Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Identificar los recursos de AWS con nombres de recursos de Amazon (ARN)

PDF
RSS
Modo de enfoque
Identificar los recursos de AWS con nombres de recursos de Amazon (ARN) - AWS Identity and Access Management
Formato de ARNConsulta del formato de ARN para un recursoRutas de los ARN

Los nombres de recursos de Amazon (ARN) identifican de forma exclusiva los recursos de AWS. Se requiere un ARN cuando sea preciso especificar un recurso de forma inequívoca para todo AWS, como en las políticas de IAM, las etiquetas de Amazon Relational Database Service (Amazon RDS) y las llamadas a la API. Si bien los ARN, al igual que cualquier información de identificación, deben usarse y compartirse con cuidado, no se consideran información secreta, sensible o confidencial.

Formato de ARN

A continuación se muestran los formatos generales para los ARN. Los formatos específicos dependen del recurso. Para utilizar un ARN, reemplace el texto en cursiva por la información específica del recurso. Tenga en cuenta que los ARN de algunos recursos omiten la región, el ID de la cuenta o ambos.

arn:partition:service:region:account-id:resource-id
arn:partition:service:region:account-id:resource-type/resource-id
arn:partition:service:region:account-id:resource-type:resource-id
partition

La partición en la que se encuentra el recurso. Una partición es un grupo de regiones de AWS. Cada cuenta de AWS está limitada a una partición.

Las siguientes son las particiones admitidas:

  • aws: regiones de AWS

  • aws-cn - Regiones de China

  • aws-us-gov: regiones de AWS GovCloud (US)

service

El espacio de nombres del servicio que identifica el producto de AWS.

region

El código de región. Por ejemplo, us-east-2 para la región Este de EE. UU. (Ohio). Para obtener la lista de códigos de región, consulte Puntos de conexión regionales en la Referencia general de AWS.

account-id

El ID de la cuenta de AWS que posee el recurso, sin los guiones. Por ejemplo, 123456789012.

resource-type

El tipo de recurso. Por ejemplo, vpc para una nube privada virtual (VPC).

resource-id

El identificador del recurso. Es el nombre del recurso, el identificador del recurso o la ruta del recurso. Algunos identificadores de recurso incluyen un recurso principal (tipo-sub-recurso/recurso-principal/sub-recurso) o un calificador como una versión (tipo-recurso:nombre-recurso:calificador).

Ejemplos
Usuario de IAM

arn:aws:iam::123456789012:user/johndoe

Tema de SNS

arn:aws:sns:us-east-1:123456789012:example-sns-topic-name

VPC

arn:aws:ec2:us-east-1:123456789012:vpc/vpc-0e9801d129EXAMPLE

Consulta del formato de ARN para un recurso

El formato exacto de un ARN depende del tipo de servicio y recurso. Algunos ARN de recursos pueden incluir una ruta, una variable o un comodín. Para consultar el formato de ARN para un recurso de AWS específico, abra la Referencia de autorización de servicios, abra la página del servicio y navegue hasta la tabla de tipos de recursos.

Rutas de los ARN

Algunos ARN de recursos pueden incluir una ruta. Por ejemplo, en Amazon S3, el identificador de recursos es un nombre de objeto que puede incluir barras inclinadas (/) para formar una ruta. Del mismo modo, los nombres de usuario de IAM y nombres de grupo pueden incluir rutas. Solo se permiten caracteres alfanuméricos y los siguientes caracteres en las rutas del IAM: barra inclinada (/), más (+), igual (=), coma (,), punto final (.) arroba (@), guion bajo (_) y guion (-).

Uso de caracteres comodines en rutas

Las rutas pueden incluir un carácter comodín, por ejemplo, un asterisco (*). Algunos elementos de la política permiten caracteres comodín, mientras que otros no. Puede utilizar caracteres comodín para los elementos Resource o NotResource, pero no para los elementos Principal o NotPrincipal. Para obtener más información, consulte Referencia de políticas JSON de IAM.

Puede especificar role/* para referirse a todos los roles de la cuenta 123456789012, como en el siguiente ejemplo:

arn:aws:iam::123456789012:role/*

También puede terminar el nombre de un recurso con un comodín. Por ejemplo, puede especificar service-* para referirse a todos los roles que comiencen con service y terminen con caracteres diferentes, como service-role1 o service-test:

arn:aws:iam::123456789012:role/service-*

En el siguiente ejemplo, se muestran los ARN para objetos de un bucket de Amazon S3 en los que el nombre de recurso incluye una ruta. El ARN arn:aws:s3:::amzn-s3-demo-bucket/* es para todos los objetos de ese bucket, independientemente del prefijo. El ARN arn:aws:s3:::amzn-s3-demo-bucket/Development/* es para todos los objetos creados con el prefijo /Development/.

También puede usar el carácter comodín ? para especificar un carácter en un ARN. Por ejemplo, puede usar el siguiente ARN para todas las carpetas que comiencen con cuatro caracteres y terminen en -test en el bucket de S3 denominado amzn-s3-demo-bucket. Algunas carpetas que podrían coincidir con este valor son 1234-test, 2024-test o a100-test.

arn:aws:s3:::amzn-s3-demo-bucket/????-test

También puede utilizar caracteres comodín en las distintas secciones de un ARN, delimitados por dos puntos “:”. En el siguiente ejemplo, se utilizan dos caracteres comodín para hacer coincidir todas las aplicaciones y recursos de Amazon Q dentro de las aplicaciones en todas las regiones de la cuenta 123456789012:

arn:aws:qbusiness:*:123456789012:*

Del mismo modo, el siguiente ejemplo coincide con todas las VPC de Amazon en todas las regiones de la cuenta 123456789012:

arn:aws:ec2:*:123456789012:vpc/*

El siguiente ejemplo coincide con todos los volúmenes de Amazon EBS en todas las regiones de la cuenta 123456789012:

arn:aws:ec2:*:123456789012:volume/*
Limitaciones del uso de caracteres comodín en las ARN

No puede utilizar un comodín en la parte del ARN que especifica el tipo de recurso. El siguiente ejemplo de ARN con un comodín en el tipo de recurso no es válido:

arn:aws:lambda:us-east-2:123456789012:functi*:my-function <== not allowed

Tampoco puede utilizar un comodín en el prefijo ARN ni tener un comodín en la sección de particiones de un ARN.

arn:aws:redshift:us-east-1:123456789012:? <== not allowed

En esta página

Related resources

Referencia de la API de AWS Identity and Access Management
Comandos de la AWS CLI de AWS Identity and Access Management
Herramientas y SDK 

Related resources

Referencia de la API de AWS Identity and Access Management
Comandos de la AWS CLI de AWS Identity and Access Management
Herramientas y SDK 
PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.