Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwendung identitätsbasierter Richtlinien (IAMRichtlinien) für AWS Directory Service
Dieses Thema enthält Beispiele für identitätsbasierte Richtlinien, mit denen ein Kontoadministrator Berechtigungsrichtlinien an IAM Identitäten (Benutzer, Gruppen und Rollen) anhängen kann.
Wichtig
Wir empfehlen Ihnen, zunächst die einführenden Themen zu lesen, in denen die grundlegenden Konzepte und Optionen erläutert werden, mit denen Sie den Zugriff auf Ihre Ressourcen verwalten können. AWS Directory Service Weitere Informationen finden Sie unter Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre AWS Directory Service Ressourcen.
Dieses Thema besteht aus folgenden Abschnitten:
Dies ist ein Beispiel für eine Berechtigungsrichtlinie.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowDsEc2IamGetRole", "Effect": "Allow", "Action": [ "ds:CreateDirectory", "ec2:RevokeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:CreateSecurityGroup", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:DescribeSubnets", "iam:GetRole" ], "Resource": "*" }, { "Sid": "WarningAllowsCreatingRolesWithDirSvcPrefix", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::111122223333:role/DirSvc*" }, { "Sid": "AllowPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "cloudwatch.amazonaws.com" } } } ] }
Die drei Aussagen in der Richtlinie gewähren Berechtigungen wie folgt:
-
Die erste Anweisung erteilt die Erlaubnis, ein AWS Directory Service Verzeichnis zu erstellen. Da Berechtigungen auf Ressourcenebene AWS Directory Service nicht unterstützt werden, gibt die Richtlinie ein Platzhalterzeichen (*) als
ResourceWert an. -
Die zweite Anweisung gewährt Zugriffsberechtigungen für IAM Aktionen, sodass Sie IAM Rollen in Ihrem Namen lesen und erstellen AWS Directory Service können. Das Platzhalterzeichen (*) am Ende des
ResourceWerts bedeutet, dass die Anweisung Berechtigungen für die IAM Aktionen für jede IAM Rolle gewährt. Um diese Berechtigung auf eine bestimmte Rolle zu beschränken, ersetzen Sie das Platzhalterzeichen (*) in der Ressource ARN durch den spezifischen Rollennamen. Weitere Informationen finden Sie unter IAMAktionen. -
Die dritte Anweisung gewährt Berechtigungen für eine bestimmte Gruppe von Ressourcen in AmazonEC2, die erforderlich sind, AWS Directory Service um die Verzeichnisse zu erstellen, zu konfigurieren und zu löschen. Das Platzhalterzeichen (*) am Ende des
ResourceWerts bedeutet, dass die Anweisung die Erlaubnis für EC2 Aktionen für jede EC2 Ressource oder Unterressource gewährt. Um diese Berechtigung auf eine bestimmte Rolle zu beschränken, ersetzen Sie das Platzhalterzeichen (*) in der Ressource durch die spezifische Ressource oder ARN Unterressource. Weitere Informationen finden Sie unter Amazon EC2 Actions.
In der Richtlinie wird kein Principal Element angezeigt, da Sie in einer identitätsbasierten Richtlinie nicht angeben, welcher Prinzipal die Genehmigung erhält. Wenn Sie einem Benutzer die Richtlinie zuweisen, ist der Benutzer implizit der Prinzipal. Wenn Sie einer IAM Rolle eine Berechtigungsrichtlinie zuordnen, erhält der in der Vertrauensrichtlinie der Rolle angegebene Prinzipal die Berechtigungen
Eine Tabelle mit allen AWS Directory Service API Aktionen und den Ressourcen, für die sie gelten, finden Sie unterAWS Directory Service APIBerechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen.
Für die Verwendung der AWS Directory Service Konsole sind Berechtigungen erforderlich
Damit ein Benutzer mit der AWS Directory Service Konsole arbeiten kann, muss er über die in der vorherigen Richtlinie aufgeführten Berechtigungen oder über die Berechtigungen verfügen, die durch die Verzeichnisdienst-Vollzugriffsrolle oder die Directorydienst-Rolle (Read Only) gewährt wurden, wie unter beschriebenAWS verwaltete (vordefinierte) Richtlinien für AWS Directory Service.
