitir y un denegar para el mismo servicio.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccess",
            "Effect": "Allow",
            "Action": ["s3:*"],
            "Resource": ["*"]
        },
        {
            "Sid": "DenyCustomerBucket",
            "Action": ["s3:*"],
            "Effect": "Deny",
            "Resource": ["arn:aws:s3:::customer", "arn:aws:s3:::customer/*" ]
        }
    ]
}
```

------

*Resumen de la política **DenyCustomerBucket**:*

![\[Imagen del cuadro de diálogo de resumen de política\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-summary-example1-dialog.png)


*Resumen del servicio **DenyCustomerBucket S3 (denegación explícita)**:*

![\[Imagen del cuadro de diálogo de resumen del servicio\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-summary-action-example1-dialog.png)


*Resumen de la acción **GetObject (lectura)**:*

![\[Imagen del cuadro de diálogo de resumen de la acción\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-summary-resource-example1-dialog.png)


## Política 2: DynamoDbRowCognitoID
<a name="policy_example2"></a>

Esta política proporciona acceso de nivel de filas a Amazon DynamoDB en función del ID de Amazon Cognito del usuario.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:DeleteItem",
                "dynamodb:GetItem",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem"
            ],
            "Resource": [
                "arn:aws:dynamodb:us-west-1:123456789012:table/myDynamoTable"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "dynamodb:LeadingKeys": [
                        "${cognito-identity.amazonaws.com:sub}"
                    ]
                }
            }
        }
    ]
}
```

------

*Resumen de la política **DynamoDbRowCognitoID**:*

![\[Imagen del cuadro de diálogo de resumen de política\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-summary-example2-dialog.png)


*Resumen del servicio **DynamoDbRowCognitoID DynamoDB (permitir)**:*

![\[Imagen del cuadro de diálogo de resumen del servicio\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-summary-action-example2-dialog.png)


*Resumen de la política **GetItem (enumerar)**:*

![\[Imagen del cuadro de diálogo de resumen de la acción\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-summary-resource-example2-dialog.png)


## Política 3: MultipleResourceCondition
<a name="policy_example3"></a>

Esta política contiene varios recursos y condiciones.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": ["arn:aws:s3:::Apple_bucket/*"],
            "Condition": {"StringEquals": {"s3:x-amz-acl": ["public-read"]}}
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": ["arn:aws:s3:::Orange_bucket/*"],
            "Condition": {"StringEquals": {
                "s3:x-amz-acl": ["custom"],
                "s3:x-amz-grant-full-control": ["1234"]
            }}
        }
    ]
}
```

------

*Resumen de la política **MultipleResourceCondition**:*

![\[Imagen del cuadro de diálogo de resumen de política\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-summary-example3-dialog.png)


*Resumen del servicio **MultipleResourceCondition S3 (permitir)**:*

![\[Imagen del cuadro de diálogo de resumen del servicio\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-summary-action-example3-dialog.png)


*Resumen de la acción **PutObject (escritura)**:*

![\[Imagen del cuadro de diálogo de resumen de la acción\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-summary-resource-example3-dialog.png)


## Política 4: EC2\$1troubleshoot
<a name="policy_example4"></a>

La siguiente política permite a los usuarios obtener una captura de pantalla de una instancia de Amazon EC2 en ejecución, lo que puede ayudarle a la resolución de problemas de EC2. Esta política también permite visualizar información sobre los elementos del bucket de desarrollador de Amazon S3. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:GetConsoleScreenshot"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::developer"
            ]
        }
    ]
}
```

------

*Resumen de la política **EC2\$1Troubleshoot**:*

![\[Imagen del cuadro de diálogo de resumen de política\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-summary-example4-dialog.png)


*Resumen de la política **EC2\$1Troubleshoot S3 (permitir)**:*

![\[Imagen del cuadro de diálogo de resumen del servicio\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-summary-action-example4-dialog.png)


*Resumen de la política **ListBucket (enumerar)**:*

![\[Imagen del cuadro de diálogo de resumen de la acción\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-summary-resource-example4-dialog.png)


## Política 5: CodeBuild\$1CodeCommit\$1CodeDeploy
<a name="example6"></a>

Esta política proporciona acceso a recursos CodeBuild, CodeCommit y CodeDeploy específicos. Dado que estos recursos son específicos de cada servicio, aparecen únicamente con el servicio correspondiente. Si incluye un recurso que no coincide con ninguno de los servicios del elemento `Action`, el recurso aparece en todos los resúmenes de acción.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Stmt1487980617000",
            "Effect": "Allow",
            "Action": [
                "codebuild:*",
                "codecommit:*",
                "codedeploy:*"
            ],
            "Resource": [
                "arn:aws:codebuild:us-east-2:123456789012:project/my-demo-project",
                "arn:aws:codecommit:us-east-2:123456789012:MyDemoRepo",
                "arn:aws:codedeploy:us-east-2:123456789012:application:WordPress_App",
                "arn:aws:codedeploy:us-east-2:123456789012:instance/AssetTag*"
            ]
        }
    ]
}
```

------

*Resumen de la política **CodeBuild\$1CodeCommit\$1CodeDeploy**:*

![\[Imagen del cuadro de diálogo de resumen de política\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-summary-example6-dialog.png)


*Resumen del servicio **CodeBuild\$1CodeCommit\$1CodeDeploy CodeBuild (permitir)**:*

![\[Imagen del cuadro de diálogo de resumen del servicio\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-summary-action-example6-dialog.png)


*Resumen de la acción **CodeBuild\$1CodeCommit\$1CodeDeploy StartBuild (escritura)**:*

![\[Imagen del cuadro de diálogo de resumen de la acción\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/policies-summary-resource-example6-dialog.png)


# Permisos obligatorios para obtener acceso a recursos de IAM
<a name="access_permissions-required"></a>

Los *recursos* son objetos dentro de un servicio. Los recursos de IAM incluyen grupos, usuarios, roles y políticas. Si inicia sesión con las credenciales de Usuario raíz de la cuenta de AWS, no tiene restricciones para administrar credenciales de IAM o recursos de IAM. Sin embargo, los usuarios de IAM deben conceder permisos explícitamente para administrar credenciales o recursos de IAM. Puede hacerlo, adjuntando una política basada en identidades al usuario.

**nota**  
En la documentación de AWS, cuando nos referimos a una política de IAM sin mencionar ninguna de las categorías específicas, nos referimos a una política administrada por el cliente basada en identidades. Para obtener información acerca de categorías de políticas, consulte [Políticas y permisos en AWS Identity and Access Management](access_policies.md).

## Permisos para administrar identidades de IAM
<a name="access_permissions-required-identities"></a>

Los permisos obligatorios para administrar grupos, usuarios, roles y credenciales de IAM normalmente corresponden a las acciones de la API para la tarea. Por ejemplo, con el fin de crear usuarios IAM, debe tener el permiso `iam:CreateUser` que tiene el comando de API correspondiente: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html). Para permitir que un usuario de IAM cree otros usuarios de IAM, puede conectar una política de IAM como la siguiente a dicho usuario: 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:CreateUser",
    "Resource": "*"
  }
}
```

------

En una política, el valor del elemento `Resource` depende de la acción y de los recursos a los que la acción puede afectar. En el ejemplo anterior, la política permite a un usuario crear cualquier usuario (`*` es un comodín que coincide con todas las cadenas). En cambio, una política que permite a los usuarios cambiar únicamente sus propias claves de acceso (acciones de API [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) y [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html)) normalmente tiene un elemento `Resource`. En este caso, el ARN incluye una variable (`${aws:username}`) que se resuelve en el nombre del usuario actual, como en el siguiente ejemplo: 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListUsersForConsole",
            "Effect": "Allow",
            "Action": "iam:ListUsers",
            "Resource": "arn:aws:iam::*:*"
        },
        {
            "Sid": "ViewAndUpdateAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:UpdateAccessKey",
                "iam:CreateAccessKey",
                "iam:ListAccessKeys"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

En el ejemplo anterior, `${aws:username}` es una variable que se resuelve en el nombre de usuario del usuario actual. Para obtener más información sobre las variables de las políticas, consulte [Elementos de la política de IAM: variables y etiquetas](reference_policies_variables.md). 

