Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acciones, recursos y claves de condición para AWS Security Token Service
AWS Security Token Service (prefijo de servicio:sts) proporciona los siguientes recursos, acciones y claves de contexto de condiciones específicos del servicio para su uso en las políticas de permisos. IAM
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las APIoperaciones disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos deIAM.
Temas
Acciones definidas por AWS Security Token Service
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando se utiliza una acción en una política, se suele permitir o denegar el acceso a la API operación o al CLI comando con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar uno ARN de ese tipo en una declaración con esa acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el Resource elemento de una IAM política, debe incluir un patrón ARN o para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| AssumeRole | Otorga permiso para obtener un conjunto de credenciales de seguridad temporales que puede usar para acceder a AWS recursos a los que normalmente no tendría acceso | Escritura | |||
|
cognito-identity.amazonaws.com:amr cognito-identity.amazonaws.com:aud cognito-identity.amazonaws.com:sub www.amazon.com:app_id |
|||||
| AssumeRoleWithSAML | Otorga permiso para obtener un conjunto de credenciales de seguridad temporales a los usuarios que se han autenticado mediante una respuesta de SAML autenticación | Escritura | |||
|
saml:eduorgidentityauthnpolicyuri saml:edupersonprimaryaffiliation saml:edupersonprimaryorgunitdn |
|||||
| AssumeRoleWithWebIdentity | Concede permiso para obtener un conjunto de credenciales de seguridad temporales para los usuarios que han sido autenticados en un móvil o una aplicación web con un proveedor de identidades web. | Escritura | |||
|
cognito-identity.amazonaws.com:amr cognito-identity.amazonaws.com:aud cognito-identity.amazonaws.com:sub www.amazon.com:app_id |
|||||
| AssumeRoot | Otorga permiso para obtener un conjunto de credenciales de seguridad temporales que puede usar para realizar tareas privilegiadas en las cuentas de los miembros de su organización | Escritura | |||
| DecodeAuthorizationMessage | Otorga permiso para decodificar información adicional sobre el estado de autorización de una solicitud a partir de un mensaje codificado devuelto en respuesta a una AWS solicitud | Escritura | |||
| GetAccessKeyInfo | Concede permiso para obtener detalles acerca del ID de clave de acceso pasado como parámetro a la solicitud. | Lectura | |||
| GetCallerIdentity | Otorga permiso para obtener detalles sobre la IAM identidad cuyas credenciales se utilizan para llamar al API | Lectura | |||
| GetFederationToken | Concede permiso para obtener un conjunto de credenciales de seguridad temporales (compuestas de un ID de clave de acceso, una clave de acceso secreta y un token de seguridad) para un usuario federado. | Lectura | |||
| GetServiceBearerToken [solo permiso] | Otorga permiso para obtener un token de STS portador para un usuario AWS raíz, un IAM rol o un IAM usuario | Lectura | |||
| GetSessionToken | Otorga permiso para obtener un conjunto de credenciales de seguridad temporales (compuesto por un identificador de clave de acceso, una clave de acceso secreta y un token de seguridad) para un Cuenta de AWS usuario IAM | Lectura | |||
| SetContext [solo permiso] | Otorga permiso para establecer claves de contexto en una STS sesión | Escritura | |||
| SetSourceIdentity [solo permiso] | Otorga permiso para establecer una identidad de origen en una STS sesión | Escritura | |||
| TagSession [solo permiso] | Otorga permiso para añadir etiquetas a una STS sesión | Etiquetado | |||
Tipos de recursos definidos por AWS Security Token Service
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| role |
arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}
|
|
| user |
arn:${Partition}:iam::${Account}:user/${UserNameWithPath}
|
|
| root-user |
arn:${Partition}:iam::${Account}:root
|
|
| self-session |
arn:${Partition}:sts::${Account}:self
|
Claves de condición para AWS Security Token Service
AWS Security Token Service define las siguientes claves de condición que se pueden usar en el Condition elemento de una IAM política. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.
Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| accounts.google.com:aud | Filtra el acceso mediante el ID de la aplicación de Google. | Cadena |
| accounts.google.com:oaud | Filtra el acceso mediante la audiencia de Google. | Cadena |
| accounts.google.com:sub | Filtra el acceso mediante el tema de la reclamación (el ID de usuario de Google). | Cadena |
| aws:RequestTag/${TagKey} | Filtra el acceso por las etiquetas que se pasan en la solicitud | Cadena |
| aws:ResourceTag/${TagKey} | Filtra el acceso por las etiquetas asociadas al recurso | Cadena |
| aws:TagKeys | Filtra el acceso por las claves de etiquetas que se pasan en la solicitud | ArrayOfString |
| cognito-identity.amazonaws.com:amr | Filtra el acceso mediante la información de inicio de sesión de Amazon Cognito. | Cadena |
| cognito-identity.amazonaws.com:aud | Filtra el acceso mediante el ID del grupo de identidades de Amazon Cognito. | Cadena |
| cognito-identity.amazonaws.com:sub | Filtra el acceso mediante el tema de la reclamación (el ID de usuario de Amazon Cognito). | Cadena |
| graph.facebook.com:app_id | Filtra el acceso mediante el ID de la aplicación de Facebook. | Cadena |
| graph.facebook.com:id | Filtra el acceso mediante el ID de usuario de Facebook. | Cadena |
| iam:ResourceTag/${TagKey} | Filtra el acceso mediante las etiquetas que se adjuntan al rol que se está asumiendo. | Cadena |
| saml:aud | Filtra el acceso por el punto final URL al que se presentan SAML las afirmaciones | Cadena |
| saml:cn | Filtra el acceso por atributo eduOrg | ArrayOfString |
| saml:commonName | Filtra el acceso por commonName atributo | Cadena |
| saml:doc | Filtra el acceso mediante el principal que se utilizó para asumir el rol. | Cadena |
| saml:eduorghomepageuri | Filtra el acceso por eduOrg atributo | ArrayOfString |
| saml:eduorgidentityauthnpolicyuri | Filtra el acceso por eduOrg atributo | ArrayOfString |
| saml:eduorglegalname | Filtra el acceso por eduOrg atributo | ArrayOfString |
| saml:eduorgsuperioruri | Filtra el acceso por eduOrg atributo | ArrayOfString |
| saml:eduorgwhitepagesuri | Filtra el acceso por eduOrg atributo | ArrayOfString |
| saml:edupersonaffiliation | Filtra el acceso por eduPerson atributo | ArrayOfString |
| saml:edupersonassurance | Filtra el acceso por eduPerson atributo | ArrayOfString |
| saml:edupersonentitlement | Filtra el acceso por eduPerson atributo | ArrayOfString |
| saml:edupersonnickname | Filtra el acceso por eduPerson atributo | ArrayOfString |
| saml:edupersonorgdn | Filtra el acceso por eduPerson atributo | Cadena |
| saml:edupersonorgunitdn | Filtra el acceso por eduPerson atributo | ArrayOfString |
| saml:edupersonprimaryaffiliation | Filtra el acceso por eduPerson atributo | Cadena |
| saml:edupersonprimaryorgunitdn | Filtra el acceso por eduPerson atributo | Cadena |
| saml:edupersonprincipalname | Filtra el acceso por eduPerson atributo | Cadena |
| saml:edupersonscopedaffiliation | Filtra el acceso por eduPerson atributo | ArrayOfString |
| saml:edupersontargetedid | Filtra el acceso por eduPerson atributo | ArrayOfString |
| saml:givenName | Filtra el acceso por givenName atributo | Cadena |
| saml:iss | Filtra el acceso por el emisor, que está representado por un URN | Cadena |
| saml:mail | Filtra el acceso por el atributo de correo. | Cadena |
| saml:name | Filtra el acceso por el atributo de nombre. | Cadena |
| saml:namequalifier | Filtra el acceso mediante el valor hash del emisor, el ID de cuenta y el nombre descriptivo. | Cadena |
| saml:organizationStatus | Filtra el acceso por el atributo organizationStatus | Cadena |
| saml:primaryGroupSID | Filtra el acceso por primaryGroup SID atributo | Cadena |
| saml:sub | Filtra el acceso por el asunto de la reclamación (el SAML seudónimo) | Cadena |
| saml:sub_type | Filtra el acceso por el valor persistente, transitorio o formato completo URI | Cadena |
| saml:surname | Filtra el acceso mediante el atributo de apellido. | Cadena |
| saml:uid | Filtra el acceso mediante el atributo uid. | Cadena |
| saml:x500UniqueIdentifier | Filtra el acceso mediante el atributo uid. | Cadena |
| sts:AWSServiceName | Filtra el acceso por el servicio que está obteniendo un token de portador. | Cadena |
| sts:DurationSeconds | Filtra el acceso por la duración en segundos al obtener un token de portador | Cadena |
| sts:ExternalId | Filtra el acceso mediante el identificador único necesario al asumir un rol en otra cuenta. | Cadena |
| sts:RequestContext/${ContextKey} | Filtra el acceso por los pares clave-valor del contexto de la sesión integrados en la afirmación de contexto firmada que se recuperó de un proveedor de contexto de confianza | Cadena |
| sts:RequestContextProviders | Filtra el acceso por parte del proveedor de contexto ARNs | ArrayOfARN |
| sts:RoleSessionName | Filtra el acceso mediante el nombre de sesión de rol requerido al asumir un rol. | Cadena |
| sts:SourceIdentity | Filtra el acceso mediante la identidad de origen que se pasa en la solicitud. | Cadena |
| sts:TaskPolicyArn | Filtra el acceso por TaskPolicy ARN | Cadena |
| sts:TransitiveTagKeys | Filtra el acceso mediante las claves de etiqueta transitivas que se pasan en la solicitud. | ArrayOfString |
| www.amazon.com:app_id | Filtra el acceso mediante el ID de aplicación Login with Amazon. | Cadena |
| www.amazon.com:user_id | Filtra el acceso mediante el ID de usuario de Login with Amazon. | Cadena |
