Probar las políticas de IAM con el simulador de políticas de IAM. - AWS Identity and Access Management
Cómo funciona el simulador de políticas de IAMPermisos necesarios para utilizar el simulador de políticas de IAMUso del simulador de políticas de IAM (Consola)Uso del simulador de políticas de IAM (AWS CLI y API de AWS)

Probar las políticas de IAM con el simulador de políticas de IAM.

Para obtener más información sobre cómo y por qué utilizar las políticas de IAM, consulte Políticas y permisos en IAM.

Puede obtener acceso a la consola del simulador de políticas de IAM en: https://policysim.aws.amazon.com/

importante

Los resultados del simulador de política pueden diferir de los de su entorno de AWS real. Le recomendamos que compare sus políticas con su entorno de AWS real después de llevar a cabo las pruebas con el simulador de política para confirmar que obtiene los resultados deseados. Para obtener más información, consulte Cómo funciona el simulador de políticas de IAM.

Con el simulador de política de IAM, puede probar y solucionar problemas de políticas basadas en identidad y límites de permisos de IAM. A continuación se enumeran algunas acciones habituales que puede hacer con el simulador de políticas:

  • Pruebe las políticas basadas en la identidad que se adjuntan a los usuarios de IAM, grupos de usuarios o roles en su Cuenta de AWS. Si hay más de una política asociada al usuario, grupo de usuarios o rol, puede probarlas todas o seleccionarlas individualmente para probarlas. Puede probar las acciones permitidas o denegadas por las políticas seleccionadas para determinados recursos.

  • Probar y solucionar problemas del efecto de los límites de permisos en las entidades de IAM. Solo puede simular un límite de permisos a la vez.

  • Pruebe los efectos de las políticas basadas en recursos en los usuarios de IAM que están asociados a recursos de AWS, como buckets de Amazon S3, colas de Amazon SQS, temas de Amazon SNS o almacenes de Amazon S3 Glacier. Para utilizar una política basada en recursos en el simulador de política para usuarios de IAM, debe incluir el recurso en la simulación. También debe activar la casilla para incluir la política de ese recurso en la simulación.

    nota

    Los roles de IAM no admiten la simulación de políticas basadas en recursos.

  • Si la cuenta de Cuenta de AWS forma parte de una organización en AWS Organizations, puede probar el impacto de las políticas de control de servicios (SCP) en sus políticas basadas en identidades.

    nota

    El simulador de política no evalúa las SCP que tienen cualquier condición.

  • Pruebe nuevas políticas basadas en identidades que aún no estén asociadas a un usuario, grupo de usuarios o rol. Para ello, escríbalas o cópielas en el simulador de política. Estas solo se utilizan en la simulación y no se guardan. No puede escribir ni copiar una política basada en recursos en el simulador de política.

  • Pruebe las políticas basadas en identidades con servicios, acciones y recursos seleccionados. Por ejemplo, puede realizar una prueba para garantizar que la política permita que una entidad realice las acciones ListAllMyBuckets, CreateBucket y DeleteBucket en el servicio de Amazon S3 de un determinado bucket.

  • Simule escenarios del mundo real proporcionando claves de contexto, como una dirección IP o fecha, que se incluyan en los elementos Condition de las políticas que se estén probando.

    nota

    El simulador de política no simula las etiquetas proporcionadas como entrada si la política basada en identidades de la simulación no tiene un elemento Condition que compruebe explícitamente las etiquetas.

  • Identifique qué declaración específica de la política basada en identidades tiene como resultado permitir o denegar el acceso a un recurso o acción concretos.

Cómo funciona el simulador de políticas de IAM

El simulador de política evalúa las declaraciones de la política basada en la identidad y las entradas que el usuario proporciona durante la simulación. Los resultados del simulador de política pueden diferir de los de su entorno de AWS real. Le recomendamos que compare sus políticas con su entorno de AWS real después de llevar a cabo las pruebas con el simulador de política para confirmar que obtiene los resultados deseados.

