Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Acciones, recursos y claves de condición de AWS Identity and Access Management (IAM) - Referencia de autorizaciones de servicio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acciones, recursos y claves de condición de AWS Identity and Access Management (IAM)

AWS Identity and Access Management (IAM) (prefijo de servicio:iam) proporciona los siguientes recursos, acciones y claves de contexto de condiciones específicos del servicio para su uso en IAM las políticas de permisos.

Referencias:

Acciones definidas por AWS Identity and Access Management (IAM)

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando se utiliza una acción en una política, normalmente se permite o deniega el acceso a la API operación o al CLI comando con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar uno ARN de ese tipo en una declaración con esa acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el Resource elemento de una IAM política, debe incluir un patrón ARN o para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.

La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.

nota

Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AddClientIDToOpenIDConnectProvider Concede permiso para añadir un nuevo ID de cliente (audiencia) a la lista de registrados IDs para el recurso de proveedor de IAM OpenID Connect (OIDC) especificado Escritura

oidc-provider*

AddRoleToInstanceProfile Otorga permiso para añadir un IAM rol al perfil de instancia especificado Escritura

instance-profile*

iam:PassRole

AddUserToGroup Otorga permiso para añadir un IAM usuario al IAM grupo especificado Escritura

group*

AttachGroupPolicy Otorga permiso para adjuntar una política administrada al IAM grupo especificado Administración de permisos

group*

iam:PolicyARN

AttachRolePolicy Otorga permiso para adjuntar una política administrada al IAM rol especificado Administración de permisos

role*

iam:PolicyARN

iam:PermissionsBoundary

AttachUserPolicy Otorga permiso para adjuntar una política administrada al IAM usuario especificado Administración de permisos

user*

iam:PolicyARN

iam:PermissionsBoundary

ChangePassword Otorga permiso a un IAM usuario para cambiar su propia contraseña Escritura

user*

CreateAccessKey Otorga permiso para crear una clave de acceso y una clave de acceso secreta para el IAM usuario especificado Escritura

user*

CreateAccountAlias Otorga permiso para crear un alias para su Cuenta de AWS Escritura
CreateGroup Concede permiso para crear un nuevo grupo. Write

group*

CreateInstanceProfile Concede permiso para crear un nuevo perfil de instancia. Escritura

instance-profile*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateLoginProfile Otorga permiso para crear una contraseña para el IAM usuario especificado Escritura

user*

CreateOpenIDConnectProvider Otorga permiso para crear un IAM recurso que describe un proveedor de identidad (IdP) compatible con OpenID Connect () OIDC Escritura

oidc-provider*

aws:TagKeys

aws:RequestTag/${TagKey}

CreatePolicy Concede permiso para crear una política nueva administrada. Permissions management

policy*

aws:TagKeys

aws:RequestTag/${TagKey}

CreatePolicyVersion Concede permiso para crear una nueva versión de la política administrada especificada. Permissions management

policy*

CreateRole Concede permiso para crear un nuevo rol. Escritura

role*

iam:PermissionsBoundary

aws:TagKeys

aws:RequestTag/${TagKey}

CreateSAMLProvider Otorga permiso para crear un IAM recurso que describa un proveedor de identidad (IdP) compatible con 2.0 SAML Escritura

saml-provider*

aws:TagKeys

aws:RequestTag/${TagKey}

CreateServiceLinkedRole Otorga permiso para crear un IAM rol que permita a un AWS servicio realizar acciones en tu nombre Escritura

role*

iam:AWSServiceName

CreateServiceSpecificCredential Otorga permiso para crear una nueva credencial específica del servicio para un usuario IAM Escritura

user*

CreateUser Otorga permiso para crear un nuevo usuario IAM Escritura

user*

iam:PermissionsBoundary

aws:TagKeys

aws:RequestTag/${TagKey}

CreateVirtualMFADevice Otorga permiso para crear un nuevo MFA dispositivo virtual Escritura

mfa*

aws:TagKeys

aws:RequestTag/${TagKey}

DeactivateMFADevice Otorga permiso para desactivar el MFA dispositivo especificado y eliminar su asociación con el IAM usuario para el que estaba habilitado originalmente Escritura

user*

DeleteAccessKey Otorga permiso para eliminar el par de claves de acceso asociado al IAM usuario especificado Escritura

