Actions Tipos de recurso Claves de condición

Acciones, recursos y claves de condición para AWS Security Token Service

AWS Security Token Service (prefijo de servicio: sts) brinda los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Obtenga información para configurar este servicio.
Vea una lista de las operaciones de API disponibles para este servicio.
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.

Temas

Acciones definidas por AWS Security Token Service
Tipos de recursos definidos por AWS Security Token Service
Claves de condición para AWS Security Token Service

Acciones definidas por AWS Security Token Service

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.

La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.

nota

Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones	Descripción	Nivel de acceso	Tipos de recursos (*necesarios)	Claves de condición
AssumeRole	Concede permiso para obtener un conjunto de credenciales de seguridad temporales que puede utilizar para acceder a recursos de AWS a los que normalmente usted no tendría acceso.	Escritura	role*
AssumeRole		Escritura		aws:TagKeys aws:RequestTag/${TagKey} sts:TransitiveTagKeys sts:ExternalId sts:RoleSessionName iam:ResourceTag/${TagKey} sts:SourceIdentity cognito-identity.amazonaws.com:amr cognito-identity.amazonaws.com:aud cognito-identity.amazonaws.com:sub www.amazon.com:app_id www.amazon.com:user_id graph.facebook.com:app_id graph.facebook.com:id accounts.google.com:aud accounts.google.com:sub saml:namequalifier saml:sub saml:sub_type
AssumeRoleWithSAML	Concede permiso para obtener un conjunto de credenciales de seguridad temporales para los usuarios que han sido autenticados a través de una respuesta de autenticación SAML.	Escritura	role*
AssumeRoleWithSAML		Escritura		saml:namequalifier saml:sub saml:sub_type saml:aud saml:iss saml:doc saml:cn saml:commonName saml:eduorghomepageuri saml:eduorgidentityauthnpolicyuri saml:eduorglegalname saml:eduorgsuperioruri saml:eduorgwhitepagesuri saml:edupersonaffiliation saml:edupersonassurance saml:edupersonentitlement saml:edupersonnickname saml:edupersonorgdn saml:edupersonorgunitdn saml:edupersonprimaryaffiliation saml:edupersonprimaryorgunitdn saml:edupersonprincipalname saml:edupersonscopedaffiliation saml:edupersontargetedid saml:givenName saml:mail saml:name saml:organizationStatus saml:primaryGroupSID saml:surname saml:uid saml:x500UniqueIdentifier aws:TagKeys aws:RequestTag/${TagKey} sts:TransitiveTagKeys sts:SourceIdentity sts:RoleSessionName
AssumeRoleWithWebIdentity	Concede permiso para obtener un conjunto de credenciales de seguridad temporales para los usuarios que han sido autenticados en un móvil o una aplicación web con un proveedor de identidades web.	Escritura	role*
AssumeRoleWithWebIdentity		Escritura		cognito-identity.amazonaws.com:amr cognito-identity.amazonaws.com:aud cognito-identity.amazonaws.com:sub www.amazon.com:app_id www.amazon.com:user_id graph.facebook.com:app_id graph.facebook.com:id accounts.google.com:aud accounts.google.com:oaud accounts.google.com:sub aws:TagKeys aws:RequestTag/${TagKey} sts:TransitiveTagKeys sts:SourceIdentity sts:RoleSessionName
DecodeAuthorizationMessage	Concede permiso para decodificar información adicional sobre el estado de autorización de una solicitud de un mensaje codificado que regresa como respuesta a una solicitud de AWS.	Escritura
GetAccessKeyInfo	Concede permiso para obtener detalles acerca del ID de clave de acceso pasado como parámetro a la solicitud.	Leer
GetCallerIdentity	Concede permiso para obtener detalles acerca de la identidad de IAM, cuyas credenciales se utilizan para llamar a la API.	Leer
GetFederationToken	Concede permiso para obtener un conjunto de credenciales de seguridad temporales (compuestas de un ID de clave de acceso, una clave de acceso secreta y un token de seguridad) para un usuario federado.	Leer	user
GetFederationToken		Leer		aws:TagKeys aws:RequestTag/${TagKey}
GetServiceBearerToken [solo permiso]	Concede permiso para obtener un token portador STS para un usuario raíz de AWS, un rol de IAM o un usuario de IAM	Leer		sts:AWSServiceName sts:DurationSeconds
GetSessionToken	Concede permiso para obtener un conjunto de credenciales de seguridad temporales (compuestas por un ID de clave de acceso, una clave de acceso secreta y un token de seguridad) para un usuario de una Cuenta de AWS o de IAM	Leer
SetContext [solo permiso]	Concede permiso para establecer claves de contexto en una sesión de STS	Escritura	role
			self-session
				sts:RequestContext/${ContextKey} sts:RequestContextProviders
SetSourceIdentity [solo permiso]	Concede permiso para establecer una identidad de origen en una sesión STS	Write	role
			user
				sts:SourceIdentity
TagSession [solo permiso]	Concede permiso para agregar etiquetas a una sesión de STS.	Etiquetado	role
			user
				aws:TagKeys aws:RequestTag/${TagKey} sts:TransitiveTagKeys saml:aud