El simulador de política difiere del entorno de AWS real en los siguientes aspectos:

  • El simulador de política no lleva a cabo ninguna solicitud real al servicio de AWS, de modo que puede probar de forma segura solicitudes que podrían hacer cambios no deseados en el entorno real de AWS. El simulador de política no considera los valores clave del contexto real en la producción.

  • Dado que el simulador de política no simula la ejecución de las acciones seleccionadas, no se puede informar de ninguna respuesta a la solicitud simulada. El único resultado que se devuelve es si la acción solicitada se permitiría o se denegaría.

  • Si edita una política en el simulador de política, estos cambios solo afectan al simulador de política. La correspondiente política de la Cuenta de AWS permanece sin cambios.

  • No puede probar las políticas de control de servicio (SCP) con cualquier condición.

  • El simulador de política no admite la simulación de roles y usuarios de IAM para el acceso entre cuentas.

nota

El simulador de política de IAM no determina qué servicios admiten claves de condiciones globales para la autorización. Por ejemplo, el simulador de política no identifica si un servicio no es compatible con aws:TagKeys.

Permisos necesarios para utilizar el simulador de políticas de IAM

Puede utilizar la consola del simulador de políticas o la API del simulador de políticas para probar políticas. De forma predeterminada, los usuarios de la consola pueden probar las políticas que aún no están asociadas a un usuario, grupo de usuarios o rol. Para ello, deben escribir o copiar dichas políticas en el simulador de política. Estas políticas se utilizan únicamente en la simulación y no revelan información confidencial. Los usuarios de API deben tener permisos para probar las políticas no asociadas. Puede permitir que los usuarios de la consola o de la API prueben políticas asociadas a usuarios de IAM, grupos de usuarios o roles en su cuenta de Cuenta de AWS. Para ello, debe proporcionar permiso para recuperar esas políticas. Para poder probar políticas basadas en recursos, los usuarios deben tener permiso para recuperar la política del recurso.

Para obtener ejemplos de las políticas de la consola y API que permiten a un usuario simular políticas, consulte Ejemplos de políticas: AWS Identity and Access Management (IAM).

Permisos necesarios para utilizar la consola del simulador de políticas

Puede permitir que los usuarios prueben políticas asociadas a usuarios de IAM, grupos de usuarios o roles en su cuenta de Cuenta de AWS. Para ello, debe proporcionar a los usuarios permisos para recuperar esas políticas. Para poder probar políticas basadas en recursos, los usuarios deben tener permiso para recuperar la política del recurso.

Para ver un ejemplo de política que permite utilizar la consola del simulador de políticas para las políticas asociadas a un usuario, grupo de usuarios o rol, consulte IAM: permite el acceso a la consola del simulador de políticas.

Para ver un ejemplo de política que permite utilizar la consola del simulador de políticas únicamente para aquellos usuarios con una ruta de acceso determinada, consulte IAM: permite el acceso a la consola de simulador de políticas en función de la ruta de acceso del usuario.

Para crear una política que permita utilizar la consola del simulador de políticas para únicamente un tipo de entidad, utilice los siguientes procedimientos.

Para permitir a los usuarios de la consola simular políticas para los usuarios

Incluya las siguientes acciones en la política:

  • iam:GetGroupPolicy

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetUser

  • iam:GetUserPolicy

  • iam:ListAttachedUserPolicies

  • iam:ListGroupsForUser

  • iam:ListGroupPolicies

  • iam:ListUserPolicies

  • iam:ListUsers

Para permitir a los usuarios de la consola simular políticas para los grupos de usuarios

Incluya las siguientes acciones en la política:

  • iam:GetGroup

  • iam:GetGroupPolicy

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:ListAttachedGroupPolicies

  • iam:ListGroupPolicies

  • iam:ListGroups

Para permitir a los usuarios de la consola simular políticas para los roles

Incluya las siguientes acciones en la política:

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetRole

  • iam:GetRolePolicy

  • iam:ListAttachedRolePolicies

  • iam:ListRolePolicies

  • iam:ListRoles

Para probar políticas basadas en recursos, los usuarios deben tener permiso para recuperar la política del recurso.