user*

DeleteAccountAlias Otorga permiso para eliminar el Cuenta de AWS alias especificado Escritura
DeleteAccountPasswordPolicy Otorga permiso para eliminar la política de contraseñas del Cuenta de AWS Administración de permisos
DeleteCloudFrontPublicKey Otorga permiso para eliminar una clave CloudFront pública existente Escritura
DeleteGroup Otorga permiso para eliminar el IAM grupo especificado Escritura

group*

DeleteGroupPolicy Concede permiso para eliminar la política insertada especificada de su grupo. Permissions management

group*

DeleteInstanceProfile Concede permiso para eliminar el perfil de instancia especificado. Escritura

instance-profile*

DeleteLoginProfile Otorga permiso para eliminar la contraseña del IAM usuario especificado Escritura

user*

DeleteOpenIDConnectProvider Concede permiso para eliminar un objeto de recurso del proveedor de identidad (IdP) de OpenID Connect en IAM Escritura

oidc-provider*

DeletePolicy Otorga permiso para eliminar la política administrada especificada y quitarla de cualquier IAM entidad (usuarios, grupos o roles) a la que esté asociada Administración de permisos

policy*

DeletePolicyVersion Concede permiso para eliminar una versión de la política administrada especificada. Permissions management

policy*

DeleteRole Concede permiso para eliminar el rol especificado. Write

role*

DeleteRolePermissionsBoundary Concede permiso para eliminar los límites de permisos de un rol. Permissions management

role*

iam:PermissionsBoundary

DeleteRolePolicy Concede permiso para eliminar la política insertada especificada del rol especificado. Administración de permisos

role*

iam:PermissionsBoundary

DeleteSAMLProvider Otorga permiso para eliminar un recurso SAML de un proveedor en IAM Escritura

saml-provider*

DeleteSSHPublicKey Otorga permiso para eliminar la clave SSH pública especificada Escritura

user*

DeleteServerCertificate Concede permiso para eliminar el certificado de servidor especificado. Escritura

server-certificate*

DeleteServiceLinkedRole Otorga permiso para eliminar un IAM rol que esté vinculado a un AWS servicio específico, si el servicio ya no lo usa Escritura

role*

DeleteServiceSpecificCredential Otorga permiso para eliminar la credencial específica del servicio especificado para un usuario IAM Escritura

user*

DeleteSigningCertificate Otorga permiso para eliminar un certificado de firma asociado al usuario especificado IAM Escritura

user*

DeleteUser Otorga permiso para eliminar el IAM usuario especificado Escritura

user*

DeleteUserPermissionsBoundary Otorga permiso para eliminar el límite de permisos del IAM usuario especificado Administración de permisos

user*

iam:PermissionsBoundary

DeleteUserPolicy Otorga permiso para eliminar la política en línea especificada de un usuario IAM Administración de permisos

user*

iam:PermissionsBoundary

DeleteVirtualMFADevice Otorga permiso para eliminar un dispositivo virtual MFA Escritura

mfa

sms-mfa

DetachGroupPolicy Otorga permiso para separar una política administrada del grupo especificado IAM Administración de permisos

group*

iam:PolicyARN

DetachRolePolicy Concede permiso para desasociar una política administrada del rol especificado. Administración de permisos

role*

iam:PolicyARN

iam:PermissionsBoundary

DetachUserPolicy Otorga permiso para separar una política administrada del usuario especificado IAM Administración de permisos

user*

iam:PolicyARN

iam:PermissionsBoundary

DisableOrganizationsRootCredentialsManagement Otorga permiso para deshabilitar la administración de las credenciales de usuario raíz de una cuenta de miembro en una organización administrada con la cuenta corriente Escritura
DisableOrganizationsRootSessions Otorga permiso para deshabilitar las acciones raíz privilegiadas en las cuentas de los miembros de una organización gestionada con la cuenta corriente Escritura
EnableMFADevice Otorga permiso para habilitar un MFA dispositivo y asociarlo al IAM usuario especificado Escritura

user*

iam:RegisterSecurityKey

iam:FIDO-FIPS-140-2-certification

iam:FIDO-FIPS-140-3-certification

iam:FIDO-certification

EnableOrganizationsRootCredentialsManagement Otorga permiso para permitir la administración de las credenciales de usuario raíz de una cuenta de miembro para una organización administrada con la cuenta corriente Escritura
EnableOrganizationsRootSessions Otorga permiso para habilitar acciones raíz privilegiadas en las cuentas de los miembros de una organización gestionada con la cuenta corriente Escritura
GenerateCredentialReport Otorga permiso para generar un informe de credenciales para Cuenta de AWS Lectura
GenerateOrganizationsAccessReport Otorga permiso para generar un informe de acceso para una entidad de AWS Organizations Lectura

