# Uso de políticas basadas en etiquetas con AWS Global Accelerator
<a name="security_iam-tag-policies"></a>

Al diseñar políticas de IAM, es posible establecer permisos pormenorizados mediante la concesión de acceso a recursos específicos. Sin embargo, a medida que aumente la cantidad de recursos que administra, esta tarea será más complicada. El etiquetado de recursos y el uso de etiquetas en las condiciones de instrucción de política pueden facilitar esta tarea. Puede conceder acceso de forma masiva a cualquier recurso que tiene una determinada etiqueta. Puede aplicar repetidamente esta etiqueta a los recursos pertinentes al crear el recurso o al actualizarlo después.

El uso de etiquetas en las condiciones es una manera de controlar el acceso a los recursos y las solicitudes. Las etiquetas se pueden asociar a un recurso o pasarse dentro de la solicitud a los servicios que admiten etiquetado. En Global Accelerator, solo los aceleradores pueden incluir etiquetas. Para obtener más información sobre el etiquetado en Global Accelerator, consulte [Etiquetado en AWS Global Accelerator](tagging-in-global-accelerator.md).

Al crear una política de IAM, puede utilizar las claves de condición de etiqueta para controlar:
+ Los usuarios que pueden realizar acciones en un acelerador, en función de las etiquetas que ya tiene.
+ Las etiquetas que se pueden pasar en la solicitud de una acción.
+ Si se pueden utilizar claves de etiqueta específicas en una solicitud.

Por ejemplo, la política de usuario administrada `GlobalAcceleratorFullAccess` de AWS proporciona a los usuarios permisos ilimitados para realizar cualquier acción de Global Accelerator en cualquier recurso. La siguiente política limita este poder y niega permiso a usuarios no autorizados para realizar acciones de Global Accelerator en entornos de aceleradores de *producción*. El administrador de un cliente debe asociar esta política de IAM a los usuarios de IAM no autorizados, además de la política de usuario administrada.

```
{ 
   "Version":"2012-10-17",
   "Statement":[ 
      { 
         "Effect":"Deny",
         "Action":"*",
         "Resource":"*",
         "Condition":{ 
            "ForAnyValue:StringEquals":{ 
               "aws:RequestTag/stage":"prod"
            }
         }
      },
      { 
         "Effect":"Deny",
         "Action":"*",
         "Resource":"*",
         "Condition":{ 
            "ForAnyValue:StringEquals":{ 
               "aws:ResourceTag/stage":"prod"
            }
         }
      }
   ]
}
```

Para conocer la sintaxis y la semántica completa de las claves de condición de las etiquetas, consulte [Control del acceso mediante etiquetas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html) en la *Guía del usuario de IAM*.