Acciones, recursos y claves de condición para Criptografía de pagos de AWS
Criptografía de pagos de AWS (prefijo de servicio: payment-cryptography) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos de servicio para su uso en las políticas de permisos de IAM.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las operaciones de API disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.
Temas
Acciones definidas por Criptografía de pagos de AWS
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Nivel de acceso de la tabla Acciones describe cómo se clasifica la acción (lista, lectura, administración de permisos o etiquetado). Esta clasificación puede ayudarle a entender el nivel de acceso que una acción concede cuando se utiliza en una política. Para obtener más información sobre los niveles de acceso, consulte Niveles de acceso en los resúmenes de políticas.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
La columna Acciones dependientes de la tabla Acciones muestra los permisos adicionales que pueden ser necesarios para llamar a una acción correctamente. Es posible que estos permisos sean necesarios además del permiso para la acción en sí. Cuando una acción especifica acciones dependientes, esas dependencias pueden aplicarse a los recursos adicionales definidos para esa acción, no solo al primer recurso de la tabla.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| CreateAlias | Concede permiso para crear un nombre fácil de usar para una clave | Escritura | |||
| CreateKey | Concede permiso para crear una clave administrada por el cliente única en la Cuenta de AWS y la región de la persona que llama | Escritura |
payment-cryptography:TagResource |
||
| DecryptData | Concede permiso para descifrar datos de texto cifrado en texto plano mediante una clave de cifrado de datos simétrica, asimétrica o DUKPT | Escritura | |||
| DeleteAlias | Concede permiso para eliminar el alias de la especificada | Escritura | |||
| DeleteKey | Concede permiso para programar la eliminación de una clave | Escritura | |||
| EncryptData | Concede permiso para cifrar datos de texto plano y convertirlos en texto cifrado mediante una clave de cifrado de datos simétrica, asimétrica o DUKPT | Escritura | |||
| ExportKey | Concede permiso para exportar una clave del servicio | Escritura | |||
| GenerateCardValidationData | Concede permiso para generar los datos relacionados con la tarjeta mediante algoritmos como los valores de verificación de tarjetas (CVV/CVV2), los valores dinámicos de verificación de tarjetas (DCVV/DCVv2) o los códigos de seguridad de las tarjetas (CSC) que comprueban la validez de una tarjeta de banda magnética | Escritura | |||
| GenerateMac | Concede permiso para generar un criptograma MAC (código de autenticación de mensajes) | Escritura | |||
| GenerateMacEmvPinChange | Concede permiso para generar un criptograma MAC (código de autenticación de mensajes) | Escritura | |||
| GeneratePinData | Permite generar datos relacionados con el PIN, como el PIN, el valor de verificación del PIN (PVV), el bloqueo del PIN y la compensación del PIN durante la emisión o la reemisión de una nueva tarjeta | Escritura | |||
| GetAlias | Concede permiso para recuperar el keyArn asociado a un aliasName | Lectura | |||
| GetKey | Concede permiso para devolver información acerca de la clave especificada | Lectura | |||
| GetParametersForExport | Concede permiso para obtener el token de exportación y el certificado de clave de firma para iniciar una exportación de clave TR-34 | Lectura | |||
| GetParametersForImport | Concede permiso para obtener el token de importación y el certificado de clave de encapsulación para iniciar la importación de una clave TR-34 | Lectura | |||
| GetPublicKeyCertificate | Concede permiso para devolver la clave pública de una clave de la clase PUBLIC_KEY | Lectura | |||
| ImportKey | Concede permiso para importar claves y certificados de clave pública | Escritura |
payment-cryptography:TagResource |
||
| ListAliases | Concede permiso para devolver una lista de alias creada para todas las claves de la persona que llama y la región de la Cuenta de AWS | Enumeración | |||
| ListKeys | Concede permiso para devolver una lista de claves creada en la Cuenta de AWS y la región de la persona que llama | Enumeración | |||