access-report*

organizations:DescribePolicy

organizations:ListChildren

organizations:ListParents

organizations:ListPoliciesForTarget

organizations:ListRoots

organizations:ListTargetsForPolicy

iam:OrganizationsPolicyId

GenerateServiceLastAccessedDetails Otorga permiso para generar un informe de datos del último servicio al que se accedió para un IAM recurso Lectura

group*

policy*

role*

user*

GetAccessKeyLastUsed Concede permiso para recuperar información acerca de cuándo se utilizó por última vez la clave de acceso especificada. Lectura

user*

GetAccountAuthorizationDetails Otorga permiso para recuperar información sobre todos IAM los usuarios, grupos, funciones y políticas de su Cuenta de AWS empresa, incluidas sus relaciones entre sí Lectura
GetAccountEmailAddress Concede permiso para recuperar la dirección de correo electrónico que está asociada a la cuenta Lectura
GetAccountName Concede permiso para recuperar el nombre de cuenta que está asociado a la cuenta Lectura
GetAccountPasswordPolicy Otorga permiso para recuperar la política de contraseñas del Cuenta de AWS Lectura
GetAccountSummary Otorga permiso para recuperar información sobre el uso y IAM las cuotas de las IAM entidades en el Cuenta de AWS Enumeración
GetCloudFrontPublicKey Otorga permiso para recuperar información sobre la clave CloudFront pública especificada Lectura
GetContextKeysForCustomPolicy Concede permiso para recuperar una lista de todas las claves de contexto a las que se hace referencia en la política especificada. Lectura
GetContextKeysForPrincipalPolicy Otorga permiso para recuperar una lista de todas las claves de contexto a IAM las que se hace referencia en todas las políticas asociadas a la IAM identidad especificada (usuario, grupo o rol) Lectura

group

role

user

GetCredentialReport Otorga permiso para recuperar un informe de credenciales para Cuenta de AWS Lectura
GetGroup Otorga permiso para recuperar una lista de IAM usuarios del grupo especificado IAM Lectura

group*

GetGroupPolicy Otorga permiso para recuperar un documento de política en línea que está incrustado en el grupo especificado IAM Lectura

group*

GetInstanceProfile Otorga permiso para recuperar información sobre el perfil de instancia especificado, incluida la ruta GUIDARN, y la función del perfil de instancia Lectura

instance-profile*

GetLoginProfile Otorga permiso para recuperar el nombre de usuario y la fecha de creación de la contraseña del IAM usuario especificado Enumeración

user*

GetMFADevice Otorga permiso para recuperar información sobre un MFA dispositivo al usuario especificado Lectura

user*

GetOpenIDConnectProvider Otorga permiso para recuperar información sobre el recurso del proveedor OpenID Connect (OIDC) especificado en IAM Lectura

oidc-provider*

GetOrganizationsAccessReport Otorga permiso para recuperar un informe de acceso de AWS Organizations Lectura
GetPolicy Concede permiso para recuperar información sobre la política administrada especificada, incluida la versión predeterminada de la política y el número total de usuarios, grupos y roles de IAM a los que se asocia dicha política. Read

policy*

GetPolicyVersion Concede permiso para recuperar información sobre una versión de la política administrada especificada, incluido el documento de política. Lectura

policy*

GetRole Otorga permiso para recuperar información sobre el rol especificado, incluida la ruta del rol y la política de confianza del rol GUID ARN Lectura

role*

GetRolePolicy Otorga permiso para recuperar un documento de política en línea que está incrustado en el rol especificado IAM Lectura

role*

GetSAMLProvider Otorga permiso para recuperar el metadocument del SAML proveedor que se cargó cuando se creó o actualizó el recurso del IAM SAML proveedor Lectura

saml-provider*

GetSSHPublicKey Otorga permiso para recuperar la clave SSH pública especificada, incluidos los metadatos sobre la clave Lectura

user*

GetServerCertificate Otorga permiso para recuperar información sobre el certificado de servidor especificado almacenado en IAM Lectura

