Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Cómo funciona Resource Groups con IAM
Antes de utilizar IAM para administrar el acceso a Resource Groups, debe comprender qué características de IAM están disponibles para su uso con Resource Groups. Para obtener una perspectiva general sobre cómo funcionan y otros servicios de AWS con IAM, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
**Topics**
+ [Políticas basadas en identidad de Resource Groups](#security_iam_service-with-iam-id-based-policies-arg-te)
+ [Políticas basadas en recursos](#security_iam_resource-based-policies)
+ [Autorización basada en etiquetas de Resource Groups](#security_iam_tags)
+ [Roles de IAM en Resource Groups](#security_iam_roles)
## Políticas basadas en identidad de Resource Groups
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Resource Groups admite acciones específicas, recursos y claves de condición. Para obtener información sobre todos los elementos que utiliza en una política JSON, consulte [Referencia de los elementos de las políticas JSON de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Acciones
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones de políticas de Resource Groups utilizan el siguiente prefijo antes de la acción: `resource-groups:`. Las acciones de Tag Editor se realizan íntegramente en la consola, pero tienen el prefijo `resource-explorer` en las entradas de registro.
Por ejemplo, para conceder a alguien permiso para crear Resource Groups con la operación de la API de Resource Groups `CreateGroup`, incluya la acción `resource-groups:CreateGroup` en su política. Las instrucciones de la política deben incluir un elemento `Action` o un elemento `NotAction`. Resource Groups define su propio conjunto de acciones que describen las tareas que se pueden realizar con este servicio.
Para especificar varias acciones de Resource Groups y Tag Editor en una única instrucción, sepárelas con comas del siguiente modo:
```
"Action": [
"resource-groups:action1",
"resource-groups:action2",
"resource-explorer:action3"
```
Puede utilizar caracteres comodín (\$1) para especificar varias acciones. Por ejemplo, para especificar todas las acciones que comiencen con la palabra `List`, incluya la siguiente acción:
```
"Action": "resource-groups:List*"
```
Para ver una lista de acciones de Resource Groups, consulte [Acciones, recursos y claves de condición para Grupos de recursos de AWS](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) en la *Guía del usuario de IAM*.
### Recursos
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
El único recurso disponible en Resource Groups es el *grupo*. El recurso de grupo tiene el siguiente formato de ARN:
```
arn:${Partition}:resource-groups:${Region}:${Account}:group/${GroupName}
```
Para obtener más información sobre el formato de ARNs, consulte [Amazon Resource Names (ARNs) y AWS Service Namespaces](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html).
Por ejemplo, para especificar el grupo de recursos `my-test-group` en su instrucción, utilice el siguiente ARN:
```
"Resource": "arn:aws:resource-groups:us-east-1:123456789012:group/my-test-group"
```
Para especificar todos los grupos que pertenecen a una cuenta específica, utilice el carácter comodín (\$1):
```
"Resource": "arn:aws:resource-groups:us-east-1:123456789012:group/*"
```
Algunas acciones de Resource Groups, como las empleadas para la creación de recursos, no se pueden llevar a cabo en un recurso específico. En dichos casos, debe utilizar el carácter comodín (\$1).
```
"Resource": "*"
```
Algunas acciones de la API de Resource Groups utilizan varios recursos. Por ejemplo, `DeleteGroup` elimina grupos, por lo tanto, quien realiza la llamada a la entidad principal debe tener permisos para eliminar un grupo específico o todos los grupos. Para especificar varios recursos en una sola sentencia, sepárelos ARNs con comas.
```
"Resource": [
"resource1",
"resource2"
]
```
Para ver una lista de los tipos de recursos de Resource Groups y sus ARNs respectivos tipos de recursos y saber con qué acciones puede especificar el ARN de cada recurso, consulte [Actions, Resources and Condition Keys Grupos de recursos de AWS en la Guía](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) del usuario de *IAM*.
### Claves de condición
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Resource Groups define su propio conjunto de claves de condición y también admite el uso de algunas claves de condición globales. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html) en la Guía del *usuario de IAM*.
Para consultar una lista de claves de condición de Resource Groups y saber con qué acciones y recursos puede usar una clave de condición, consulte [Acciones, recursos y claves de condición para Grupos de recursos de AWS](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) en la *Guía del usuario de IAM*.
### Ejemplos
Para ver ejemplos de Resource Groups basadas en políticas de identidades, consulte [Grupos de recursos de AWS ejemplos de políticas basadas en la identidad](security_iam_id-based-policy-examples.md).
## Políticas basadas en recursos
Resource Groups no admite políticas basadas en recursos.
## Autorización basada en etiquetas de Resource Groups
Puede asociar etiquetas a grupos en Resource Groups o transferirlas en una solicitud a Resource Groups. Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Puede aplicar etiquetas a un grupo al crear o actualizar el grupo. Para obtener acerca del etiquetado de un grupo en Resource Groups, consulte [Crear grupos basados en consultas en Grupos de recursos de AWS](gettingstarted-query.md) y [Actualización de grupos en Grupos de recursos de AWS](updating-resource-groups.md) en esta guía.
Para consultar un ejemplo de política basada en la identidad para limitar el acceso a un recurso en función de las etiquetas de ese recurso, consulte [Visualización de grupos basados en etiquetas](security_iam_id-based-policy-examples.md#security_iam_policy-examples-view-tags).
## Roles de IAM en Resource Groups
Un [rol de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html) es una entidad de tu AWS cuenta que tiene permisos específicos. Resource Groups no tiene ni utiliza roles de servicio.
### Uso de credenciales temporales con Resource Groups
En Resource Groups, puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Para obtener credenciales de seguridad temporales, puede llamar a operaciones de AWS STS API como [AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)o [GetFederationToken](https://docs.aws.amazon.com//STS/latest/APIReference/API_GetFederationToken.html).
### Roles vinculados a servicios
Los [roles vinculados a un servicio](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permiten a AWS los servicios acceder a los recursos de otros servicios para completar una acción en tu nombre.
Resource Groups no tiene ni utiliza roles vinculados a servicios.
### Roles de servicio
Esta característica permite que un servicio asuma un [rol de servicio](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) en su nombre.
Resource Groups no tiene ni utiliza roles de servicio.