Para permitir a los usuarios de la consola probar políticas basadas en recursos en un bucket de Amazon S3

Incluya la siguiente acción en la política:

  • s3:GetBucketPolicy

Por ejemplo, la siguiente política utiliza esta acción para permitir a los usuarios de la consola simular una política basada en recursos en un determinado bucket de Amazon S3.

{
        "Version": "2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": "s3:GetBucketPolicy",
            "Resource":"arn:aws:s3:::bucket-name/*"
          }
        ]
      }

Permisos necesarios para utilizar la API el simulador de políticas

Las operaciones de la API del simulador de políticas GetContextKeyForCustomPolicy y SimulateCustomPolicy le permiten probar políticas que aún no asociadas a un usuario, grupo de usuarios o rol. Para probar dichas políticas, debe pasarlas como cadenas a la API. Estas políticas se utilizan únicamente en la simulación y no revelan información confidencial. También puede utilizar la API para probar políticas asociadas a usuarios de IAM, grupos o roles en su cuenta de Cuenta de AWS. Para ello, debe proporcionar a los usuarios permisos para llamar a GetContextKeyForPrincipalPolicy y SimulatePrincipalPolicy.

Para ver una política de ejemplo que permita utilizar la API del simulador de políticas para políticas asociadas y no asociadas en la cuenta de Cuenta de AWS actual, consulte IAM: acceso a la API del simulador de políticas.

Para crear una política que permita utilizar la API del simulador de políticas para únicamente un tipo de política, utilice los siguientes procedimientos.

Para permitir a los usuarios de la API simular políticas transferidas directamente a la API como cadenas

Incluya las siguientes acciones en la política:

  • iam:GetContextKeysForCustomPolicy

  • iam:SimulateCustomPolicy

Para permitir a los usuarios de la API simular políticas asociadas a los usuarios, grupos de usuarios, roles o recursos de IAM

Incluya las siguientes acciones en la política:

  • iam:GetContextKeysForPrincipalPolicy

  • iam:SimulatePrincipalPolicy

Por ejemplo, para conceder a un usuario llamado Bob permiso para simular una política asignada a un usuario llamado Alice, debe conceder acceso a Bob al siguiente recurso: arn:aws:iam::777788889999:user/alice.

Para ver un ejemplo de política que permite utilizar la API del simulador de políticas únicamente para aquellos usuarios con una ruta de acceso determinada, consulte IAM: obtiene acceso a la API del simulador de políticas en función de la ruta de acceso del usuario.

Uso del simulador de políticas de IAM (Consola)

De forma predeterminada, los usuarios pueden probar las políticas que aún no están asociadas a un usuario, grupo de usuarios o rol escribiéndolas o copiándolas en la consola del simulador de políticas. Estas políticas se utilizan únicamente en la simulación y no revelan información confidencial.

Para probar una política no asociada a un usuario, grupo de usuarios o rol (consola)

  1. Abra la consola del simulador de políticas de IAM en: https://policysim.aws.amazon.com/.

  2. En el menú Mode: (Modo:) situado en la parte superior de la página, elija New Policy (Nueva política).

  3. En la opción Policy Sandbox (Entorno de pruebas de política), elija Create New Policy (Crear nueva política).

  4. Escriba o copie una política en el simulador de política y utilícelo como se describe en los pasos siguientes.

Una vez que tenga permiso para utilizar la consola del simulador de política de IAM, podrá utilizar el simulador de política para probar una política de usuarios, grupos de usuarios, roles o recursos de IAM.

Para probar una política asociada a un usuario, grupo de usuarios o rol (consola)

  1. Abra la consola del simulador de políticas de IAM en: https://policysim.aws.amazon.com/.

    nota

    Para iniciar sesión en el simulador de políticas como usuario de IAM, utilice la URL de inicio de sesión único en la AWS Management Console. A continuación, diríjase a https://policysim.aws.amazon.com/. Para obtener más información sobre cómo iniciar sesión como usuario de IAM, consulte Cómo inician sesión los usuarios de IAM en AWS.