server-certificate*

GetServiceLastAccessedDetails Concede permiso para recuperar información sobre el informe de datos de los últimos servicios a los que se ha accedido. Read
GetServiceLastAccessedDetailsWithEntities Concede permiso para recuperar información sobre las entidades del informe de datos de los últimos servicios a los que se ha accedido. Lectura
GetServiceLinkedRoleDeletionStatus Otorga permiso para recuperar el estado de eliminación de un rol IAM vinculado a un servicio Lectura

role*

GetUser Otorga permiso para recuperar información sobre el IAM usuario especificado, incluida la fecha de creación del usuario, la ruta, el identificador único y ARN Lectura

user*

GetUserPolicy Otorga permiso para recuperar un documento de política en línea que está incrustado en el usuario especificado IAM Lectura

user*

ListAccessKeys Otorga permiso para mostrar información sobre la clave IDs de acceso asociada al usuario especificado IAM Enumeración

user*

ListAccountAliases Otorga permiso para incluir el alias de la cuenta asociado a Cuenta de AWS Enumeración
ListAttachedGroupPolicies Otorga permiso para enumerar todas las políticas administradas que están asociadas al IAM grupo especificado Enumeración

group*

ListAttachedRolePolicies Otorga permiso para enumerar todas las políticas administradas asociadas a la IAM función especificada Enumeración

role*

ListAttachedUserPolicies Otorga permiso para enumerar todas las políticas administradas que están asociadas al IAM usuario especificado Enumeración

user*

ListCloudFrontPublicKeys Otorga permiso para enumerar todas las claves CloudFront públicas actuales de la cuenta Enumeración
ListEntitiesForPolicy Otorga permiso para enumerar todas IAM las identidades a las que está asociada la política gestionada especificada Enumeración

policy*

ListGroupPolicies Otorga permiso para enumerar los nombres de las políticas integradas que están integradas en el grupo especificado IAM Enumeración

group*

ListGroups Otorga permiso para enumerar los IAM grupos que tienen el prefijo de ruta especificado Enumeración
ListGroupsForUser Otorga permiso para enumerar los IAM grupos a los que pertenece el IAM usuario especificado Enumeración

user*

ListInstanceProfileTags Concede permiso para obtener una lista de las etiquetas que se asocian al perfil de instancia especificado. List

instance-profile*

ListInstanceProfiles Concede permiso para obtener una lista de los perfiles de instancia con el prefijo de ruta especificado. Enumeración
ListInstanceProfilesForRole Otorga permiso para enumerar los perfiles de instancia que tienen el IAM rol asociado especificado Enumeración

role*

ListMFADeviceTags Concede permiso para obtener una lista de las etiquetas que se asocian al dispositivo MFA especificado. Enumeración

mfa*

ListMFADevices Otorga permiso para enumerar los MFA dispositivos a un IAM usuario Enumeración

user

ListOpenIDConnectProviderTags Concede permiso para enumerar las etiquetas que están adjuntas al proveedor OpenID Connect especificado Enumeración

oidc-provider*

ListOpenIDConnectProviders Otorga permiso para mostrar información sobre los objetos de recursos del proveedor IAM OpenID Connect (OIDC) que se definen en Cuenta de AWS Enumeración
ListOrganizationsFeatures Otorga permiso para enumerar las funciones de acceso raíz centralizado habilitadas para su organización Enumeración
ListPolicies Concede permiso para obtener una lista de todas las políticas administradas. List
ListPoliciesGrantingServiceAccess Concede permiso para mostrar información acerca de las políticas que conceden a una entidad acceso a un servicio específico. List

group*

role*

user*

ListPolicyTags Concede permiso para obtener una lista de las etiquetas que se asocian a la política administrada especificada. List

policy*

ListPolicyVersions Concede permiso para mostrar información acerca de las versiones de la política administrada especificada, incluida la versión que actualmente está establecida como la versión predeterminada de la política. Enumeración

policy*

ListRolePolicies Otorga permiso para enumerar los nombres de las políticas integradas que están integradas en el rol especificado IAM Enumeración

role*

ListRoleTags Otorga permiso para enumerar las etiquetas asociadas al rol especificado IAM Enumeración

role*

ListRoles Otorga permiso para enumerar los IAM roles que tienen el prefijo de ruta especificado Enumeración
ListSAMLProviderTags Otorga permiso para enumerar las etiquetas adjuntas al proveedor especificado SAML Enumeración