El uso de un comodín (`*`) en el nombre de acción a menudo facilita la concesión de permisos para todas las acciones relacionadas con una tarea específica. Por ejemplo, para permitir que los usuarios realicen cualquier acción de IAM, puede utilizar `iam:*` para la acción. Para permitir que los usuarios realicen cualquier acción relacionada solo con claves de acceso, puede utilizar `iam:*AccessKey*` en el elemento `Action` de la instrucción de una política. Esto da al usuario permiso para realizar las acciones [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html) y [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html) (Si una acción se añade a IAM en el futuro con "AccessKey" en el nombre, si usa `iam:*AccessKey*` para el elemento `Action` también dará al usuario permiso para esa nueva acción). En el ejemplo siguiente se muestra una política que permite a los usuarios llevar a cabo todas las acciones que pertenecen a sus propias claves de acceso (se sustituye `account-id` por su ID de cuenta de Cuenta de AWS): 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": "iam:*AccessKey*",
        "Resource": "arn:aws:iam::111122223333:user/${aws:username}"
    }
}
```

------

Algunas tareas, como, por ejemplo, eliminar un grupo, implican varias acciones: primero eliminar los usuarios del grupo, después separar o eliminar las políticas del grupo y, por último, eliminar el grupo. Si quiere que un usuario pueda eliminar un grupo, debe estar seguro de dar al usuario permisos para llevar a cabo todas las acciones relacionadas. 

## Permisos para trabajar en la . Consola de administración de AWS
<a name="Credentials-Permissions-overview-console"></a>

En los ejemplos anteriores se muestran políticas que permiten a un usuario realizar las acciones con la [AWS CLI](https://aws.amazon.com/cli/) o los [SDK de AWS](https://aws.amazon.com/tools/). 

A medida que los usuarios trabajan con la consola, esta genera solicitudes para IAM para enumerar grupos, usuarios, roles y políticas, y para obtener las políticas asociadas a un grupo, usuario o rol. La consola también envía solicitudes para obtener información de cuenta de Cuenta de AWS e información sobre la entidad principal. La entidad principal es el usuario que realiza solicitudes en la consola. 

En general, para realizar una acción, debe tener únicamente la acción coincidente incluida en una política. Para crear un usuario, necesita permiso para llamar a la acción `CreateUser`. A menudo, cuando utiliza la consola para realizar una acción, debe disponer de permisos para mostrar, enumerar, obtener o consultar recursos en la consola. Esto es necesario para que pueda navegar a través de la consola para realizar la acción especificada. Por ejemplo, si el usuario Jorge desea utilizar la consola para cambiar sus propias claves de acceso, va a la consola de IAM y elige **Users**. Esta acción hace que la consola genere una solicitud [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html). Si Jorge no tiene permiso para la acción `iam:ListUsers`, se deniega el acceso a la consola cuando esta intenta enumerar los usuarios. Como resultado, Jorge no puede ir a su propio nombre ni a sus propias claves de acceso, aunque tenga permisos para las acciones [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) y [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html).

Si quiere conceder a los usuarios permisos para administrar grupos, usuarios, roles, políticas y credenciales con la Consola de administración de AWS, debe incluir permisos para las acciones que realiza la consola. Para ver algunos ejemplos de políticas que puede utilizar para conceder a un usuario estos permisos, consulte [Ejemplos de políticas para administrar recursos de IAM](id_credentials_delegate-permissions_examples.md). 

## Conceder permisos en las cuentas de AWS
<a name="UserPermissionsAcrossAccounts"></a>

Puede conceder directamente a los usuarios de IAM de su propia cuenta acceso a los recursos. Si hay usuarios de otra cuenta que necesitan obtener acceso a sus recursos, puede crear un rol de IAM, que es una entidad que contiene permisos, pero que no está asociada a un usuario concreto. Los usuarios de otras cuentas pueden utilizar el rol y obtener acceso a recursos en función de los permisos que haya asignado al rol. Para obtener más información, consulte [Acceso para un usuario de IAM en otra Cuenta de AWS propia](id_roles_common-scenarios_aws-accounts.md).

**nota**  
Algunos servicios de admiten políticas basadas en recursos como se describe en [Políticas basadas en identidad y políticas basadas en recursos](access_policies_identity-vs-resource.md) (como Amazon S3, Amazon SNS y Amazon SQS). Para esos servicios, una alternativa al uso de roles es adjuntar una política al recurso (bucket, tema o cola) que desea compartir. La política basada en recursos puede especificar la cuenta de AWS que tenga permisos para obtener acceso al recurso.

## Permisos para que un servicio obtenga acceso a otro.
<a name="UserPermissionsAcrossAWS_ARCHIVE"></a>

Muchos servicios de AWS obtienen acceso a otros servicios de AWS. Por ejemplo, varios servicios de AWS, como Amazon EMR, Elastic Load Balancing y Amazon EC2 Auto Scaling administran instancias de Amazon EC2. Otros servicios de AWS utilizan buckets de Amazon S3, temas de Amazon SNS, colas de Amazon SQS, etc.

El escenario de administración de permisos en estos casos varía según el servicio. He aquí algunos ejemplos de cómo se gestionan los permisos para diferentes servicios: 
+ En Amazon EC2 Auto Scaling, los usuarios deben tener permiso para utilizar Auto Scaling, pero no necesitan que se les concedan de forma explícita permiso para administrar instancias Amazon EC2. 
+ En AWS Data Pipeline, un rol de IAM determina qué puede hacer una canalización; los usuarios necesitan permiso para asumir el rol. (Para más detalles, consulte [Concesión de permisos a pipelines con IAM](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) en la *Guía del desarrollador de AWS Data Pipeline*). 

Para obtener información detallada sobre cómo configurar permisos de forma adecuada, de forma que un servicio de AWS sea capaz de realizar las tareas que usted se propone, consulte la documentación del servicio al que llama. Para obtener información sobre cómo crear un rol para un servicio, consulte [Crear un rol para delegar permisos a un servicio de AWS](id_roles_create_for-service.md).

**Configuración de un servicio con un rol de IAM para que trabaje en su nombre**  
Cuando quiere configurar un servicio de AWS para que trabaje en su nombre, normalmente proporciona el ARN de un rol de IAM que define qué puede hacer el servicio. AWS realiza una comprobación para asegurarse de que tiene permisos para transferir un rol a un servicio. Para obtener más información, consulte [Conceder permisos a un usuario para transferir un rol a un servicio de AWS](id_roles_use_passrole.md).

## Acciones obligatorias
<a name="access_permissions-required-dependent-actions"></a>

Las acciones son las cosas que puede hacer en un recurso, como visualizar, crear, editar y eliminar dicho recurso. Las acciones se definen por medio de cada servicio de AWS.

Para permitir a alguien realizar una acción, debe incluir las acciones necesarias en una política que se aplica a la identidad que realiza la llamada o al recurso afectado. En general, para proporcionar el permiso obligatorio para realizar una acción, deberá incluir dicha acción en la política. Por ejemplo, para crear un usuario, tiene que añadir la acción CreateUser a su política.

En algunos casos, una acción podría requerir que incluya acciones relacionadas en su política. Por ejemplo, para proporcionar permiso para que alguien cree un directorio en AWS Directory Service utilizando la operación `ds:CreateDirectory`, deberá incluir las siguientes acciones en su política:
+ `ds:CreateDirectory`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeVpcs`
+ `ec2:CreateSecurityGroup`
+ `ec2:CreateNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:AuthorizeSecurityGroupIngress`
+ `ec2:AuthorizeSecurityGroupEgress`

Al crear o editar una política con el editor visual, recibe advertencias y avisos que le permitirán elegir todas las acciones necesarias para su política.

Para obtener más información acerca de los permisos necesarios para crear un directorio en AWS Directory Service, consulte [Ejemplo 2: Permitir a un usuario crear un directorio](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/IAM_Auth_Access_IdentityBased.html#IAMPolicyExamples_DS_create_directory).

# Ejemplos de políticas para administrar recursos de IAM
<a name="id_credentials_delegate-permissions_examples"></a>

A continuación se muestran ejemplos de políticas de IAM que permiten a los usuarios realizar tareas asociadas a la administración de usuarios, grupos y credenciales de IAM. Esto incluye políticas que permiten a los usuarios administrar sus propias contraseñas, claves de acceso y dispositivos de autenticación multifactor (MFA).

Para ver ejemplos de políticas que permiten a los usuarios realizar tareas con otros servicios de AWS, como Amazon S3, Amazon EC2, y DynamoDB consulte [Ejemplos de políticas basadas en identidad de IAM](access_policies_examples.md). 

**Topics**
+ [Permitir a un usuario elaborar una lista con los grupos, los usuarios y las políticas de una cuenta, y más información para realizar informes](#iampolicy-example-userlistall)
+ [Permitir a un usuario administrar la suscripción a un grupo](#iampolicy-example-usermanagegroups)
+ [Permitir a un usuario administrar usuarios de IAM](#creds-policies-users)
+ [Permitir a los usuarios definir la política de contraseñas de la cuenta](#creds-policies-set-password-policy)
+ [Permitir a los usuarios generar y recuperar informes de credenciales de IAM](#iampolicy-generate-credential-report)
+ [Permitir todas las acciones de IAM (acceso de administrador)](#creds-policies-all-iam)

## Permitir a un usuario elaborar una lista con los grupos, los usuarios y las políticas de una cuenta, y más información para realizar informes
<a name="iampolicy-example-userlistall"></a>

La siguiente política permite a los usuarios llamar a cualquier acción de IAM que empiece con la cadena `Get` o `List`, y generar informes. Para ver la política de ejemplo, consulte [IAM: ermite el acceso de solo lectura a la consola de IAM](reference_policies_examples_iam_read-only-console.md). 

## Permitir a un usuario administrar la suscripción a un grupo
<a name="iampolicy-example-usermanagegroups"></a>

La siguiente política permite al usuario actualizar la suscripción al grupo denominado *MarketingGroup*. Para ver la política de ejemplo, consulte [IAM: permite administrar la pertenencia a un grupo mediante programación y en la consola](reference_policies_examples_iam_manage-group-membership.md). 

## Permitir a un usuario administrar usuarios de IAM
<a name="creds-policies-users"></a>

La siguiente política permite a un usuario realizar todas las tareas asociadas con la administración de usuarios de IAM, pero no para realizar acciones en otras entidades, como, por ejemplo, crear grupos o políticas. Las acciones permitidas son: 
+ Crear el usuario (la acción [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html)). 
+ Eliminar el usuario. Esta tarea requiere permisos para llevar a cabo las acciones siguientes: [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveUserFromGroup.html) y [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUser.html). 
+ Realizar una lista de los usuarios de la cuenta y de los grupos (las acciones [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html) y [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html)). 
+ Realizar una lista y eliminar las políticas del usuario (las acciones [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAttachedUserPolicies.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DetachUserPolicy.html), [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteUserPolicy.html)) 
+ Cambiar de nombre o cambiar la ruta para el usuario (la acción [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html)). El elemento `Resource` debe incluir un ARN que cubra la ruta de origen y la ruta de destino. Para obtener más información acerca de las rutas, consulte [Nombres fáciles de recordar y rutas](reference_identifiers.md#identifiers-friendly-names).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowUsersToPerformUserActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListPolicies",
                "iam:GetPolicy",
                "iam:UpdateUser",
                "iam:AttachUserPolicy",
                "iam:ListEntitiesForPolicy",
                "iam:DeleteUserPolicy",
                "iam:DeleteUser",
                "iam:ListUserPolicies",
                "iam:CreateUser",
                "iam:RemoveUserFromGroup",
                "iam:AddUserToGroup",
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:PutUserPolicy",
                "iam:ListAttachedUserPolicies",
                "iam:ListUsers",
                "iam:GetUser",
                "iam:DetachUserPolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUsersToSeeStatsOnIAMConsoleDashboard",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccount*",
                "iam:ListAccount*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Varios permisos incluidos en la política anterior permiten al usuario realizar tareas en la Consola de administración de AWS. Los usuarios que realizan tareas relacionadas con el usuario solo desde la [AWS CLI](https://aws.amazon.com/cli/), los [SDK de AWS](https://aws.amazon.com/tools/) o la API de consulta HTTP de IAM no necesitarán determinados permisos. Por ejemplo, si los usuarios ya conocen el ARN de las políticas a separar de un usuario, no necesitarán el permiso `iam:ListAttachedUserPolicies`. La lista exacta de permisos que un usuario requiere depende de las tareas que el usuario debe realizar mientras administra otros usuarios. 

Los siguientes permisos de la política otorgan acceso al usuario a las tareas mediante la Consola de administración de AWS:
+ `iam:GetAccount*`
+ `iam:ListAccount*`

## Permitir a los usuarios definir la política de contraseñas de la cuenta
<a name="creds-policies-set-password-policy"></a>

Puede otorgar permisos a algunos usuarios para obtener y actualizar la [política de contraseñas](id_credentials_passwords_account-policy.md) de su cuenta de Cuenta de AWS. Para ver la política de ejemplo, consulte [IAM: permite establecer los requisitos de contraseña de la cuenta, mediante programación y en la consola](reference_policies_examples_iam_set-account-pass-policy.md). 

## Permitir a los usuarios generar y recuperar informes de credenciales de IAM
<a name="iampolicy-generate-credential-report"></a>

Puede otorgar permiso a los usuarios para generar y descargar un informe que contenga una lista de todos los usuarios de su cuenta de Cuenta de AWS. El informe también muestra el estado de las distintas credenciales del usuario, tales como las contraseñas, las claves de acceso, los dispositivos MFA y los certificados de firma. Para obtener más información sobre los informes de credenciales de , consulte [Generación de informes de credenciales para su Cuenta de AWS](id_credentials_getting-report.md). Para ver la política de ejemplo, consulte [IAM: generar y recuperar de informes de credenciales de IAM](reference_policies_examples_iam-credential-report.md). 

## Permitir todas las acciones de IAM (acceso de administrador)
<a name="creds-policies-all-iam"></a>

Es posible asignar a algunos usuarios permisos administrativos para llevar a cabo todas las acciones en IAM, incluida la administración de contraseñas, claves de acceso, dispositivos MFA y certificados de usuario. La siguiente política de ejemplo concede estos permisos. 

**aviso**  
Al ofrecer a un usuario acceso completo a IAM, no existe ningún límite en lo que respecta a los permisos que un usuario se puede otorgar a sí mismo o a otros. El usuario puede crear entidades de IAM (usuarios o roles) nuevas y otorgarles acceso completo a todos los recursos en su cuenta de Cuenta de AWS. Al ofrecer a un usuario acceso completo a IAM, está otorgándole acceso completo de forma eficaz a todos los recursos de su cuenta de Cuenta de AWS. Esto incluye el acceso para eliminar todos los recursos. Debe conceder estos permisos únicamente a los administradores de confianza y debe forzar la autenticación multifactor (MFA) para estos administradores.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "iam:*",
    "Resource": "*"
  }
}
```

------

# Delegación temporal de IAM
<a name="access_policies-temporary-delegation"></a>

## Descripción general
<a name="temporary-delegation-overview"></a>

La delegación temporal acelera la incorporación y simplifica la administración de los productos de Amazon y los socios de AWS que se integran con sus cuentas de AWS. En lugar de configurar manualmente varios servicios de AWS, puede delegar permisos temporales limitados que permitan al proveedor del producto completar las tareas de configuración en su nombre en cuestión de minutos mediante flujos de trabajo de implementación automatizados. Mantiene el control administrativo con los requisitos de aprobación y los límites de permisos, mientras que los permisos del proveedor del producto vencen automáticamente una vez transcurrido el periodo aprobado sin necesidad de limpiarlos manualmente. Si el producto requiere acceso continuo para las operaciones en curso, el proveedor puede utilizar la delegación temporal para crear un rol de IAM con un límite de permisos que defina los permisos máximos del rol. Toda la actividad del proveedor del producto se rastrea a través de AWS CloudTrail para supervisar el cumplimiento y la seguridad.

