Servicio de AWS Información simplificada para acceso programático - Referencia de autorizaciones de servicio
Definiciones de campos adicionales

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Servicio de AWS Información simplificada para acceso programático

AWS proporciona información de referencia del servicio en formato JSON para agilizar la automatización de los flujos de trabajo de gestión de políticas. Con la información de referencia del servicio, puede acceder a las acciones, los recursos y las claves de condición disponibles Servicios de AWS desde archivos legibles por máquina. Los administradores de seguridad pueden establecer barreras y los desarrolladores pueden garantizar el acceso adecuado a las aplicaciones identificando las acciones, los recursos y las claves de condición disponibles para cada una de ellas. Servicio de AWS AWS proporciona información de referencia sobre el servicio Servicios de AWS para que pueda incorporar los metadatos en sus flujos de trabajo de administración de políticas.

Para obtener un inventario de las acciones, los recursos y las claves de condición que se utilizarán en las políticas de IAM, consulte la página de referencia sobre la autorización de servicios para el Servicio de AWS.

Las acciones, los recursos y las claves de condición de los servicios que comparten un prefijo de servicio pueden dividirse en varias páginas en la Referencia de autorización de servicio.

El contenido presentado en la Referencia de autorización de servicio puede presentarse de forma diferente o contener metadatos diferentes. Para obtener más información, consulte Definiciones de campos adicionales.

nota

Los cambios en la información de referencia del servicio pueden tardar hasta 24 horas en reflejarse en la lista de metadatos del servicio.

Acceder a Servicio de AWS la información de referencia

  1. Navegue hasta la información de referencia del servicio para acceder a la lista de Servicios de AWS la que está disponible la información de referencia.

    El siguiente ejemplo muestra una lista parcial de los servicios y URLs su información de referencia correspondiente:

    [ 
    { 
        "service": "s3", 
        "url": "https://servicereference.us-east-1.amazonaws.com/v1/s3/s3.json" 
    }, 
    { 
        "service": "dynamodb", 
        "url": "https://servicereference.us-east-1.amazonaws.com/v1/dynamodb/dynamodb.json" 
    }, 
    …
]

  2. Elija un servicio y navegue hasta la página de información del servicio en el url campo correspondiente para ver una lista de acciones, recursos y claves de condición del servicio.

    El siguiente ejemplo muestra una lista parcial de información de referencia de servicios para Amazon S3:

    {
    "Name": "s3",
    "Actions": [
        {
            "Name": "GetObject",
            "ActionConditionKeys": [
                "s3:AccessGrantsInstanceArn",
                "s3:AccessPointNetworkOrigin",
                "s3:DataAccessPointAccount",
                "s3:DataAccessPointArn",
                "s3:ExistingObjectTag/key",
                "s3:ResourceAccount",
                "s3:TlsVersion",
                "s3:authType",
                "s3:if-match",
                "s3:if-none-match",
                "s3:signatureAge",
                "s3:signatureversion",
                "s3:x-amz-content-sha256"
            ],
            "Annotations" : {
                "Properties" : {
                    "IsList" : false,
                    "IsPermissionManagement" : false,
                    "IsTaggingOnly" : false,
                    "IsWrite" : false
                }
            },
            "Resources": [
                {
                    "Name": "object"
                }
            ]
        },
        {
            "Name": "ListBucket",
            "ActionConditionKeys": [
                "s3:AccessGrantsInstanceArn",
                "s3:AccessPointNetworkOrigin",
                "s3:DataAccessPointAccount",
                "s3:DataAccessPointArn",
                "s3:ResourceAccount",
                "s3:TlsVersion",
                "s3:authType",
                "s3:delimiter",
                "s3:max-keys",
                "s3:prefix",
                "s3:signatureAge",
                "s3:signatureversion",
                "s3:x-amz-content-sha256"
            ],
            "Annotations" : {
                "Properties" : {
                    "IsList" : true,
                    "IsPermissionManagement" : false,
                    "IsTaggingOnly" : false,
                    "IsWrite" : false
                }
            },
            "Resources": [
                {
                    "Name": "bucket"
                }
            ]
        },
        ...
    ],
    "ConditionKeys": [
        {
            "Name": "s3:TlsVersion",
            "Types": [
                "Numeric"
            ]
        },
        {
            "Name": "s3:authType",
            "Types": [
                "String"
            ]
        },
        ...
    ],
    "Resources": [
        {
            "Name": "accesspoint",
            "ARNFormats": [
                "arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}"
            ]
        },
        {
            "Name": "bucket",
            "ARNFormats": [
                "arn:${Partition}:s3:::${BucketName}"
            ]
        }
        ...
    ],
    "Version": "v1.2"
}