saml-provider*

ListSAMLProviders Otorga permiso para incluir los recursos del SAML proveedor en IAM Enumeración
ListSSHPublicKeys Otorga permiso para incluir información sobre las claves SSH públicas asociadas al IAM usuario especificado Enumeración

user*

ListSTSRegionalEndpointsStatus Otorga permiso para enumerar el estado de todos los puntos finales STS regionales activos Enumeración
ListServerCertificateTags Concede permiso para obtener una lista de las etiquetas que se asocian al certificado de servidor especificado. List

server-certificate*

ListServerCertificates Concede permiso para obtener una lista de los certificados de servidor que tienen el prefijo de ruta especificado. Enumeración
ListServiceSpecificCredentials Otorga permiso para enumerar las credenciales específicas del servicio que están asociadas al usuario especificado IAM Enumeración

user*

ListSigningCertificates Otorga permiso para mostrar información sobre los certificados de firma asociados al usuario especificado IAM Enumeración

user*

ListUserPolicies Otorga permiso para enumerar los nombres de las políticas integradas que están integradas en el usuario especificado IAM Enumeración

user*

ListUserTags Otorga permiso para enumerar las etiquetas adjuntas al usuario especificado IAM Enumeración

user*

ListUsers Otorga permiso para enumerar los IAM usuarios que tienen el prefijo de ruta especificado Enumeración
ListVirtualMFADevices Otorga permiso para enumerar MFA los dispositivos virtuales por estado de asignación Enumeración
PassRole [solo permiso] Concede permiso para transferir un rol a un servicio. Escritura

role*

iam:AssociatedResourceArn

iam:PassedToService

PutGroupPolicy Otorga permiso para crear o actualizar un documento de política en línea que esté integrado en el grupo especificado IAM Administración de permisos

group*

PutRolePermissionsBoundary Concede permiso para establecer una política administrada como un límite de permisos para un rol. Administración de permisos

role*

iam:PermissionsBoundary

PutRolePolicy Otorga permiso para crear o actualizar un documento de política integrado que está incrustado en el rol especificado IAM Administración de permisos

role*

iam:PermissionsBoundary

PutUserPermissionsBoundary Otorga permiso para establecer una política administrada como límite de permisos para un IAM usuario Administración de permisos

user*

iam:PermissionsBoundary

PutUserPolicy Otorga permiso para crear o actualizar un documento de política en línea que esté incrustado en el usuario especificado IAM Administración de permisos

user*

iam:PermissionsBoundary

RemoveClientIDFromOpenIDConnectProvider Concede permiso para eliminar el ID de cliente (audiencia) de la lista de clientes IDs en el recurso de proveedor de IAM OpenID Connect (OIDC) especificado Escritura

oidc-provider*

RemoveRoleFromInstanceProfile Otorga permiso para eliminar un IAM rol del perfil de EC2 instancia especificado Escritura

instance-profile*

RemoveUserFromGroup Otorga permiso para eliminar un IAM usuario del grupo especificado Escritura

group*

ResetServiceSpecificCredential Otorga permiso para restablecer la contraseña de una credencial específica de un servicio existente para un usuario IAM Escritura

user*

ResyncMFADevice Otorga permiso para sincronizar el MFA dispositivo especificado con su IAM entidad (usuario o rol) Escritura

user*

SetDefaultPolicyVersion Concede permiso para establecer la versión de la política especificada como la versión predeterminada de la política. Administración de permisos

policy*

SetSTSRegionalEndpointStatus Otorga permiso para activar o desactivar un punto final regional STS Escritura
SetSecurityTokenServicePreferences Otorga permiso para configurar la versión del token de punto final STS global Escritura
SimulateCustomPolicy Otorga permiso para simular si una política basada en la identidad o en los recursos proporciona permisos para operaciones y recursos específicos API Lectura
SimulatePrincipalPolicy Otorga permiso para simular si una política basada en la identidad asociada a una IAM entidad específica (usuario o rol) proporciona permisos para operaciones y recursos específicos API Lectura

group

role

user

TagInstanceProfile Concede permiso para agregar etiquetas a un perfil de instancia Etiquetado

instance-profile*

aws:TagKeys

aws:RequestTag/${TagKey}

TagMFADevice Concede permiso para agregar etiquetas a un dispositivo MFA virtual Etiquetado