**nota**  
Solo los productos de Amazon y los socios de AWS cualificados que hayan completado el proceso de incorporación de características pueden crear solicitudes de delegación temporal. Los clientes revisan y aprueban estas solicitudes, pero no pueden crearlas directamente. Si es un socio de AWS que desea integrar la delegación temporal de IAM en su producto, consulte la [Guía de integración de socios](access_policies-temporary-delegation-partner-guide.md) para obtener instrucciones de incorporación e integración.

## Cómo funciona la delegación temporal
<a name="temporary-delegation-how-it-works"></a>

La delegación temporal permite a Amazon y los socios de AWS solicitar acceso temporal limitado a su cuenta. Tras su aprobación, pueden usar los permisos delegados para tomar medidas en su nombre. Las solicitudes de delegación definen los permisos específicos para los servicios de AWS y las acciones que el proveedor del producto necesita para implementar o configurar los recursos en su cuenta de AWS. Estos permisos solo están disponibles durante un tiempo limitado y vencen automáticamente una vez transcurrido el tiempo especificado en la solicitud.

**nota**  
La duración máxima para el acceso delegado es de 12 horas. Sin embargo, los usuarios raíz solo pueden aprobar las solicitudes de delegación con una duración igual o inferior a 4 horas. Si una solicitud especifica más de 4 horas, debe usar una identidad que no sea raíz para aprobarla. Para obtener más información, consulte [Funcionalidad beta de simulación de permisos](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation).

Para las tareas en curso, como la lectura de un bucket de Amazon S3, las solicitudes de delegación pueden incluir la creación de un rol de IAM que permita el acceso continuado a los recursos y las acciones una vez que venza el acceso temporal. Los proveedores de productos deben adjuntar un límite de permisos a cualquier rol de IAM creado mediante la delegación temporal. Los límites de permisos limitan los permisos máximos de un rol, pero no los conceden por sí solos. Puede revisar el límite de permisos como parte de la solicitud antes de aprobarla. Para obtener más información, consulte [Límites de permisos](access_policies_boundaries.md).

El proceso funciona de la siguiente manera:

1. Inicia sesión en un producto de Amazon o de un socio de AWS para integrarlo con su entorno de AWS.

1. El proveedor del producto inicia una solicitud de delegación en su nombre y lo redirige a la Consola de administración de AWS.

1. Usted revisa los permisos solicitados y determina si debe aprobar, denegar o reenviar la solicitud a su administrador.

1. Una vez que usted o su administrador aprueben la solicitud, el proveedor del producto puede obtener las credenciales temporales del aprobador para llevar a cabo las tareas necesarias.

1. El acceso del proveedor del producto vence automáticamente una vez transcurrido el periodo de tiempo especificado. Sin embargo, cualquier rol de IAM creado a través de la solicitud de delegación temporal perdura más allá de este periodo, lo que permite al proveedor del producto seguir accediendo a los recursos y las acciones para las tareas de administración en curso.

![\[alt text not found\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/delegation-flow.png)


**nota**  
Solo puede delegar permisos en un proveedor de productos si tiene permisos para los servicios y las acciones que se incluyen en la solicitud de delegación temporal. Si no tiene acceso a los servicios y acciones solicitados, el proveedor del producto no recibirá estos permisos cuando apruebe la solicitud.

Si la comprobación de permisos indica que es probable que se complete correctamente, puede aprobar la solicitud de delegación temporal y continuar con el flujo de trabajo.

Si la comprobación de permisos indica que es posible que no tenga permisos suficientes, reenvíe la solicitud a su administrador para que la apruebe. Le recomendamos que notifique esta solicitud al administrador mediante el método que prefiera, como un correo electrónico o un ticket.

Cuando el administrador apruebe la solicitud, lo que suceda a continuación dependerá de la configuración del proveedor del producto:
+ Si el proveedor del producto solicitó acceso inmediato, recibirá automáticamente los permisos temporales y comenzará la duración del acceso.
+ Si el proveedor del producto solicitó la liberación por parte del propietario (destinatario inicial), debe volver a la solicitud para compartir de forma explícita acceso temporal a la cuenta antes de que comience la duración del acceso. Los proveedores de productos suelen utilizar esta opción cuando necesitan información adicional de su parte, como la selección de recursos o los detalles de configuración, para completar la tarea requerida.

# Inicio de una solicitud de delegación temporal
<a name="temporary-delegation-initiate-request"></a>

Solo puede iniciar una solicitud de delegación temporal desde los productos compatibles de Amazon o de los socios de AWS. Durante un flujo de trabajo que permita la delegación temporal, se le pedirá que conceda al proveedor del producto permisos temporales limitados para configurar los recursos necesarios de AWS en su cuenta. Este enfoque automatizado proporciona una experiencia más simplificada al eliminar la necesidad de configurar estos recursos manualmente.

Puede revisar los detalles de la solicitud de delegación, como los roles de IAM, las políticas y los servicios de AWS específicos que el proveedor del producto necesita antes de conceder el acceso. Puede aprobar la solicitud usted mismo si dispone de los permisos suficientes o reenviarla al administrador de su cuenta para su aprobación. Todos los accesos de los proveedores de productos tienen un límite de tiempo y pueden supervisarse y revocarse según sea necesario.

**Inicio de una solicitud de delegación temporal**

1. Acceda a la consola de un producto compatible de Amazon o de los socios de AWS que requiera la integración con su cuenta de AWS.

1. Seleccione *Implementar con la delegación temporal de IAM*. Tenga en cuenta que el nombre de la opción puede variar según los productos compatibles. Consulte la documentación del proveedor del producto para obtener más información.
**nota**  
Si aún no inició sesión en la Consola de administración de AWS, se abrirá una nueva ventana con la página de inicio de sesión de AWS. Le recomendamos que inicie sesión en su cuenta de AWS antes de iniciar la solicitud de delegación temporal desde la consola del producto. Para obtener más información sobre cómo iniciar sesión en función del tipo de usuario y los recursos de AWS a los que desea acceder, consulte la [Guía del usuario de Inicio de sesión en AWS](docs---aws.amazon.com.rproxy.goskope.comsignin/latest/userguide/what-is-sign-in.html).

1. Revise los detalles de la solicitud para confirmar el nombre del producto y la cuenta de AWS del proveedor del producto. También puede revisar la identidad de AWS que el proveedor del producto utilizará para llevar a cabo acciones en su nombre.

1. Revise *Detalles de acceso* para ver los permisos que se delegarán temporalmente al aprobar esta solicitud.
   + En la sección *Resumen de permisos* se proporciona una descripción general de alto nivel generada mediante IA que puede ayudarlo a entender a qué categorías de servicios de AWS se puede acceder y qué tipos de acciones se pueden llevar a cabo en cada servicio.
   + Seleccione *Ver JSON* para revisar los permisos específicos que el proveedor del producto debe implementar en su cuenta de AWS, incluidos el alcance del acceso y las limitaciones de recursos.
   + Si el proveedor del producto crea un rol de IAM como parte de una solicitud de delegación temporal, se debe adjuntar un límite de permisos al rol. Estos roles de IAM tienen permisos que siguen permitiendo el acceso a los recursos y las acciones una vez transcurrido el periodo de acceso solicitado. Seleccione *Ver detalles* para revisar el límite de permisos, que define los permisos máximos que puede tener el rol. El proveedor del producto aplicará políticas adicionales al rol durante la creación que definirán sus permisos reales. Estas políticas pueden parecer más específicas o más amplias que el límite, según cómo las defina el proveedor del producto. Sin embargo, el límite de permisos garantiza que los permisos efectivos del rol nunca superarán los que se ven durante la aprobación de la solicitud, independientemente de las políticas adjuntas al rol. Para obtener más información, consulte [Límites de permisos](access_policies_boundaries.md).

1. Revise los resultados de la simulación de permisos. La funcionalidad de simulación de permisos evalúa automáticamente los permisos de su identidad comparándolos con los incluidos en la solicitud. En función de este análisis, se muestra una recomendación en la que se indica si se debe aprobar la solicitud con su identidad actual o reenviarla a un administrador. Para obtener más información, consulte [Funcionalidad beta de simulación de permisos](#temporary-delegation-permission-simulation).

1. En el cuadro de diálogo, seleccione cómo quiere proceder.
   + Seleccione *Permitir acceso* cuando su identidad tenga los permisos suficientes para que el proveedor del producto pueda llevar a cabo los procedimientos de incorporación en su nombre. Al seleccionar esta opción, la duración del acceso del proveedor del producto comienza en cuanto proporciona acceso.
   + Seleccione *Solicitar aprobación* si su identidad no tiene los permisos suficientes para que el proveedor del producto pueda llevar a cabo los procedimientos de incorporación en su nombre. A continuación, seleccione *Crear solicitud de aprobación*. Al seleccionar esta opción, se crea un enlace de solicitud de delegación temporal que puede compartir con el administrador de su cuenta. El administrador puede acceder a la Consola de administración de AWS o utilizar el enlace de acceso para revisar las solicitudes de delegación temporal a fin de aprobarlas y compartir el acceso temporal con el solicitante.

**nota**  
Conceder acceso al proveedor del producto requiere dos acciones: aceptar la solicitud de delegación (`AcceptDelegationRequest`) y liberar el token de intercambio (`SendDelegatedToken`). La Consola de administración de AWS lleva a cabo ambos pasos automáticamente al aprobar una solicitud. Si utiliza la AWS CLI o la API, debe ejecutar ambos pasos por separado.

## Funcionalidad de simulación de permisos (beta)
<a name="temporary-delegation-permission-simulation"></a>

Cuando reciba una solicitud de delegación temporal, puede aprobarla usted mismo o reenviarla al administrador de su cuenta para su aprobación. Solo puede delegar permisos en un proveedor de productos si tiene permisos para los servicios y las acciones que se incluyen en la solicitud de delegación temporal. Si no tiene acceso a los servicios y acciones solicitados, el proveedor del producto no recibirá esos permisos aunque estén incluidos en la solicitud.