    El simulador de política se abrirá en el modo Existing Policies (Políticas existentes) y enumerará los usuarios de IAM de la cuenta en Users, Groups, and Roles (Usuarios, grupos y roles).

  2. Elija la opción que sea apropiada para su tarea:

    Para probarlo: Haga lo siguiente:
    Una política asociada a un usuario Elija Users (Usuarios) en la lista Users, Groups, and Roles (Usuarios, grupos y roles). A continuación, elija el usuario.
    Una política asociada a un grupo de usuarios Elija Groups (Grupos) en la lista Users, Groups, and Roles (Usuarios, grupos y roles). A continuación, elija el grupo de usuarios.
    Una política asociada a un rol Elija Roles en la lista Users, Groups, and Roles (Usuarios, grupos y roles). A continuación, elija el rol.
    Una política asociada a un recurso Consulte Paso 9.
    Una política personalizada para un usuario, grupo de usuarios o rol Elija Create new policy (Crear nueva política). En el nuevo panel Policies (Políticas) escriba o pegue una directiva y, a continuación, elija Apply (Aplicar).
    Sugerencia

    Para probar una política asociada a un grupo de usuarios, puede lanzar el simulador de políticas de IAM directamente desde la consola de IAM: en el panel de navegación, elija Grupos de usuarios. Elija el nombre del grupo en el que desea probar una política y, a continuación, elija la pestaña Permissions (Permisos). Seleccionar Simular.

    Para probar una política administrada por el cliente que está asociada a un usuario: en el panel de navegación, elija Users (Usuarios). Elija el nombre del usuario en el que desea probar una política. A continuación, elija la pestaña Permissions (Permisos) y amplíe la política que desea probar. En el extremo derecho, elija Simulate policy (Simular política). Se abrirá el Simulador de políticas de IAM en una nueva ventana y mostrará la política seleccionada en el panel Políticas.

  3. (Opcional) Si su cuenta es miembro de una organización en AWS Organizations, a continuación, seleccione la casilla situada junto a SCP de AWS Organizations para incluir la SCP en su evaluación simulada. Las SCP son políticas JSON que especifican los permisos máximos para una organización o unidad organizativa (OU). Una SCP limita los permisos para las entidades de las cuentas de miembros. Si una SCP bloquea un servicio o acción, ninguna entidad de dicha cuenta puede obtener acceso a dicho servicio ni realizar la acción en cuestión. Esto es válido incluso si un administrador concede explícitamente permisos a dicho servicio o acción mediante una política de recursos o IAM.

    Si la cuenta no forma parte de una organización, la casilla de verificación no aparece.

  4. (Opcional) Puede probar una política establecida como límite de permisos para una entidad de IAM (usuario o rol), pero no para grupos de usuarios. Si actualmente se establece una política de límite de permisos para la entidad, aparecerá en el panel Policies (Políticas). Solo puede establecer un límite de permisos para una identidad. Para probar otro límite de permisos, puede crear un límite de permisos personalizado. Para ello, elija Create new policy (Crear nueva política). Se abre un nuevo panel Policies (Políticas). En el menú, elija Custom IAM Permissions Boundary Policy (Política de límite de permisos de IAM personalizada). Escriba un nombre para la nueva política y escriba o copie una política en el espacio que hay debajo. Seleccione Apply (Aplicar) para guardar la política. A continuación, elija Back (Atrás) para volver al panel Policies (Políticas) original. Después, seleccione la casilla situada junto al límite de permisos que desea utilizar para la simulación.

  5. (Opcional) Solo puede probar un subconjunto de políticas asociadas a un usuario, grupo de usuarios o rol. Para ello, en el panel Policies (Políticas) desactive la casilla situada junto a cada política que desee excluir.