mfa*

aws:TagKeys

aws:RequestTag/${TagKey}

TagOpenIDConnectProvider Concede permiso para agregar etiquetas a un proveedor de OpenID Connect Etiquetado

oidc-provider*

aws:TagKeys

aws:RequestTag/${TagKey}

TagPolicy Concede permiso para agregar etiquetas a una política administrada Etiquetado

policy*

aws:TagKeys

aws:RequestTag/${TagKey}

TagRole Otorga permiso para añadir etiquetas a un rol IAM Etiquetado

role*

aws:TagKeys

aws:RequestTag/${TagKey}

TagSAMLProvider Otorga permiso para añadir etiquetas a un SAML proveedor Etiquetado

saml-provider*

aws:TagKeys

aws:RequestTag/${TagKey}

TagServerCertificate Concede permiso para agregar etiquetas a un certificado de servidor Etiquetado

server-certificate*

aws:TagKeys

aws:RequestTag/${TagKey}

TagUser Otorga permiso para añadir etiquetas a un IAM usuario Etiquetado

user*

aws:TagKeys

aws:RequestTag/${TagKey}

UntagInstanceProfile Concede permiso para eliminar las etiquetas especificadas del perfil de instancia Etiquetado

instance-profile*

aws:TagKeys

UntagMFADevice Concede permiso para eliminar las etiquetas especificadas del dispositivo MFA virtual. Etiquetado

mfa*

aws:TagKeys

UntagOpenIDConnectProvider Concede permiso para quitar las etiquetas especificadas del proveedor OpenID Connect Etiquetado

oidc-provider*

aws:TagKeys

UntagPolicy Concede permiso para eliminar las etiquetas especificadas de la política administrada Etiquetado

policy*

aws:TagKeys

UntagRole Concede permiso para eliminar las etiquetas especificadas del rol Etiquetado

role*

aws:TagKeys

UntagSAMLProvider Otorga permiso para eliminar las etiquetas especificadas del SAML proveedor Etiquetado

saml-provider*

aws:TagKeys

UntagServerCertificate Concede permiso para eliminar las etiquetas especificadas del certificado de servidor Etiquetado

server-certificate*

aws:TagKeys

UntagUser Concede permiso para eliminar las etiquetas especificadas del usuario Etiquetado

user*

aws:TagKeys

UpdateAccessKey Concede permiso para actualizar el estado de la clave de acceso especificada como activo o inactivo. Escritura

user*

UpdateAccountEmailAddress Concede permiso para actualizar la dirección de correo electrónico que está asociada a la cuenta Escritura
UpdateAccountName Concede permiso para actualizar el nombre de cuenta que está asociado a la cuenta Escritura
UpdateAccountPasswordPolicy Otorga permiso para actualizar la configuración de la política de contraseñas del Cuenta de AWS Escritura
UpdateAssumeRolePolicy Otorga permiso para actualizar la política que otorga a una IAM entidad el permiso para asumir un rol Administración de permisos

role*

UpdateCloudFrontPublicKey Otorga permiso para actualizar una clave CloudFront pública existente Escritura
UpdateGroup Otorga permiso para actualizar el nombre o la ruta del IAM grupo especificado Escritura

group*

UpdateLoginProfile Otorga permiso para cambiar la contraseña del IAM usuario especificado Escritura

user*

UpdateOpenIDConnectProviderThumbprint Concede permiso para actualizar la lista completa de huellas digitales de certificados de servidor asociadas a un recurso de proveedor de OpenID OIDC Connect () Escritura

oidc-provider*

UpdateRole Concede permiso para actualizar la descripción o la configuración de duración máxima de la sesión de un rol. Write

role*

UpdateRoleDescription Concede permiso para actualizar solo la descripción de un rol. Escritura

role*

UpdateSAMLProvider Otorga permiso para actualizar el documento de metadatos de un recurso de proveedor existente SAML Escritura

saml-provider*

UpdateSSHPublicKey Otorga permiso para actualizar el estado de la clave SSH pública de un IAM usuario a activo o inactivo Escritura

user*

UpdateServerCertificate Otorga permiso para actualizar el nombre o la ruta del certificado de servidor especificado almacenado en IAM Escritura

server-certificate*

UpdateServiceSpecificCredential Otorga permiso para actualizar el estado de una credencial específica de un servicio a activo o inactivo para un usuario IAM Escritura

user*

UpdateSigningCertificate Concede permiso para actualizar el estado del certificado de firma del usuario especificado como activo o inactivo. Escritura