Por ejemplo, una solicitud de delegación temporal requiere la capacidad de crear un bucket de Amazon S3, iniciar y detener instancias en Amazon EC2 y asumir un rol de IAM. La identidad que aprueba la solicitud puede iniciar y detener instancias en Amazon EC2 y asumir un rol de IAM, pero no tiene permiso para crear un bucket de Amazon S3. Cuando esta identidad aprueba la solicitud, el proveedor del producto no puede crear un bucket de Amazon S3 a pesar de que estos permisos se incluyeron en la solicitud de delegación temporal.

Como solo puede delegar los permisos que ya posee, es fundamental evaluar si tiene los permisos solicitados antes de aprobarlos. La funcionalidad beta de simulación de permisos ayuda durante esta evaluación, ya que compara sus permisos con los incluidos en la solicitud. La evaluación indica si puede aprobar la solicitud con su identidad actual o si necesita reenviarla a un administrador. Si el análisis no puede validar que tiene permisos suficientes, reenvíe la solicitud a un administrador para que la revise. Esta evaluación se basa en un análisis de permisos simulado y puede diferir del entorno de AWS en vivo, por lo que debe revisar detenidamente los permisos solicitados antes de continuar.

## Siguientes pasos
<a name="temporary-delegation-next-steps"></a>

Tras iniciar una solicitud de delegación temporal, puede administrar y supervisar la solicitud durante todo su ciclo de vida. Los siguientes procedimientos lo ayudan a hacer un seguimiento del acceso temporal, aprobarlo y controlarlo:
+ [Revisión de las solicitudes de delegación temporal](temporary-delegation-review-requests.md): supervise el estado de sus solicitudes de acceso y consulte información detallada sobre las solicitudes para aprobar o denegar las solicitudes de delegación temporal.
+ [Revocación del acceso a la delegación temporal](temporary-delegation-revoke-access.md): termine inmediatamente las sesiones de delegación temporal activas antes de que venzan de forma natural.

# Revisión de solicitudes de delegación temporal
<a name="temporary-delegation-review-requests"></a>

Tras iniciar una solicitud de delegación temporal, puede supervisar, aprobar y rechazar las solicitudes en la consola de IAM. En la página Solicitudes de delegación temporal se proporciona una vista centralizada de todas las solicitudes, incluidas las que están pendientes de aprobación, completadas o rechazadas. Como administrador, puede revisar estas solicitudes para conceder a los proveedores de productos acceso a los recursos de AWS o rechazarlas en función de las políticas de seguridad, los requisitos empresariales o los estándares de cumplimiento de su organización. Esta visibilidad lo ayuda a hacer un seguimiento del ciclo de vida del acceso de los proveedores de productos y a supervisar los permisos temporales.

**nota**  
Debe tener el permiso iam:AcceptDelegationRequest para aprobar las solicitudes de delegación temporal.

**Aprobación de una solicitud de delegación temporal**

1. Inicie sesión en AWS Management Console y abra la consola IAM en https://console.aws.amazon.com/iam/.

1. En el panel de navegación que se muestra a la izquierda, seleccione *Solicitudes de delegación temporal*.

1. En la página principal se muestra una lista de las solicitudes de delegación temporal con la siguiente información:
   + *ID de solicitud*: identificador único de la solicitud
   + *Estado*: estado actual (Pendiente, Aprobada, Rechazada, Compartida, Vencida)
   + *Solicitante*: proveedor del producto asociado a la solicitud
   + *Iniciada por*: entidad principal de IAM de la cuenta que inició la solicitud para el proveedor del producto
   + *Solicitud creada*: cuándo se envió la solicitud
   + *Vencimiento de la solicitud*: cuándo venció o vencerá la solicitud

1. (Opcional) Utilice las opciones de filtro para ver las solicitudes por estado:
   + *Todas las solicitudes*: consulte todas sus solicitudes, independientemente del estado.
   + *Pendientes*: consulte las solicitudes en espera de la aprobación del administrador.
   + *Aprobadas*: consulte las solicitudes aprobadas.
   + *Compartidas*: consulte las solicitudes para las que se compartió el acceso.
   + *Rechazadas*: consulte las solicitudes rechazadas con los motivos del rechazo.

1. Para ver información detallada sobre una solicitud específica o revisar una solicitud pendiente de aprobación, seleccione el ID de la solicitud.

1. Revise la información detallada de la solicitud:
   + Información del proveedor del producto
   + Motivo y justificación de la solicitud
   + Duración solicitada
   + Permisos de AWS solicitados

1. Si es un administrador que revisa una solicitud pendiente, elija una de las siguientes opciones:
   + Para aprobar la solicitud, elija *Aprobar*. En el cuadro de diálogo de aprobación, puede ver los resultados de la simulación de permisos. Para obtener más información, consulte [Funcionalidad beta de simulación de permisos](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation). Tras confirmar la duración del acceso y su identidad de AWS, seleccione *Aprobar* para conceder acceso. Si el proveedor del producto solicitó acceso inmediato, recibirá automáticamente los permisos temporales y comenzará la duración del acceso. De lo contrario, notifique a la persona que inició la solicitud de liberación del acceso al proveedor del producto.
   + Para rechazar la solicitud, elija *Rechazar*.
     + En el cuadro de diálogo de rechazo, indique un motivo claro del rechazo para ayudar al solicitante a entender por qué se denegó su solicitud.
     + Elija *Rechazar* para denegar el acceso.

1. La lista de solicitudes se actualiza automáticamente para mostrar la información de estado más reciente. También puede actualizar la página de forma manual para comprobar si hay actualizaciones de estado.

# Revocación del acceso a la delegación temporal
<a name="temporary-delegation-revoke-access"></a>

Si bien las sesiones de acceso de los proveedores de productos están diseñadas para vencer automáticamente después de la duración aprobada, es posible que tenga que terminar el acceso de inmediato en determinadas situaciones. La revocación del acceso activo de los proveedores de productos proporciona un mecanismo de control de emergencia cuando surgen problemas de seguridad, cuando el trabajo del proveedor del producto finaliza antes de tiempo o cuando cambian los requisitos empresariales. Tanto los iniciadores como los administradores de las solicitudes pueden revocar el acceso para mantener el control operativo y de seguridad.

**Revocación del acceso a la delegación temporal**

1. Inicie sesión en AWS Management Console y abra la consola IAM en https://console.aws.amazon.com/iam/.

1. En el panel de navegación que se muestra a la izquierda, seleccione *Solicitudes de delegación temporal*.

1. Busque el ID de solicitud de la sesión de acceso que desea revocar.

1. Elija *Acciones* y, a continuación, elija *Revocar acceso*.

1. En el cuadro de diálogo, elija *Revocar acceso* para confirmar que desea finalizar inmediatamente la sesión de acceso.

Después de revocar el acceso, el proveedor del producto ya no podrá acceder a sus recursos de AWS. La revocación se registra en AWS CloudTrail con fines de auditoría.

**importante**  
La revocación del acceso termina inmediatamente la sesión de acceso del proveedor del producto. Se interrumpirá cualquier trabajo o proceso en curso que utilice el acceso. Asegúrese de que la revocación no interrumpa las operaciones críticas.

**nota**  
No puede revocar el acceso a las solicitudes que se aprobaron con un usuario raíz. AWS recomienda evitar el uso de un usuario raíz para aprobar las solicitudes de delegación. En su lugar, use un rol de IAM con los permisos adecuados.

## Administración de permisos para solicitudes de delegación
<a name="temporary-delegation-managing-permissions"></a>

Los administradores pueden conceder permisos a las entidades principales de IAM para administrar las solicitudes de delegación de los proveedores de productos. Esto resulta útil cuando desea delegar la autoridad de aprobación a usuarios o equipos específicos de su organización, o cuando necesita controlar quién puede llevar a cabo acciones específicas en relación con las solicitudes de delegación.

Los siguientes permisos de IAM están disponibles para administrar las solicitudes de delegación:


| Permiso | Descripción | 
| --- | --- | 
| iam:AssociateDelegationRequest | Asociar una solicitud de delegación sin asignar a su cuenta de AWS | 
| iam:GetDelegationRequest | Ver los detalles de una solicitud de delegación | 
| iam:UpdateDelegationRequest | Reenviar una solicitud de delegación a un administrador para su aprobación | 
| iam:AcceptDelegationRequest | Aprobar una solicitud de delegación | 
| iam:SendDelegationToken | Liberar el token de intercambio al proveedor del producto después de la aprobación | 
| iam:RejectDelegationRequest | Rechazar una solicitud de delegación | 
| iam:ListDelegationRequests | Enumerar las solicitudes de delegación para su cuenta | 

**nota**  
De forma predeterminada, a las entidades principales de IAM que inician una solicitud de delegación se les conceden automáticamente permisos para administrar esa solicitud específica. Pueden asociarla a su cuenta, ver los detalles de la solicitud, rechazarla, reenviarla a un administrador para su aprobación, liberar el token de intercambio al proveedor del producto tras la aprobación del administrador y enumerar las solicitudes de delegación que sean de su propiedad.

# Notificaciones
<a name="temporary-delegation-notifications"></a>

La delegación temporal de IAM se integra con Notificaciones de usuarios de AWS para ayudarlo a mantenerse informado sobre los cambios de estado de las solicitudes de delegación. Las notificaciones son especialmente útiles para los administradores que necesitan revisar y aprobar las solicitudes de delegación.

Con Notificaciones de usuarios de AWS, puede configurar las alertas para que se envíen a través de varios canales, tales como el correo electrónico, Amazon Simple Notification Service (SNS), AWS Chatbot para Slack o Microsoft Teams, y la aplicación móvil de la Consola de AWS. Esto garantiza que se notifique a las personas adecuadas en el momento adecuado, lo que permite responder más rápidamente a las aprobaciones pendientes o conocer los cambios de acceso. También puede personalizar qué eventos desencadenan las notificaciones en función de las necesidades y los requisitos de seguridad de su organización.

## Eventos de notificaciones disponibles
<a name="temporary-delegation-notification-events"></a>

Puede suscribirse para recibir notificaciones de los siguientes eventos de delegación temporal de IAM:
+ Creación de una solicitud de delegación temporal de IAM
+ Asignación de una solicitud de delegación temporal de IAM
+ Aprobación pendiente de una solicitud de delegación temporal de IAM
+ Rechazo de una solicitud de delegación temporal de IAM
+ Aceptación de una solicitud de delegación temporal de IAM
+ Finalización de una solicitud de delegación temporal de IAM
+ Vencimiento de una solicitud de delegación temporal de IAM

## Configuración de notificaciones
<a name="temporary-delegation-configuring-notifications"></a>

Para configurar las notificaciones de los eventos de delegación temporal de IAM:

1. Abra la consola de Notificaciones de usuarios de AWS.

1. Cree o actualice una configuración de notificaciones.

1. Seleccione AWS IAM como servicio.

1. Elija los eventos de solicitudes de delegación sobre los que desea recibir notificaciones.

1. Configure sus canales de entrega (correo electrónico, AWS Chatbot, etc.).

Para obtener instrucciones detalladas sobre la configuración de Notificaciones de usuarios de AWS, incluida la configuración de los canales de entrega y la administración de las reglas de notificación, consulte la documentación de Notificaciones de usuarios de AWS.

# CloudTrail
<a name="temporary-delegation-cloudtrail"></a>

Todas las acciones llevadas a cabo por los proveedores de productos mediante el acceso delegado temporal se registran automáticamente en AWS CloudTrail. Esto proporciona una visibilidad y una auditabilidad completas de la actividad del proveedor del producto en su cuenta de AWS. Puede identificar qué acciones llevaron a cabo los proveedores de productos, cuándo se produjeron y qué cuenta del proveedor del producto las efectuó.