  6. En Policy Simulator (Simulador de políticas), elija Select service (Seleccionar servicio) y, a continuación, elija el servicio que desea probar. A continuación, elija Select actions (Seleccionar acciones) y seleccione una o varias acciones para probar. Aunque los menús muestran las selecciones disponibles únicamente para un servicio a la vez, todos los servicios y acciones que haya seleccionado aparecen en Action Settings and Results (Configuración y resultados de la acción).

  7. (Opcionalmente) Si alguna de las políticas que seleccionó en Paso 2 y Paso 5 incluyen condiciones con claves de condición global de AWS, proporcione valores para esas claves. Puede hacerlo, ampliando la sección Global Settings (Configuración global) y escribir los valores para los nombres de las claves mostrados.

    aviso

    Si deja en blanco el valor para una clave de condición, dicha clave se pasa por alto durante la simulación. En algunos casos, esto produce un error y la simulación no puede ejecutarse. En otros casos, se ejecuta la simulación, pero los resultados podrían no ser fiables. En tales casos, la simulación no coincide con las condiciones reales que incluyen un valor para la variable o clave de condición.

  8. De manera opcional, cada acción seleccionada aparecerá en la lista Action Settings and Results (Configuración y resultados de la acción) con la opción Not simulated (No simulado) mostrada en la columna Permission (Permiso) hasta que ejecute la simulación. Antes de ejecutar la simulación, puede configurar cada acción con un recurso. Para configurar acciones individuales para un determinado escenario, elija la flecha para ampliar la fila de la acción. Si la acción admite permisos de nivel de recursos, puede escribir el Nombre de recurso de Amazon (ARN) del recurso específico cuyo acceso desea probar. De forma predeterminada, cada recurso está establecido en un carácter comodín (*). También puede especificar un valor para las claves de contexto de condición. Como se ha mencionado anteriormente, las claves con valores vacíos se pasan por alto, lo que puede provocar errores en la simulación o resultados no fiables.

    1. Elija la flecha junto al nombre de la acción para ampliar cada fila y configurar cualquier información adicional necesaria para simular de forma precisa la acción en su escenario. Si la acción exige permisos de nivel de recursos, puede escribir el Nombre de recurso de Amazon (ARN) del recurso específico en el que desea simular el acceso. De forma predeterminada, cada recurso está establecido en un carácter comodín (*).

    2. Si la acción admite permisos de nivel de recursos, pero no los necesita, puede elegir Add Resource (Añadir recurso) para seleccionar el tipo de recurso que desea agregar a la simulación.

    3. Si cualquiera de las políticas seleccionadas incluyen un elemento Condition que haga referencia a una clave de contexto para el servicio de esta acción, el nombre de la clave aparecerá en la acción. Puede especificar el valor que desea utilizar durante la simulación de dicha acción para el recurso especificado.

    Acciones que exigen grupos distintos de tipos de recursos

    Algunas acciones exigen diferentes tipos de recursos en diferentes circunstancias. Cada grupo de tipos de recursos se asocia a un escenario. Si alguno de estos casos se aplica a su simulación, selecciónelo y el simulador de política exigirá los tipos de recursos adecuados para dicho escenario. En la siguiente lista se enumeran cada una de las opciones de escenarios admitidas y los recursos que debe definir para ejecutar la simulación.

    Cada uno de los siguientes escenarios de Amazon EC2 exige que especifique los recursos instance, image y security-group. Si en su escenario se incluye un volumen de EBS, debe especificar que volume es un recurso. Si en el escenario de Amazon EC2 se incluye una Virtual Private Cloud (VPC), debe proporcionar el recurso network-interface. Si se incluye una subred IP, debe especificar el recurso subnet. Para obtener más información sobre las opciones de escenarios de Amazon EC2, consulte Plataformas compatibles en la Guía del usuario de Amazon EC2.