user*

UpdateUser Otorga permiso para actualizar el nombre o la ruta del usuario especificado IAM Escritura

user*

UploadCloudFrontPublicKey Otorga permiso para cargar una clave CloudFront pública Escritura
UploadSSHPublicKey Otorga permiso para cargar una clave SSH pública y asociarla al IAM usuario especificado Escritura

user*

UploadServerCertificate Otorga permiso para cargar una entidad de certificado de servidor para Cuenta de AWS Escritura

server-certificate*

aws:TagKeys

aws:RequestTag/${TagKey}

UploadSigningCertificate Otorga permiso para cargar un certificado de firma X.509 y asociarlo al usuario especificado IAM Escritura

user*

Tipos de recursos definidos por AWS Identity and Access Management (IAM)

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
access-report arn:${Partition}:iam::${Account}:access-report/${EntityPath}
assumed-role arn:${Partition}:iam::${Account}:assumed-role/${RoleName}/${RoleSessionName}
federated-user arn:${Partition}:iam::${Account}:federated-user/${UserName}
group arn:${Partition}:iam::${Account}:group/${GroupNameWithPath}
instance-profile arn:${Partition}:iam::${Account}:instance-profile/${InstanceProfileNameWithPath}

aws:ResourceTag/${TagKey}

mfa arn:${Partition}:iam::${Account}:mfa/${MfaTokenIdWithPath}

aws:ResourceTag/${TagKey}

oidc-provider arn:${Partition}:iam::${Account}:oidc-provider/${OidcProviderName}

aws:ResourceTag/${TagKey}

policy arn:${Partition}:iam::${Account}:policy/${PolicyNameWithPath}

aws:ResourceTag/${TagKey}

role arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}

aws:ResourceTag/${TagKey}

iam:ResourceTag/${TagKey}

saml-provider arn:${Partition}:iam::${Account}:saml-provider/${SamlProviderName}

aws:ResourceTag/${TagKey}

server-certificate arn:${Partition}:iam::${Account}:server-certificate/${CertificateNameWithPath}

aws:ResourceTag/${TagKey}

sms-mfa arn:${Partition}:iam::${Account}:sms-mfa/${MfaTokenIdWithPath}
user arn:${Partition}:iam::${Account}:user/${UserNameWithPath}

aws:ResourceTag/${TagKey}

iam:ResourceTag/${TagKey}

Claves de condición para AWS Identity and Access Management (IAM)

AWS Identity and Access Management (IAM) define las siguientes claves de condición que se pueden utilizar en el Condition elemento de una IAM política. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra acciones basadas en las etiquetas que se aprueban en la solicitud Cadena
aws:ResourceTag/${TagKey} Filtra acciones en función de la etiqueta asociada con el recurso Cadena
aws:TagKeys Filtra acciones basadas en las claves de etiqueta que se aprueban en la solicitud ArrayOfString
iam:AWSServiceName Filtra el acceso según el AWS servicio al que está asociado este rol Cadena
iam:AssociatedResourceArn Filtra el acceso por el recurso en nombre del cual se usará el rol ARN
iam:FIDO-FIPS-140-2-certification Filtra el acceso por el MFA dispositivo FIPS (nivel de certificación de validación 140-2) en el momento del registro de una clave de seguridad FIDO Cadena
iam:FIDO-FIPS-140-3-certification Filtra el acceso según el nivel de certificación de validación del MFA dispositivo FIPS -140-3 en el momento del registro de una clave de seguridad FIDO Cadena
iam:FIDO-certification Filtra el acceso según el nivel de FIDO certificación del MFA dispositivo en el momento del registro de una clave de seguridad FIDO Cadena
iam:OrganizationsPolicyId Filtra el acceso por el ID de la política de una AWS organización Cadena
iam:PassedToService Filtra el acceso por el AWS servicio al que se transfiere este rol Cadena
iam:PermissionsBoundary Filtra el acceso si la política especificada se establece como el límite de permisos de la IAM entidad (usuario o rol) ARN
iam:PolicyARN Filtra el ARN acceso según una IAM política ARN
iam:RegisterSecurityKey Filtra el acceso según el estado actual de MFA activación del dispositivo Cadena
iam:ResourceTag/${TagKey} Filtra el acceso por las etiquetas adjuntas a una IAM entidad (usuario o rol) Cadena
PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.