Para ayudarlo a distinguir entre las acciones que llevan a cabo sus propias entidades principales de IAM y las que llevan a cabo los proveedores de productos con acceso delegado, los eventos de CloudTrail incluyen un nuevo campo denominado `invokedByDelegate` en el elemento `userIdentity`. Este campo contiene el ID de cuenta de AWS del proveedor del producto, lo que facilita el filtrado y la auditoría de todas las acciones delegadas.

## Estructura de los eventos de CloudTrail
<a name="temporary-delegation-cloudtrail-event-structure"></a>

En el ejemplo siguiente se muestra un evento de CloudTrail para una acción llevada a cabo por un proveedor de productos que utiliza el acceso delegado temporal:

```
{
    "eventVersion": "1.09",		 	 	 
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
        "arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
        "accountId": "111122223333",
        "accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-09-09T17:50:16Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedByDelegate": {
            "accountId": "444455556666"
        }
    },
    "eventTime": "2024-09-09T17:51:44Z",
    "eventSource": "iam.amazonaws.com",
    "eventName": "GetUserPolicy",
    "awsRegion": "us-east-1",
    "requestParameters": {
        "userName": "ExampleIAMUserName",
        "policyName": "ExamplePolicyName"
    },
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}
```

El campo `invokedByDelegate` contiene el ID de cuenta de AWS del proveedor del producto que llevó a cabo la acción mediante el acceso delegado. En este ejemplo, la cuenta 444455556666 (el proveedor del producto) llevó a cabo una acción en la cuenta 111122223333 (la cuenta del cliente).

# Delegación temporal de IAM para socios de AWS
<a name="access_policies-temporary-delegation-partner-guide"></a>

## Descripción general
<a name="temporary-delegation-partner-overview"></a>

La delegación temporal de IAM permite a los clientes de AWS incorporar o integrar sin problemas los productos de los socios de AWS en su entorno de AWS mediante flujos de trabajo guiados e interactivos. Los clientes pueden conceder a los socios de AWS acceso temporal limitado para configurar los servicios de AWS necesarios, lo que reduce los problemas de incorporación y acelera el tiempo de obtención de valor.

La delegación temporal de IAM permite a los socios lo siguiente:
+ Optimizar la incorporación de clientes con el aprovisionamiento automatizado de recursos
+ Reducir la complejidad de la integración al eliminar los pasos de configuración manual
+ Generar confianza mediante permisos transparentes y aprobados por el cliente
+ Habilitar operaciones continuas con patrones de acceso a largo plazo utilizando límites de permisos

## Funcionamiento
<a name="temporary-delegation-how-it-works"></a>

1. *El socio crea una solicitud de delegación*: los socios crean una solicitud en la que especifican los permisos que necesitan y durante cuánto tiempo.

1. *El cliente la revisa en la Consola de AWS*: el cliente ve exactamente qué permisos solicita el socio y por qué.

1. *El cliente la aprueba*: el cliente aprueba la solicitud y libera un token de intercambio. El token se envía al socio en relación con este tema de SNS específico.

1. *El socio recibe credenciales temporales*: los socios intercambian el token por credenciales temporales de AWS.

1. *El socio configura los recursos*: los socios utilizan las credenciales para configurar los recursos necesarios en la cuenta del cliente.

## Calificación de los socios
<a name="temporary-delegation-partner-qualification"></a>

Para calificar para la integración de la delegación temporal, el socio debe cumplir con los siguientes requisitos:
+ *Participación en ISV Accelerate*: debe estar inscrito en el programa [ISV Accelerate (ISVA)](https://aws.amazon.com/partners/programs/isv-accelerate/).
+ *Publicación de AWS Marketplace*: su producto debe estar publicado en AWS Marketplace con la insignia “Implementado en AWS”.

## Proceso de incorporación
<a name="temporary-delegation-onboarding-process"></a>

Complete los siguientes pasos para integrar la delegación temporal en su producto:

1. *Paso 1: Revisar los requisitos*

   Revise esta documentación para comprender los requisitos de calificación y complete el siguiente cuestionario para socios.

1. *Paso 2: Enviar la solicitud de incorporación*

   Envíe un correo electrónico a aws-iam-partner-onboarding@amazon.com o póngase en contacto con su representante de AWS. Incluya el cuestionario para socios completado con todos los campos obligatorios de la siguiente tabla.

1. *Paso 3: Validación y revisión de AWS*

   AWS:
   + Validará que cumple con los criterios de calificación.
   + Revisará las plantillas de políticas y los límites de permisos.
   + Proporcionará comentarios sobre los artefactos enviados.

1. *Paso 4: Refinar las políticas*

   Responda a los comentarios de AWS y envíe plantillas de políticas actualizadas o límites de permisos según sea necesario.

1. *Paso 5: Completar el registro*

   Tras la aprobación, AWS:
   + Habilitará el acceso a la API para las cuentas especificadas.
   + Compartirá los ARN de su plantilla de política y el límite de permisos (si corresponde).

   Recibirá una confirmación cuando se complete la incorporación. A continuación, podrá acceder a las API de delegación temporal, CreateDelegationRequest y GetDelegatedAccessToken, desde sus cuentas registradas y empezar a integrar los flujos de trabajo de las solicitudes de delegación en su producto.

## Cuestionario para socios
<a name="temporary-delegation-partner-questionnaire"></a>

En la siguiente tabla se muestra la información necesaria para la incorporación de los socios:


| Información | Descripción | Obligatorio | 
| --- | --- | --- | 
| ID de cuenta del Centro de socios | ID de su cuenta de AWS registrada en el [Centro de socios de AWS](https://partnercentral.awspartner.com/partnercentral2/s/login). | Sí | 
| PartnerId | ID de socio proporcionado por el [Centro de socios de AWS](https://partnercentral.awspartner.com/partnercentral2/s/login). | No | 
| ID de producto de AWS Marketplace | ID de su producto proporcionado por el [Centro de socios de AWS](https://partnercentral.awspartner.com/partnercentral2/s/login). | Sí | 
| ID de cuentas de AWS | Lista de los ID de sus cuentas de AWS que desea utilizar para llamar a las API de delegación temporal. Esto debería incluir sus cuentas de producción y de no producción/prueba. | Sí | 
| Nombre del socio | Este nombre se muestra a los clientes en la Consola de administración de AWS cuando revisan su solicitud de delegación temporal. | Sí | 
| Correos electrónicos de contacto | Una o varias direcciones de correo electrónico que podemos utilizar para ponernos en contacto con usted acerca de su integración. | Sí | 
| Dominio del solicitante | Su dominio (por ejemplo, www.ejemplo.com). | Sí | 
| Descripción de integración | Breve descripción del caso de uso que quiere abordar con esta característica. Puede incluir enlaces de referencia a su documentación u otro material público. | Sí | 
| Diagrama de arquitectura | Diagrama de arquitectura que ilustra los casos de uso de la integración. | No | 
| Plantilla de política | Debe registrar al menos una plantilla de políticas para esta característica. La plantilla de política define los permisos temporales que desea solicitar en las cuentas de AWS de los clientes. Para obtener más información, consulte la sección Plantilla de política. | Sí | 
| Nombre de la plantilla de política | Nombre de la plantilla de política que desea registrar. | Sí | 
| Límite de permisos | Si desea crear roles de IAM en las cuentas de los clientes mediante permisos temporales, debe registrar un límite de permisos en IAM. Los límites de permisos se adjuntarán a los roles de IAM que cree para limitar los permisos máximos del rol. Puede usar determinadas políticas administradas de AWS como límite de permisos o registrar un nuevo límite de permisos personalizado (JSON). Para obtener más información, consulte la sección Límites de permisos. | No | 
| Nombre del límite de permisos | Nombre de su límite de permisos. El formato es arn:aws:iam::partner:policy/permission\$1boundary/<dominio\$1socio>/<nombre\$1política>\$1<fecha>. El nombre de la política debe incluir la fecha de creación como sufijo. El nombre no se puede actualizar una vez creado el límite de permisos. Si utiliza una política administrada de AWS existente, proporcione el ARN de la política administrada en su lugar. | No | 
| Descripción del límite de permisos | Descripción de su límite de permisos. La descripción no se puede actualizar una vez creado el límite de permisos. | No | 

# Descripción de la integración
<a name="temporary-delegation-understanding-integration"></a>

Tras completar el proceso de incorporación, puede crear su integración con la delegación temporal de IAM. Una integración completa suele implicar tres categorías principales de trabajo:

## 1. Diseño del flujo de trabajo y la experiencia de usuario
<a name="temporary-delegation-user-experience"></a>

Cree una experiencia de frontend en la aplicación del socio que guíe a los clientes a través del flujo de trabajo de la delegación temporal. La aplicación del socio debe:
+ Presentar un flujo claro de incorporación o configuración en el que los clientes puedan conceder acceso temporal. Etiquete esta acción de forma clara, como “Implementar con delegación temporal de IAM”.
+ Redirigir a los clientes a la Consola de administración de AWS para revisar y aprobar la solicitud de delegación mediante el enlace de la consola devuelto por la API CreateDelegationRequest
+ Proporcionar los mensajes adecuados sobre los permisos que se solicitan y por qué. Los clientes pueden ver este mensaje en la página de detalles de la solicitud de delegación.
+ Gestionar la devolución del cliente a su aplicación una vez que haya completado la aprobación en AWS.

## 2. Integración de la API
<a name="temporary-delegation-api-integration"></a>

Utilice las API de delegación temporal de IAM para enviar y administrar las solicitudes de delegación. Cuando sus cuentas de AWS estén registradas, podrá acceder a las siguientes API:
+ *IAM CreateDelegationRequest*: crea una solicitud de delegación para la cuenta de AWS de un cliente. Esta API devuelve un enlace de la consola al que redirige a los clientes para que revisen y aprueben la solicitud.
+ *AWS STS GetDelegatedAccessToken*: recupera las credenciales temporales de AWS después de que un cliente apruebe su solicitud de delegación. Utilice estas credenciales para llevar a cabo acciones en la cuenta del cliente.

Su integración debe gestionar todo el ciclo de vida de las solicitudes de delegación, incluida la creación de las solicitudes, la supervisión de su estado y la recuperación de las credenciales temporales una vez aprobadas.

## 3. Configuración y orquestación de los recursos
<a name="temporary-delegation-resource-configuration"></a>

Cuando obtenga las credenciales temporales, orqueste los flujos de trabajo necesarios para configurar los recursos en la cuenta de AWS del cliente. Esto puede incluir lo siguiente:
+ Llamar directamente a las API de servicios de AWS para crear y configurar recursos
+ Implementar la infraestructura mediante plantillas de AWS CloudFormation
+ Crear roles de IAM para el acceso continuo (requiere usar límites de permisos)

Su lógica de orquestación debe ser idempotente y gestionar los errores sin problemas, ya que es posible que los clientes tengan que volver a intentarlo o modificar sus aprobaciones de delegación.

# Descripción de los permisos
<a name="temporary-delegation-understanding-permissions"></a>

Como parte del proceso de incorporación de características, tendrá que registrar en IAM las políticas que definan los permisos que desea solicitar en las cuentas de AWS de los clientes. El proceso de registro proporciona una experiencia más coherente a los clientes y ayuda a evitar las dificultades habituales en la creación de políticas.