Tipos de recursos definidos por AWS Security Token Service

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición

Tipos de recurso	ARN	Claves de condición
role	`arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}`	aws:ResourceTag/${TagKey} iam:ResourceTag/${TagKey}
user	`arn:${Partition}:iam::${Account}:user/${UserNameWithPath}`
self-session	`arn:${Partition}:sts::${Account}:self`

role

arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}

aws:ResourceTag/${TagKey}

iam:ResourceTag/${TagKey}

user arn:${Partition}:iam::${Account}:user/${UserNameWithPath}

self-session arn:${Partition}:sts::${Account}:self

Claves de condición para AWS Security Token Service

AWS Security Token Service define las siguientes claves de condición que pueden usarse en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición	Descripción	Tipo
accounts.google.com:aud	Filtra el acceso mediante el ID de la aplicación de Google.	Cadena
accounts.google.com:oaud	Filtra el acceso mediante la audiencia de Google.	Cadena
accounts.google.com:sub	Filtra el acceso mediante el tema de la reclamación (el ID de usuario de Google).	Cadena
aws:RequestTag/${TagKey}	Filtra el acceso por las etiquetas que se pasan en la solicitud	Cadena
aws:ResourceTag/${TagKey}	Filtra el acceso por las etiquetas asociadas al recurso	Cadena
aws:TagKeys	Filtra el acceso por las claves de etiquetas que se pasan en la solicitud	ArrayOfString
cognito-identity.amazonaws.com:amr	Filtra el acceso mediante la información de inicio de sesión de Amazon Cognito.	Cadena
cognito-identity.amazonaws.com:aud	Filtra el acceso mediante el ID del grupo de identidades de Amazon Cognito.	Cadena
cognito-identity.amazonaws.com:sub	Filtra el acceso mediante el tema de la reclamación (el ID de usuario de Amazon Cognito).	Cadena
graph.facebook.com:app_id	Filtra el acceso mediante el ID de la aplicación de Facebook.	Cadena
graph.facebook.com:id	Filtra el acceso mediante el ID de usuario de Facebook.	Cadena
iam:ResourceTag/${TagKey}	Filtra el acceso mediante las etiquetas que se adjuntan al rol que se está asumiendo.	Cadena
saml:aud	Filtra el acceso mediante la URL de punto de conexión a la que se presentan las aserciones SAML.	Cadena
saml:cn	Filtra el acceso mediante el atributo eduOrg.	ArrayOfString
saml:commonName	Filtra el acceso mediante el atributo commonName.	Cadena
saml:doc	Filtra el acceso mediante el principal que se utilizó para asumir el rol.	Cadena
saml:eduorghomepageuri	Filtra el acceso mediante el atributo eduOrg.	ArrayOfString
saml:eduorgidentityauthnpolicyuri	Filtra el acceso mediante el atributo eduOrg.	ArrayOfString
saml:eduorglegalname	Filtra el acceso mediante el atributo eduOrg.	ArrayOfString
saml:eduorgsuperioruri	Filtra el acceso mediante el atributo eduOrg.	ArrayOfString
saml:eduorgwhitepagesuri	Filtra el acceso mediante el atributo eduOrg.	ArrayOfString
saml:edupersonaffiliation	Filtra el acceso mediante el atributo eduPerson.	ArrayOfString
saml:edupersonassurance	Filtra el acceso mediante el atributo eduPerson.	ArrayOfString