    • EC2-VPC-InstanceStore

      instancia, imagen, grupo de seguridad, interfaz de red

    • EC2-VPC-InstanceStore-Subnet

      instancia, imagen, grupo de seguridad, interfaz de red, subred

    • EC2-VPC-EBS

      instancia, imagen, grupo de seguridad, interfaz de red, volumen

    • EC2-VPC-EBS-Subnet

      instancia, imagen, grupo de seguridad, interfaz de red, subred, volumen

  9. (Opcional) Si desea incluir una política basada en recursos en la simulación, debe primero seleccionar las acciones que desea simular en dicho recurso en Paso 6. Amplíe las filas de las acciones seleccionadas y escriba el ARN del recurso con una política que desea simular. A continuación, seleccione Include Resource Policy (Incluir política de recurso) junto al cuadro de texto ARN. El simulador de políticas de IAM admite actualmente políticas basadas en recursos de únicamente los siguientes servicios: Amazon S3 (solo políticas basadas en recursos; las ACL no son actualmente compatibles), Amazon SQS, Amazon SNS y almacenes desbloqueados de S3 Glacier (los almacenes bloqueados no son actualmente compatibles).

  10. Elija Run Simulation (Ejecutar simulación) en la esquina superior derecha.

    La columna Permission (Permiso) de cada fila de Action Settings and Results (Configuración y resultados de la acción) muestra el resultado de la simulación de cada acción en el recurso especificado.

  11. Para ver la instrucción de una política que permite o deniega explícitamente una acción, elija el enlace N matching statement(s) (Instrucción coincidente N) en la columna Permissions (Permisos) para ampliar la fila. A continuación, elija el enlace Show statement (Mostrar instrucción). El panel Policies (Políticas) muestra la correspondiente política con la instrucción resaltada que afectó al resultado de la simulación.

    nota

    Si una acción se deniega implícitamente es decir, si la acción se deniega únicamente porque no se permite explícitamente las opciones Enumerar y Mostrar instrucción no se muestran.

Solución de problemas de los mensajes de la consola del simulador de políticas de IAM

En la siguiente tabla se muestran los mensajes informativos y de advertencia que puede encontrar al utilizar el simulador de políticas de IAM. La tabla también indica los pasos que puede seguir para resolverlos.

Mensaje Pasos para resolver el problema
Esta política se ha editado. Los cambios no se guardarán en su cuenta.

No hay que hacer nada.

Este mensaje es informativo. Si edita una política existente en el simulador de políticas de IAM, el cambio no afecta a su cuenta de Cuenta de AWS. El simulador de política le permite hacer cambios en las políticas con fines de prueba únicamente.
No se puede obtener la política de recursos. Motivo: mensaje de error detallado El simulador de política no puede obtener acceso a una política basada en un recurso especificado. Asegúrese de que el ARN del recurso especificado sea correcto y que el usuario que ejecuta la simulación tiene permisos para leer el recurso de la política.
Una o varias políticas exigen valores en la configuración de la simulación. Podría producirse un error en la simulación sin estos valores.

Este mensaje aparece si la política que está probando incluye variables o claves de condición, pero no ha proporcionado ningún valor para estas claves o variables en Simulation Settings (Configuración de simulación).

Para que desaparezca este mensaje, elija Simulation Settings (Configuración de simulación) y, a continuación, escriba un valor para cada variable o clave de condición.
Ha cambiado las políticas. Estos resultados ya no son válidos.

Este mensaje aparece si ha cambiado la política seleccionada mientras los resultados aparecen en el panel Results (Resultados). Los resultados que se muestran en el panel Results (Resultados) no se actualizan dinámicamente.

Para que desaparezca este mensaje, vuelva a elegir Run Simulation (Ejecutar simulación) para mostrar nuevos resultados de la simulación basados en los cambios realizados en el panel Policies (Políticas).
El recurso que ha introducido para esta simulación no coincide con este servicio.

Este mensaje aparece si ha introducido un Nombre de recurso de Amazon (ARN) en el panel Simulation Settings (Configuración de simulación) que no coincide con el servicio que ha elegido para la simulación actual. Por ejemplo, este mensaje aparece si especifica un ARN de un recurso de Amazon DynamoDB pero ha elegido Amazon Redshift como el servicio que desea simular.