Durante el registro, AWS evalúa sus políticas comparándolas con un conjunto de validaciones. Estas validaciones tienen por objeto estandarizar el formato y la estructura de las políticas y proporcionar protecciones básicas contra los antipatrones conocidos. Las validaciones también reducen el riesgo de escalada de privilegios, el acceso entre cuentas no deseado y el acceso generalizado a recursos de gran valor de las cuentas de los clientes.

## Tipos de permisos
<a name="temporary-delegation-permission-types"></a>

AWS considerará dos categorías de permisos: temporales y a largo plazo.

### Permisos temporales
<a name="temporary-delegation-temporary-permissions"></a>

Los permisos temporales limitan los permisos asignados a cualquier sesión de acceso delegado temporal. Los permisos temporales se describen en las plantillas de políticas que se aplican a la sesión delegada. Las plantillas admiten los parámetros que se proporcionan al crear una solicitud de delegación. A continuación, los valores de estos parámetros se enlazan a la sesión. Los permisos temporales funcionan de la misma manera que las políticas de sesión disponibles en AWS STS en la actualidad: las políticas limitan la capacidad del usuario subyacente, pero no otorgan ningún acceso adicional. Para obtener más información, consulte la documentación de AWS STS sobre las políticas de sesión.

### Permisos a largo plazo
<a name="temporary-delegation-long-term-permissions"></a>

Los permisos a largo plazo limitan los permisos de cualquier rol que se cree o administre mediante el acceso temporal. Los permisos a largo plazo se implementan como límites de permisos de IAM. Puede enviar uno o más límites de permisos a AWS como parte de la incorporación. Tras la aprobación, AWS le compartirá el ARN de una política al que podrá hacer referencia en sus políticas.

Estas políticas de límites tienen dos características importantes. En primer lugar, son inmutables. Si desea actualizar los permisos, puede registrar un nuevo límite de permisos. A continuación, puede adjuntar el nuevo límite de permisos a los roles de sus clientes; para ello, envíe una nueva solicitud de delegación. En segundo lugar, las políticas no tienen plantillas. Dado que la misma política de límites se comparte a nivel mundial, no pueden modificarse según el cliente.

**importante**  
Los límites de permisos tienen un límite de tamaño máximo de 6144 caracteres.

**nota**  
Si desea actualizar un límite de permisos o una plantilla de política, póngase en contacto con IAM en aws-iam-partner-onboarding@amazon.com. Una vez registrado el nuevo límite de permisos, puede enviar una solicitud de delegación a los clientes para que actualicen el rol de IAM y adjunten el límite de permisos recién registrado. Consulte la sección Ejemplos para obtener más información.

## Caso de uso de ejemplo: carga de trabajo de procesamiento de datos
<a name="temporary-delegation-example-use-case"></a>

Pensemos en un proveedor de productos que ejecuta una carga de trabajo de procesamiento de datos en las cuentas de los clientes. El proveedor necesita configurar la infraestructura durante la incorporación inicial, pero también requiere acceso continuo para gestionar la carga de trabajo.

*Permisos temporales (para la configuración inicial):*
+ Crear instancias de Amazon EC2, VPC y grupos de seguridad
+ Crear un bucket de Amazon S3 para los datos procesados
+ Crear un rol de IAM para las operaciones en curso
+ Adjuntar un límite de permisos al rol de IAM

*Permisos a largo plazo (rol de IAM con límite de permisos para las operaciones en curso):*
+ Iniciar y detener instancias de Amazon EC2 para ejecutar trabajos de procesamiento
+ Leer los datos de entrada de un bucket de Amazon S3
+ Escribir los resultados procesados en un bucket de Amazon S3

Los permisos temporales se utilizan una vez durante la incorporación para configurar la infraestructura. El rol de IAM creado durante este proceso tiene un límite de permisos que limita sus permisos máximos solo a las operaciones necesarias para la administración continua de la carga de trabajo. Esto garantiza que, incluso si se modifican las políticas del rol, no pueda superar los permisos definidos en el límite.

# Directrices de evaluación de políticas
<a name="temporary-delegation-policy-evaluation-guidelines"></a>

AWS evaluará las políticas enviadas en función de un conjunto de directrices. Las mismas directrices de evaluación se aplican tanto a las plantillas de políticas como a los límites de permisos, con pequeñas diferencias cuando procede.

A efectos de la evaluación, separamos los servicios en grupos distintos. La distinción más importante es para los servicios sensibles a la seguridad, que administran el acceso, las credenciales y las claves. Las políticas que otorgan acceso a estos servicios deben centrarse estrictamente en el trabajo que se está llevando a cabo. Entre los servicios sensibles a la seguridad se incluyen los siguientes: AWS Identity and Access Management (IAM), AWS Key Management Service (KMS), AWS Resource Access Manager (RAM), AWS IAM Identity Center, AWS Organizations y AWS Secrets Manager.

Una distinción secundaria son los servicios que pueden acceder a los datos más allá de los límites de las cuentas. Las políticas de estos servicios deben incluir protecciones para evitar el acceso entre cuentas no intencionado.

## Validaciones comunes
<a name="temporary-delegation-common-validations"></a>

Todas las instrucciones de políticas deben seguir estas directrices:
+ Todas las instrucciones deben incluir los campos Effect, Action (o NotAction), Resource y Condition en ese orden.
+ Todas las acciones de una sola instrucción deben estar ordenadas alfabéticamente.
+ Todos los ARN incluidos en la política deben seguir la sintaxis definida en la documentación pública para los servicios pertinentes.
+ Los campos NotAction solo se pueden usar en las instrucciones Deny.
+ Las acciones de las instrucciones Allow deben incluir un código de servicio. No se permiten caracteres comodín genéricos (“\$1”).

## Restricciones de los servicios sensibles a la seguridad
<a name="temporary-delegation-security-sensitive-restrictions"></a>

Las siguientes restricciones se aplican a los servicios sensibles a la seguridad mencionados anteriormente:
+ Las acciones de las instrucciones Allow deben ser más específicas que las de [service]:\$1.
+ Las acciones de las instrucciones Allow para las plantillas de políticas de acceso temporal no deben contener caracteres comodín.
+ Las acciones sensibles, como iam:PassRole o iam:CreateServiceLinkedRole, requieren un ámbito adicional, como recursos específicos o comprobaciones condicionales. Estas acciones son:
  + Transferencia de roles de IAM
  + Acciones de modificación de roles de IAM
  + Acciones de modificación de políticas de IAM
  + Operaciones criptográficas o de escritura de AWS KMS
  + Operaciones de uso compartido o escritura de AWS RAM
  + Operaciones de AWS Secrets Manager para recuperar o modificar secretos o modificar políticas de recursos
+ Otras acciones pueden utilizar un recurso comodín, como iam:ListUsers o iam:GetPolicy.
+ Las acciones que administran credenciales, como iam:CreateAccessKey, están bloqueadas.

## Restricciones específicas de IAM
<a name="temporary-delegation-iam-specific-restrictions"></a>

En el caso de IAM:
+ Solo se permiten operaciones de escritura limitadas para los roles y las políticas de IAM. No puede solicitar permisos en otros recursos de IAM, como usuarios, grupos y certificados.
+ Las acciones de asociación de políticas o de administración de políticas insertadas se limitan a los roles con un límite de permisos. Los límites de permisos deben proporcionarlos los socios o figurar en una lista de políticas administradas de AWS permitidas. Las políticas administradas de AWS pueden permitirse si no conceden permisos administrativos o con privilegios elevados. Por ejemplo, las políticas administradas de AWS para funciones de trabajo específicas o la política SecurityAudit pueden ser aceptables. AWS revisará cada política administrada de AWS caso por caso durante el proceso de incorporación.
+ La administración de políticas solo está permitida para las políticas con una ruta específica del socio: arn:aws:iam::@\$1AccountId\$1:policy/partner\$1domain.com/[feature]\$1.
+ Las etiquetas solo se pueden aplicar durante la creación de los recursos y solo para los roles y las políticas.
+ Las comprobaciones de iam:PassRole deben coincidir con un nombre o un prefijo de ruta específicos.

## Restricciones específicas de AWS STS
<a name="temporary-delegation-sts-specific-restrictions"></a>

Para AWS STS:
+ sts:AssumeRole debe estar limitado al ARN de un rol específico, el prefijo de ARN de un rol, o estar limitado a un conjunto de cuentas o ID de organización/unidad organizativa.

## Restricciones de IAM Identity Center
<a name="temporary-delegation-identity-center-restrictions"></a>

En el caso de AWS IAM Identity Center, se bloquean las siguientes acciones:
+ Todas las acciones relacionadas con la administración de permisos (por ejemplo, sso:AttachCustomerManagedPolicyReferenceToPermissionSet).
+ Modificaciones de usuarios, grupos y membresías para el Almacén de identidades de AWS.
+ Administración de etiquetas.

## Restricciones de AWS Organizations
<a name="temporary-delegation-organizations-restrictions"></a>

En el caso de AWS Organizations, solo se permitirán acciones de lectura.

## Validaciones adicionales específicas de los servicios
<a name="temporary-delegation-additional-service-validations"></a>
+ Las acciones que adquieren secretos o credenciales, como glue:GetConnection o redshift:GetClusterCredentials, deben tener condiciones que coincidan con los ARN completos, los prefijos de ARN o las etiquetas.
+ En el caso de Amazon Redshift: redshift:GetClusterCredentials solo se permite en el nombre de una base de datos específica y redshift:GetClusterCredentialsWithIAM solo se permite en el nombre de un grupo de trabajo específico.

**nota**  
Al administrar los recursos de IAM de la cuenta, se recomienda utilizar una ruta que indique su nombre, por ejemplo: arn:aws:iam::111122223333:role/partner.com/rolename. Esto ayudará a diferenciar los recursos asociados a su integración y facilitará a los clientes la detección, la auditoría y el análisis.

## Requisitos de acceso entre cuentas
<a name="temporary-delegation-cross-account-requirements"></a>

Las instrucciones que puedan permitir el acceso entre cuentas deben incluir al menos uno de los siguientes elementos:
+ Una condición que especifique la cuenta o la organización del recurso (por ejemplo, que aws:ResourceOrgId coincida con uno o más valores esperados).
+ Un campo Resource que incluya una cuenta específica (por ejemplo, arn:aws:sqs:\$1:111122223333:\$1).
+ Un campo Resource que incluya una cuenta no comodín y el nombre completo de un recurso (por ejemplo, arn:aws:s3:::full-bucket-name).

**nota**  
El acceso entre cuentas es una funcionalidad sensible que requiere una justificación empresarial clara. AWS estudiará detenidamente la necesidad del acceso entre cuentas durante el proceso de incorporación.

# Plantillas de política de
<a name="temporary-delegation-policy-templates"></a>

Las plantillas de políticas son un nuevo constructo de IAM diseñado para definir los permisos temporales que los socios solicitan en las cuentas de los clientes. Al igual que las política de IAM habituales, definen los permisos mediante instrucciones con los elementos Effect, Action, Resource y Condition. La diferencia clave es que las plantillas de políticas incluyen parámetros (como @\$1bucketName\$1) que se sustituyen por valores reales al crear una solicitud de delegación.

## Cómo funcionan las plantillas de políticas
<a name="temporary-delegation-how-policy-templates-work"></a>

Como parte del proceso de incorporación, registra sus plantillas de políticas en AWS. AWS asigna a cada plantilla un ARN único al que hace referencia al crear las solicitudes de delegación.