| ListTagsForResource | Concede permiso para devolver una lista de etiquetas creadas en la Cuenta de AWS y en la región de la persona que llama | Lectura | |||
| ReEncryptData | Concede permiso para volver a cifrar el texto cifrado mediante DUKPT y claves de cifrado de datos simétricas y asimétricas | Escritura | |||
| RestoreKey | Concede permiso para cancelar la eliminación programada de una clave si en algún momento del período de espera es necesario reactivar una clave | Escritura | |||
| StartKeyUsage | Concede permiso para habilitar una clave desactivada | Escritura | |||
| StopKeyUsage | Concede permiso para desactivar una clave habilitada | Escritura | |||
| TagResource | Concede permiso para agregar o sobrescribir una o varias etiquetas para el recurso especificado | Etiquetado | |||
| TranslatePinData | Concede permiso para traducir un bloque PIN cifrado desde y hacia los formatos ISO 9564 0,1,3,4 | Escritura | |||
| UntagResource | Concede permiso para quitar las etiquetas especificadas de los recursos especificados | Etiquetado | |||
| UpdateAlias | Concede permiso para cambiar la clave a la que está asignado un alias o anular la asignación de su clave actual | Escritura | |||
| VerifyAuthRequestCryptogram | Concede permiso para verificar el criptograma de solicitud de autorización (ARQC) para la autorización de una tarjeta de pago con chip EMV | Escritura | |||
| VerifyCardValidationData | Concede permiso para verificar los datos de validación relacionados con la tarjeta mediante algoritmos como los valores de verificación de tarjetas (CVV/CVV2), los valores dinámicos de verificación de tarjetas (DCVV/DCVv2) y los códigos de seguridad de las tarjetas (CSC) | Escritura | |||
| VerifyMac | Concede permiso para verificar el MAC (código de autenticación de mensajes) de los datos de entrada con un MAC proporcionado | Escritura | |||
| VerifyPinData | Concede permiso para verificar los datos relacionados con el PIN, como el PIN y la compensación del PIN, mediante algoritmos como VISA PVV e IBM3624 | Escritura | |||
Tipos de recursos definidos por Criptografía de pagos de AWS
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
Claves de condiciones para Criptografía de pagos de AWS
Criptografía de pagos de AWS define las siguientes claves de condición que pueden utilizarse en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.
A fin de ver las claves de condición globales que están disponibles para todos los servicios, consulte AWSClaves de contexto de condición globales.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra el acceso tanto por la clave como por el valor de la etiqueta de la solicitud para la operación especificada | Cadena |
| aws:ResourceTag/${TagKey} | Filtra el acceso según las etiquetas asignadas a una clave para la operación especificada | Cadena |
| aws:TagKeys | Filtra el acceso a las claves de etiqueta en la solicitud para la operación especificada | ArrayOfString |
| payment-cryptography:CertificateAuthorityPublicKeyIdentifier | Filtra el acceso mediante el valor de CertificateAuthorityPublicKeyIdentifier especificado en la solicitud o las operaciones ImportKey y ExportKey | Cadena |
| payment-cryptography:ImportKeyMaterial | Filtra el acceso según el tipo de material clave que se está importando [RootCertificatePublicKey, TrustedCertificatePublicKey, Tr34KeyBlock, Tr31KeyBlock] para la operación ImportKey | Cadena |
| payment-cryptography:KeyAlgorithm | Filtra el acceso según el KeyAlgorithm especificado en la solicitud de la operación CreateKey | Cadena |
| payment-cryptography:KeyClass | Filtra el acceso según la KeyClass especificada en la solicitud de la operación CreateKey | Cadena |
| payment-cryptography:KeyUsage | Filtra el acceso según la KeyClass especificada en la solicitud o asociada con una clave para la operación CreateKey | Cadena |
| payment-cryptography:RequestAlias | Filtra el acceso por alias en la solicitud para la operación especificada | Cadena |
| payment-cryptography:ResourceAliases | Filtra el acceso por alias asociados con una clave para la operación especificada | ArrayOfString |
| payment-cryptography:WrappingKeyIdentifier | Filtra el acceso mediante el WrappingKeyIdentifier especificado en la solicitud de las operaciones ImportKey y ExportKey | Cadena |