  3. Descargue el archivo JSON de la URL del servicio para utilizarlo en los flujos de trabajo de creación de políticas.

Definiciones de campos adicionales

Las propiedades de las acciones proporcionan metadatos adicionales sobre las acciones del servicio para ayudar a clasificarlas en función del ámbito de sus permisos. Estas propiedades se encuentran en el Annotations campo de cada acción. Los metadatos se componen de cuatro valores booleanos:

  • IsList— Proporciona permisos para descubrir y enumerar recursos, incluidos los metadatos básicos, sin acceder al contenido de los recursos.

    Ejemplo: esta propiedad corresponde a la ListBucket acción true de Amazon S3, que permite a los usuarios ver las listas de buckets sin tener que acceder ellos mismos a los objetos.

  • IsPermissionManagement— Proporciona permisos para modificar los permisos de IAM o las credenciales de acceso.

    Ejemplo: esta propiedad es true para la mayoría de las AWS Organizations acciones y de IAM, así como para las acciones de Amazon S3, como PutBucketPolicy yDeleteBucketPolicy.

  • IsTaggingOnly— Proporciona permisos únicamente para modificar etiquetas.

    Ejemplo: esta propiedad es true para acciones de IAM TagRole yUntagRole, si bien está false destinada, proporciona permisos más CreateRole amplios que van más allá del etiquetado.

  • IsWrite— Proporciona permisos para modificar los recursos, lo que puede incluir modificaciones en las etiquetas.

    Ejemplo: esta propiedad es true para las acciones CreateBucket de Amazon S3 y PutObject porque permiten la modificación de recursos. DeleteBucket

nota

Estas propiedades no se excluyen mutuamente. Una acción puede tener varias propiedades configuradas entrue.

También es posible que todas las propiedades lo seanfalse, como se ve en la GetObject acción de Amazon S3. Esto indica que la acción solo otorga permisos de lectura sobre un objeto.

Estas propiedades se pueden utilizar para generar información sobre los servicios. El siguiente ejemplo muestra qué permisos con el s3 prefijo permiten mutar los recursos:

> curl https://servicereference.us-east-1.amazonaws.com/v1/s3/s3.json | \
    jq '.Actions[] | select(.Annotations.Properties.IsWrite == true) | .Name'

"AssociateAccessGrantsIdentityCenter"
"BypassGovernanceRetention"
"CreateAccessGrant"
"CreateAccessGrantsInstance"
"CreateAccessGrantsLocation"
...

En el siguiente ejemplo, se muestran las claves de condición de acción con el lambda prefijo que puede utilizar para limitar el acceso a las acciones de administración de permisos:

> curl https://servicereference.us-east-1.amazonaws.com/v1/lambda/lambda.json | \
    jq '.Actions[] | select(.Annotations.Properties.IsPermissionManagement == true) | {Name: .Name, ActionConditionKeys: (.ActionConditionKeys // [])}'
 
{
   "Name": "AddLayerVersionPermission",
    "ActionConditionKeys": []
}
{
    "Name": "AddPermission",
    "ActionConditionKeys": [
        "lambda:FunctionUrlAuthType",
        "lambda:Principal"
    ]
}
{
    "Name": "DisableReplication",
    "ActionConditionKeys": []
}
{
    "Name": "EnableReplication",
    "ActionConditionKeys": []
}
{
    "Name": "RemoveLayerVersionPermission",
    "ActionConditionKeys": []
}
{
    "Name": "RemovePermission",
    "ActionConditionKeys": [
        "lambda:FunctionUrlAuthType",
        "lambda:Principal"
    ]
}