Al crear una solicitud de delegación, especifica lo siguiente:
+ El ARN de la plantilla de política
+ Los valores de los parámetros que se van a sustituir en la plantilla

AWS combina la plantilla con los valores de los parámetros para generar una política de IAM estándar. Los clientes revisan esta política renderizada final al aprobar su solicitud de delegación y comprueban exactamente qué permisos se van a conceder.

**nota**  
La política renderizada final tiene un límite de tamaño máximo de 2048 caracteres.

A continuación, se muestra un ejemplo sencillo en el que se explica cómo funciona la sustitución de las plantillas.

Plantilla de política:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::@{bucketName}/*"
        }
    ]
}
```

Parámetros proporcionados en la solicitud de delegación:

```
{
    "Name": "bucketName",
    "Values": ["customer-data-bucket"],
    "Type": "String"
}
```

Política renderizada final (lo que ven los clientes):

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::customer-data-bucket/*"
        }
    ]
}
```

## Sintaxis de las plantillas
<a name="temporary-delegation-template-syntax"></a>

Las plantillas de políticas utilizan dos características clave para ofrecer flexibilidad: la sustitución de parámetros y las instrucciones condicionales. La sustitución de parámetros le permite definir marcadores de posición en la plantilla que se sustituyen por valores reales al crear una solicitud de delegación. Las instrucciones condicionales permiten incluir o excluir instrucciones de política completas en función de los valores de los parámetros.

### Sustitución y tipos de parámetros
<a name="temporary-delegation-parameter-substitution"></a>

Utilice la sintaxis @\$1parameterName\$1 para definir los parámetros de la plantilla de política. Al crear una solicitud de delegación, debe especificar el tipo de cada parámetro.

#### Cadena
<a name="temporary-delegation-string-type"></a>

Un valor único que se sustituye directamente en la plantilla.

Plantilla:

```
"Resource": "arn:aws:s3:::@{bucketName}/*"
```

Parámetros:

```
{
    "Name": "bucketName",
    "Values": ["my-bucket"],
    "Type": "String"
}
```

Resultado renderizado:

```
"Resource": "arn:aws:s3:::my-bucket/*"
```

#### StringList
<a name="temporary-delegation-stringlist-type"></a>

Múltiples valores que generan varias entradas de recursos. Cuando se usa un parámetro StringList en el ARN de un recurso, se expande para crear entradas de recursos independientes para cada valor.

Plantilla:

```
"Resource": "arn:aws:s3:::@{bucketNames}/*"
```

Parámetros:

```
{
    "Name": "bucketNames",
    "Values": ["bucket-1", "bucket-2"],
    "Type": "StringList"
}
```

Resultado renderizado:

```
"Resource": [
    "arn:aws:s3:::bucket-1/*",
    "arn:aws:s3:::bucket-2/*"
]
```

#### Comportamiento de productos cruzados
<a name="temporary-delegation-cross-product-behavior"></a>

Cuando se utilizan varios parámetros en el ARN del mismo recurso, los parámetros StringList crean un producto cruzado de todas las combinaciones.

Plantilla:

```
"Resource": "arn:aws:s3:::@{bucketNames}/@{prefix}/*"
```

Parámetros:

```
[
    {
        "Name": "bucketNames",
        "Values": ["bucket-1", "bucket-2"],
        "Type": "StringList"
    },
    {
        "Name": "prefix",
        "Values": ["data"],
        "Type": "String"
    }
]
```

Resultado renderizado:

```
"Resource": [
    "arn:aws:s3:::bucket-1/data/*",
    "arn:aws:s3:::bucket-2/data/*"
]
```

### Instrucciones condicionales
<a name="temporary-delegation-conditional-statements"></a>

Use la directiva @Enabled para incluir o excluir condicionalmente instrucciones completas en función de los valores de los parámetros.

Sintaxis:
+ @Enabled: "parameterName": incluya la instrucción cuando el valor del parámetro sea “True”.
+ @Enabled: "\$1parameterName": incluya la instrucción cuando el valor del parámetro NO sea “True” (negación).

Plantilla:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:GetObject"],
            "Resource": "*"
        },
        {
            "@Enabled": "ENABLE_S3_WRITE",
            "Effect": "Allow",
            "Action": ["s3:PutObject"],
            "Resource": "arn:aws:s3:::@{bucketName}/*"
        }
    ]
}
```

Parámetros (cuando ENABLE\$1S3\$1WRITE es “True”):

```
[
    {
        "Name": "bucketName",
        "Values": ["my-bucket"],
        "Type": "String"
    },
    {
        "Name": "ENABLE_S3_WRITE",
        "Values": ["True"],
        "Type": "String"
    }
]
```

Resultado renderizado:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:GetObject"],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": ["s3:PutObject"],
            "Resource": "arn:aws:s3:::my-bucket/*"
        }
    ]
}
```

Parámetros (cuando ENABLE\$1S3\$1WRITE es “False”):

```
[
    {
        "Name": "bucketName",
        "Values": ["my-bucket"],
        "Type": "String"
    },
    {
        "Name": "ENABLE_S3_WRITE",
        "Values": ["False"],
        "Type": "String"
    }
]
```

Resultado renderizado:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["s3:GetObject"],
            "Resource": "*"
        }
    ]
}
```

Cuando ENABLE\$1S3\$1WRITE se establece en “True”, se incluye la instrucción condicional. Si se establece en “False”, la instrucción se excluye de la política renderizada.

## Ejemplos adicionales
<a name="temporary-delegation-additional-examples"></a>

En los siguientes ejemplos se muestran los patrones comunes de uso de plantillas de políticas en la delegación temporal. Se centran en crear roles de IAM con límites de permisos para el acceso a largo plazo y muestran diferentes estrategias para limitar los permisos a recursos específicos. En estos ejemplos se ilustra cómo equilibrar la flexibilidad con la seguridad mediante técnicas como los prefijos de ARN, el etiquetado de recursos y las actualizaciones de límites de permisos.

### Ejemplo 1: Concesión de acceso a largo plazo a recursos específicos
<a name="temporary-delegation-example-1"></a>

El siguiente límite de permisos se presenta como “SQSAccessorBoundary” para “partner.com”:

```
{
    "Effect": "Allow",
    "Action": [
        "sqs:DeleteMessage",
        "sqs:ReceiveMessage",
        "sqs:SendMessage"
    ],
    "Resource": "arn:aws:sqs:*:*:*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
}
```

**nota**  
Esto incluye una condición de misma cuenta para evitar conceder acceso a las colas de otras cuentas con políticas de recursos abiertas. No se puede incluir una referencia directa al ID de cuenta del cliente porque el límite lo comparten todos los clientes y no se puede establecer una plantilla.

Como se trata de la primera versión de esta política, su ARN es arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary\$12025\$101\$115

Se envía la siguiente plantilla de política para los permisos de acceso temporal:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sqs:ListQueues"
            ],
            "Resource": "arn:aws:sqs:*:*:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:PutRolePermissionsBoundary",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::@{AccountId}:role/partner.com/SQSAccessor",
            "Condition": {
                "StringEquals": {
                    "iam:PermissionsBoundary": "arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary_2025_01_15"
                }
            }
        }
    ]
}
```

### Ejemplo 2: Uso de prefijos de ARN
<a name="temporary-delegation-example-2"></a>

El límite de permisos puede especificar el prefijo de ARN de un recurso para limitar el acceso:

```
"Resource": "arn:aws:sqs:*:@{AccountId}:PartnerPrefix*"
```

Esto limita el acceso solo a los recursos con ese prefijo, lo que reduce el alcance de los recursos accesibles.

### Ejemplo 3: Uso de etiquetas para el control de acceso de los recursos
<a name="temporary-delegation-example-3"></a>

Puede etiquetar los recursos durante el acceso delegado temporal y confiar en esas etiquetas para el control de acceso a largo plazo.

Límite de permisos que permite el acceso a los recursos etiquetados:

```
{
    "Effect": "Allow",
    "Action": [
        "sqs:DeleteMessage",
        "sqs:ReceiveMessage",
        "sqs:SendMessage"
    ],
    "Resource": "arn:aws:sqs:*:*:*",
    "Condition": {
        "Null": {
            "aws:ResourceTag/ManagedByPartnerDotCom": "false"
        },
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
}
```

Plantilla de política para etiquetar las nuevas colas al crearlas:

```
{
    "Effect": "Allow",
    "Action": [
        "sqs:CreateQueue",
        "sqs:TagQueue"
    ],
    "Resource": "arn:aws:sqs:*:*:*",
    "Condition": {
        "Null": {
            "aws:RequestTag/ManagedByPartnerDotCom": "false"
        }
    }
}
```

Plantilla de política para etiquetar las colas preexistentes y crear el rol:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sqs:TagQueue"
            ],
            "Resource": "arn:aws:sqs:*:@{AccountId}:@{QueueName}",
            "Condition": {
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "ManagedByPartnerDotCom"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:PutRolePermissionsBoundary",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::@{AccountId}:role/partner.com/SQSAccessor",
            "Condition": {
                "StringEquals": {
                    "iam:PermissionsBoundary": "arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary_2025_01_15"
                }
            }
        }
    ]
}
```

Este enfoque permite a los clientes confirmar de forma explícita a qué recursos específicos se puede acceder a largo plazo.

### Ejemplo 4: Actualización del límite de permisos
<a name="temporary-delegation-example-4"></a>

Para actualizar un límite de permisos, registre una nueva versión con un sufijo de fecha nuevo y solicite permiso para sustituirlo.

Límite de permisos actualizado con permiso adicional:

```
{
    "Effect": "Allow",
    "Action": [
        "sqs:DeleteMessage",
        "sqs:PurgeQueue",
        "sqs:ReceiveMessage",
        "sqs:SendMessage"
    ],
    "Resource": "arn:aws:sqs:*:*:*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    }
}
```

Como segunda versión, esta política tiene el ARN arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary\$12025\$101\$120

Plantilla de política para actualizar el límite de permisos del rol existente:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:PutRolePermissionsBoundary"
            ],
            "Resource": "arn:aws:iam::@{AccountId}:role/partner.com/SQSAccessor",
            "Condition": {
                "StringEquals": {
                    "iam:PermissionsBoundary": "arn:aws:iam::partner:policy/permissions-boundary/partner.com/SQSAccessorBoundary_2025_01_20"
                }
            }
        }
    ]
}
```

Los clientes deben aprobar esta solicitud de delegación para actualizar el límite de permisos del rol existente.

# Creación de una integración
<a name="temporary-delegation-building-integration"></a>

## Descripción del ciclo de vida de una solicitud
<a name="temporary-delegation-request-lifecycle"></a>

Antes de crear la integración, es importante entender cómo avanzan las solicitudes de delegación desde su creación hasta su finalización.

### Estados de las solicitudes
<a name="temporary-delegation-request-states"></a>

Una solicitud de delegación pasa por los siguientes estados:


| Estado | Descripción | 
| --- | --- | 
| Sin asignar | Solicitud creada, pero aún no asociada a ninguna cuenta de cliente ni entidad principal de IAM. Es posible que la solicitud se haya creado sin especificar una cuenta de destino o con un ID de cuenta de destino, pero el propietario de la cuenta aún no la reclamó. | 
| Asignada | Solicitud asociada a una cuenta de cliente y pendiente de revisión. | 
| Aprobación pendiente | El cliente reenvió la solicitud a un administrador para su aprobación. | 
| Aceptada | El cliente aprobó la solicitud, pero el token de intercambio aún no se liberó. | 
| Finalizada | El token de intercambio se liberó al proveedor del producto. El periodo de delegación (validez del token de intercambio) comienza cuando la solicitud alcanza el estado Finalizada. | 
| Rechazada | Solicitud rechazada por el cliente. | 
| Vencido | Solicitud vencida debido a inactividad o a que se agotó el tiempo de espera. | 

### Transiciones de los estados
<a name="temporary-delegation-state-transitions"></a>

*Flujo normal (ruta de aprobación)*
+ Sin asignar → Asignada: el cliente asocia la solicitud a su cuenta.
+ Asignada → Aceptada O Asignada → Aprobación pendiente: el cliente aprueba la solicitud directamente O la reenvía al administrador para que la revise.
+ Aprobación pendiente → Aceptada: el administrador aprueba la solicitud.
+ Aceptada → Finalizada: el cliente libera el token de intercambio.