Para que desaparezca este mensaje, realice uno de los siguientes pasos:

  • Elimine el ARN del cuadro del panel Simulation Settings (Configuración de simulación).

  • Elija el servicio que coincida con el ARN que ha especificado en Simulation Settings (Configuración de simulación).
Esta acción pertenece a un servicio que admite mecanismos de control de acceso especiales, además de políticas basadas en recursos, como las ACL de Amazon S3 o las políticas de bloqueo de almacenes de S3 Glacier. El simulador de políticas no admite estos mecanismos, de modo que los resultados pueden diferir de su entorno de producción.

No hay que hacer nada.

Este mensaje es informativo. En la versión actual, el simulador de política evalúa políticas asociadas a usuarios y grupos de usuarios y puede evaluar políticas basadas en recursos para Amazon S3, Amazon SQS, Amazon SNS, y S3 Glacier. El simulador de políticas no admite todos los mecanismos de control de acceso compatibles con otros servicios de AWS.
DynamoDB FGAC no se admite actualmente.

No hay que hacer nada.

Este mensaje informativo hace referencia al control de acceso detallado. El control de acceso detallado es la capacidad de utilizar condiciones de políticas de IAM para determinar quién puede obtener acceso a los elementos y atributos de los datos individuales en las tablas e índices de DynamoDB. También se refiere a las acciones que se pueden realizar en estas tablas e índices. La versión actual del simulador de políticas de IAM no admite este tipo de condición de política. Para obtener más información sobre el control de acceso detallado de DynamoDB, consulte Control de acceso detallado para DynamoDB.
Tiene políticas que no cumplen con la sintaxis de la política. Puede utilizar el validador de políticas para revisar las actualizaciones recomendadas para sus políticas.

Este mensaje aparece en la parte superior de la lista de políticas si tiene políticas que no cumplen con la gramática de políticas de IAM. Para simular estas políticas, consulte las opciones de validación de políticas en Validación de políticas de IAM para identificar y corregir estas políticas.
Esta política debe actualizarse para cumplir con las últimas reglas de sintaxis de la política.

Este mensaje aparece si tiene políticas que no cumplen con la gramática de políticas de IAM. Para simular estas políticas, consulte las opciones de validación de políticas en Validación de políticas de IAM para identificar y corregir estas políticas.

Uso del simulador de políticas de IAM (AWS CLI y API de AWS)

Normalmente, los comandos del simulador de políticas exigen realizar llamadas a las operaciones de API para hacer dos cosas:

  1. Evaluar las políticas y devolver la lista de claves de contexto a las que hacen referencia. Debe conocer las claves de contexto a las que hacen referencia para que pueda proporcionarles valores en el siguiente paso.

  2. Simular las políticas, proporcionando una lista de acciones, recursos y claves de contexto que se utilizan durante la simulación.

Por motivos de seguridad, las operaciones de API se han dividido en dos grupos:

En ambos casos, las operaciones de API simulan el efecto de una o varias políticas en una lista de acciones y recursos. Cada acción va emparejada con cada recurso y la simulación determina si las políticas permiten o deniegan esa acción para dicho recurso. También puede proporcionar valores para cualquier clave de contexto a la que sus políticas hagan referencia. Puede obtener la lista de claves de contexto a las que las políticas hacen referencia llamando primero a GetContextKeysForCustomPolicy o GetContextKeysForPrincipalPolicy. Si no proporciona un valor para una clave de contexto, la simulación sigue ejecutándose. Pero los resultados podrían no ser fiables, ya que el simulador de política no puede incluir la clave de contexto en la evaluación.

Para obtener la lista de claves de contexto (AWS CLI, API de AWS)

Utilice lo siguiente para evaluar una lista de las políticas y devolver una lista de claves de contexto que se utilizan en las políticas.

Para simular políticas de IAM (AWS CLI, API de AWS)

Utilice lo siguiente para simular políticas de IAM con el fin de determinar los permisos en vigor del usuario.