saml:edupersonentitlement	Filtra el acceso mediante el atributo eduPerson.	ArrayOfString
saml:edupersonnickname	Filtra el acceso mediante el atributo eduPerson.	ArrayOfString
saml:edupersonorgdn	Filtra el acceso mediante el atributo eduPerson.	Cadena
saml:edupersonorgunitdn	Filtra el acceso mediante el atributo eduPerson.	ArrayOfString
saml:edupersonprimaryaffiliation	Filtra el acceso mediante el atributo eduPerson.	Cadena
saml:edupersonprimaryorgunitdn	Filtra el acceso mediante el atributo eduPerson.	Cadena
saml:edupersonprincipalname	Filtra el acceso mediante el atributo eduPerson.	Cadena
saml:edupersonscopedaffiliation	Filtra el acceso mediante el atributo eduPerson.	ArrayOfString
saml:edupersontargetedid	Filtra el acceso mediante el atributo eduPerson.	ArrayOfString
saml:givenName	Filtra el acceso mediante el atributo givenName.	Cadena
saml:iss	Filtra el acceso mediante el emisor, que está representado por una URN.	Cadena
saml:mail	Filtra el acceso por el atributo de correo.	Cadena
saml:name	Filtra el acceso por el atributo de nombre.	Cadena
saml:namequalifier	Filtra el acceso mediante el valor hash del emisor, el ID de cuenta y el nombre descriptivo.	Cadena
saml:organizationStatus	Filtra el acceso mediante el atributo organizationStatus.	Cadena
saml:primaryGroupSID	Filtra el acceso mediante el atributo primaryGroupSID.	Cadena
saml:sub	Filtra el acceso mediante el tema de la reclamación (el ID de usuario SAML).	Cadena
saml:sub_type	Filtra el acceso mediante el valor persistente, transitorio o el URI de formato completo.	Cadena
saml:surname	Filtra el acceso mediante el atributo de apellido.	Cadena
saml:uid	Filtra el acceso mediante el atributo uid.	Cadena
saml:x500UniqueIdentifier	Filtra el acceso mediante el atributo uid.	Cadena
sts:AWSServiceName	Filtra el acceso por el servicio que está obteniendo un token de portador.	Cadena
sts:DurationSeconds	Filtra el acceso por la duración en segundos al obtener un token de portador	Cadena
sts:ExternalId	Filtra el acceso mediante el identificador único necesario al asumir un rol en otra cuenta.	Cadena
sts:RequestContext/${ContextKey}	Filtra el acceso por los pares clave-valor del contexto de la sesión integrados en la afirmación de contexto firmada que se recuperó de un proveedor de contexto de confianza	Cadena
sts:RequestContextProviders	Filtra el acceso por el ARN del proveedor de contexto	ArrayOfARN
sts:RoleSessionName	Filtra el acceso mediante el nombre de sesión de rol requerido al asumir un rol.	Cadena
sts:SourceIdentity	Filtra el acceso mediante la identidad de origen que se pasa en la solicitud.	Cadena
sts:TransitiveTagKeys	Filtra el acceso mediante las claves de etiqueta transitivas que se pasan en la solicitud.	ArrayOfString
www.amazon.com:app_id	Filtra el acceso mediante el ID de aplicación Login with Amazon.	Cadena
www.amazon.com:user_id	Filtra el acceso mediante el ID de usuario de Login with Amazon.	Cadena

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Amazon Security Lake

AWS Server Migration Service