*Ruta de rechazo*
+ Asignada → Rechazada: el cliente rechaza la solicitud.
+ Aprobación pendiente → Rechazada: el administrador rechaza la solicitud.
+ Aceptada → Rechazada: el cliente revoca la aprobación antes de liberar el token.

*Ruta de vencimiento*

Las solicitudes vencen automáticamente si no se lleva a cabo ninguna acción en el plazo especificado:
+ Sin asignar → Vencida (1 día)
+ Asignada → Vencida (7 día)
+ Aprobación pendiente → Vencida (7 días)
+ Aceptada → Vencida (7 día)
+ Rechazada → Vencida (7 día)
+ Finalizada → Vencida (7 días)

*Estados terminales*

Los siguientes estados son terminales (no hay más transiciones):
+ Finalizada: se envió el token de intercambio.
+ Rechazada: se denegó la solicitud.
+ Vencida: se agotó el tiempo de espera de la solicitud o finalizó el periodo de delegación.

Las solicitudes vencidas se eliminan finalmente del sistema una vez finalizado el periodo de retención.

### Administración de los estados de las solicitudes de delegación en su aplicación
<a name="temporary-delegation-managing-states"></a>

Como socio, debe hacer un seguimiento de los estados de las solicitudes de delegación en su sistema y mostrarlos a sus clientes. Cuando reciba notificaciones de SNS sobre cambios de estado, almacene estas actualizaciones en su backend y refléjelas en la interfaz de usuario dirigida al cliente. Preste especial atención al estado Aprobación pendiente; cuando un cliente reenvía una solicitud a un administrador para que la revise, AWS le envía una notificación de aprobación pendiente. Las solicitudes pueden permanecer en este estado durante un máximo de 7 días mientras esperan una acción del administrador. Durante este tiempo, muestre a los clientes que su solicitud está pendiente de aprobación del administrador en tu aplicación. Considere la posibilidad de proporcionar un enlace profundo a la Consola de AWS donde los clientes puedan comprobar el estado de la solicitud o hacer un seguimiento con su administrador. Para una buena experiencia de integración, es importante gestionar correctamente la máquina de estados de su backend y mostrar a los clientes la información de estado correcta en cada etapa.

![\[alt text not found\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/delegation-states.png)


## Configuración de notificaciones
<a name="temporary-delegation-configuring-notifications"></a>

IAM utiliza Amazon Simple Notification Service (SNS) para comunicarle los cambios de estado de las solicitudes de delegación. Al crear una solicitud de delegación, debe proporcionar el ARN de un tema de SNS de su cuenta de AWS registrada. IAM publicará mensajes en este tema sobre eventos importantes, como cuando los clientes aprueben o rechacen las solicitudes y cuando el token de intercambio esté listo.

**nota**  
Los temas de SNS no pueden estar en las regiones de AWS registradas. Su tema de SNS debe estar en una región de AWS que esté habilitada de forma predeterminada. Para ver una lista de las regiones registradas, consulte Administración de regiones de AWS en la Guía de administración de cuentas de AWS.

### Configuración de temas de SNS
<a name="temporary-delegation-sns-topic-configuration"></a>

Para recibir notificaciones de solicitudes de delegación, debe configurar su tema de SNS para conceder permisos de IAM a fin de publicar mensajes en él. Agregue la siguiente instrucción de política a la política del tema de SNS.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowIAMServiceToPublish",
            "Effect": "Allow",
            "Principal": {
                "Service": "iam.amazonaws.com"
            },
            "Action": "SNS:Publish",
            "Resource": "arn:aws:sns:REGION:ACCOUNT-ID:TOPIC-NAME"
        }
    ]
}
```

**importante**  
El tema de SNS debe estar en una de sus cuentas de AWS registradas. IAM no aceptará temas de SNS de otras cuentas. Si la política del tema no está configurada correctamente, no recibirá notificaciones de cambio de estado ni el token de intercambio.

### Tipos de notificaciones
<a name="temporary-delegation-notification-types"></a>

IAM envía dos tipos de notificaciones:

*Notificaciones de StateChange*

Se envía cuando una solicitud de delegación pasa a un nuevo estado (Asignada, Pendiente de aprobación, Aceptada, Finalizada, Rechazada o Vencida).

*Notificaciones de ExchangeToken*

Se envía cuando un cliente libera el token de delegación (estado Finalizada). Esta notificación incluye el token de intercambio que necesita para obtener las credenciales.

### Estados de las notificaciones
<a name="temporary-delegation-notification-states"></a>

Recibirá notificaciones de los siguientes estados de las solicitudes de delegación:


| Estado | Tipo de notificación | Descripción | 
| --- | --- | --- | 
| ASIGNADA | Cambio de estado | La solicitud se asoció a una cuenta de cliente. | 
| APROBACIÓN PENDIENTE | Cambio de estado | El cliente reenvió la solicitud a un administrador para su aprobación. | 
| ACEPTADA | Cambio de estado | El cliente aprobó la solicitud, pero el token de intercambio aún no se liberó. | 
| FINALIZADA | Cambio de estado | El cliente liberó el token de intercambio. | 
| FINALIZADA | ExchangeToken | Esta notificación contiene el token de intercambio. | 
| REJECTED | Cambio de estado | El cliente rechazó la solicitud. | 
| EXPIRED | Cambio de estado | La solicitud venció antes de completarse. | 

### Formato de los mensajes de notificación
<a name="temporary-delegation-notification-message-format"></a>

IAM publica notificaciones de SNS estándar. La información de la solicitud de delegación se incluye en el campo Message en forma de cadena JSON.

*Campos comunes (todas las notificaciones)*


| Campo | Tipo | Descripción | 
| --- | --- | --- | 
| Tipo | Cadena | “StateChange” o “ExchangeToken”. | 
| RequestId | Cadena | ID de la solicitud de delegación de IAM. | 
| RequestorWorkflowId | Cadena | ID del flujo de trabajo que proporcionó al crear la solicitud. | 
| Estado | Cadena | Estado actual de la solicitud. | 
| OwnerAccountId | Cadena | ID de la cuenta de AWS del cliente. | 
| UpdatedAt | Cadena | Marca de tiempo del momento en que se cambió el estado (formato ISO 8601). | 

*Campos adicionales (solo notificaciones de ExchangeToken)*


| Campo | Tipo | Descripción | 
| --- | --- | --- | 
| ExchangeToken | Cadena | Token que se va a intercambiar por credenciales mediante la API GetDelegatedAccessToken de AWS STS. | 
| ExpiresAt | Cadena | Momento en que vence el acceso delegado (formato ISO 8601). | 

### Notificaciones de ejemplo
<a name="temporary-delegation-example-notifications"></a>

*Notificación de StateChange*

```
{
  "Type": "Notification",
  "MessageId": "61ee8ad4-6eec-56b5-8f3d-eba57556aa13",
  "TopicArn": "arn:aws:sns:us-east-1:123456789012:partner-notifications",
  "Message": "{\"RequestorWorkflowId\":\"workflow-12345\",\"Type\":\"StateChange\",\"RequestId\":\"dr-abc123\",\"State\":\"ACCEPTED\",\"OwnerAccountId\":\"111122223333\",\"UpdatedAt\":\"2025-01-15T10:30:00.123Z\"}",
  "Timestamp": "2025-01-15T10:30:00.456Z",
  "SignatureVersion": "1",
  "Signature": "...",
  "SigningCertURL": "...",
  "UnsubscribeURL": "..."
}
```

*Notificación de ExchangeToken*

```
{
  "Type": "Notification",
  "MessageId": "e44e5435-c72c-5333-aba3-354406782f5b",
  "TopicArn": "arn:aws:sns:us-east-1:123456789012:partner-notifications",
  "Message": "{\"RequestId\":\"dr-abc123\",\"RequestorWorkflowId\":\"workflow-12345\",\"State\":\"FINALIZED\",\"OwnerAccountId\":\"111122223333\",\"ExchangeToken\":\"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...\",\"ExpiresAt\":\"2025-01-15T18:30:00.123Z\",\"UpdatedAt\":\"2025-01-15T10:30:00.456Z\",\"Type\":\"ExchangeToken\"}",
  "Timestamp": "2025-01-15T10:30:00.789Z",
  "SignatureVersion": "1",
  "Signature": "...",
  "SigningCertURL": "...",
  "UnsubscribeURL": "..."
}
```

## Tokens de intercambio
<a name="temporary-delegation-exchange-tokens"></a>

IAM emite un token de intercambio cuando un cliente acepta y finaliza una solicitud de delegación. El proveedor del producto utiliza este token de intercambio para llamar a la API GetDelegatedAccessToken de AWS AWS STS y obtener credenciales temporales de AWS con los permisos aprobados por los clientes. El token de intercambio en sí no otorga acceso a sus recursos de AWS; debe intercambiarse por credenciales reales a través de AWS STS.

El token de intercambio solo lo puede canjear la cuenta del proveedor del producto que creó la solicitud de delegación. La cuenta solicitante está incrustada en el token, lo que garantiza que solo el proveedor del producto autorizado pueda obtener las credenciales para acceder a la cuenta del cliente.

### Duración del acceso
<a name="temporary-delegation-access-duration"></a>

El periodo de delegación comienza cuando el cliente libera el token de intercambio, no cuando el proveedor del producto lo canjea. Una vez que el cliente libere el token:
+ El proveedor del producto recibe el token mediante una notificación de SNS.
+ Puede intercambiarlo inmediatamente por credenciales.
+ Las credenciales caducan en: hora de liberación \$1 duración aprobada.
+ El proveedor del producto puede intercambiar el token varias veces antes de que venza para obtener credenciales nuevas si es necesario.

### Varios canjes
<a name="temporary-delegation-multiple-redemptions"></a>

Los proveedores de productos pueden intercambiar el token varias veces durante el periodo de validez para obtener credenciales nuevas. Sin embargo, todas las credenciales obtenidas del mismo token de intercambio caducan al mismo tiempo, según el momento en que se haya liberado el token.

Ejemplo: Si aprueba una solicitud de delegación de 2 horas y libera el token a las 10:00 h:


| Hora de liberación del token | Hora de intercambio del token | Vencimiento de la credencial | Tiempo de uso | 
| --- | --- | --- | --- | 
| 10:00 am | 10:00 am | 12:00 pm | 2 horas | 
| 10:00 am | 10:20 a. m. | 12:00 pm | 1 hora y 40 minutos | 
| 10:00 am | 11:40 a. m. | 12:00 pm | 20 minutos | 
| 10:00 am | 12:10 pm | Error (token vencido) | 0 minutos | 

Como se muestra en la tabla, intercambiar el token más adelante en el periodo de validez reduce el tiempo de uso para el proveedor del producto.