Wenn Sie eine IAM Richtlinie erstellen, die restriktiver ist als die erforderlichen Mindestberechtigungen, funktioniert die Konsole für Benutzer mit dieser IAM Richtlinie nicht wie vorgesehen.
AWS verwaltete (vordefinierte) Richtlinien für AWS Directory Service
AWS adressiert viele gängige Anwendungsfälle durch die Bereitstellung vordefinierter oder verwalteter IAM Richtlinien, die von erstellt und verwaltet werden AWS. Verwaltete Richtlinien gewähren die erforderlichen Berechtigungen für allgemeine Anwendungsfälle, sodass Sie leichter entscheiden können, welche Berechtigungen Sie benötigen. Weitere Informationen finden Sie unter AWS verwaltete Richtlinien für AWS Directory Service.
Beispiele für vom Kunden verwaltete Richtlinien
In diesem Abschnitt finden Sie Beispiele für Benutzerrichtlinien, die Berechtigungen für verschiedene AWS Directory Service Aktionen gewähren.
Anmerkung
Alle Beispiele verwenden die Region USA West (Oregon) (us-west-2) und enthalten ein fiktives Konto. IDs
Beispiele
Beispiel 1: Erlauben Sie einem Benutzer, eine Beschreibe-Aktion für eine beliebige Ressource auszuführen AWS Directory Service
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen für einen Benutzer, alle Aktionen auszuführen, die mit beginne Describe. Diese Aktionen zeigen Informationen über eine AWS Directory Service Ressource, z. B. ein Verzeichnis oder einen Snapshot. Beachten Sie, dass das Platzhalterzeichen (*) im Resource Element angibt, dass die Aktionen für alle AWS Directory Service Ressourcen zulässig sind, die dem Konto gehören.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ds:Describe*", "Resource":"*" } ] }
Beispiel 2: Einem Benutzer das Erstellen eines Verzeichnisses erlauben
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen, um zu ermöglichen, dass ein Benutzer ein Verzeichnis und alle anderen verwandten Ressourcen, z. B. Snapshots und Vertrauensstellungen erstellen kann. Dazu sind auch Genehmigungen für bestimmte EC2 Amazon-Dienste erforderlich.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ "ds:Create*", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:CreateSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:DeleteSecurityGroup", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress" ], "Resource":"*" ] } ] }
Verwenden von Tags mit IAM-Richtlinien
Sie können tagbasierte Berechtigungen auf Ressourcenebene in den IAM Richtlinien anwenden, die Sie für die meisten Aktionen verwenden. AWS Directory Service API Dies ermöglicht Ihnen eine bessere Kontrolle darüber, welche Ressourcen ein Benutzer erstellen, ändern oder verwenden kann. Sie verwenden das Condition Element (auch Condition Block genannt) mit den folgenden Bedingungskontextschlüsseln und Werten in einer IAM Richtlinie, um den Benutzerzugriff (Berechtigungen) auf der Grundlage der Tags einer Ressource zu steuern:
-
Verwenden Sie
aws:ResourceTag/tag-key:tag-value, um Benutzern Aktionen auf Ressourcen mit bestimmten Tags zu gestatten oder zu verweigern. -
Verwenden Sie
aws:ResourceTag/tag-key:,tag-valueum zu verlangen, dass ein bestimmtes Tag verwendet (oder nicht verwendet) wird, wenn Sie eine API Anfrage zum Erstellen oder Ändern einer Ressource stellen, die Tags zulässt. -
Verwenden Sie
aws:TagKeys: [tag-key,...], um zu verlangen, dass ein bestimmter Satz von Tag-Schlüsseln verwendet (oder nicht verwendet) wird, wenn eine API Anfrage zur Erstellung oder Änderung einer Ressource gestellt wird, die Tags zulässt.
Anmerkung
Die Schlüssel und Werte für den Bedingungskontext in einer IAM Richtlinie gelten nur für AWS Directory Service Aktionen, bei denen ein Bezeichner für eine Ressource, die markiert werden kann, ein erforderlicher Parameter ist.
Im IAMBenutzerhandbuch finden Sie zusätzliche Informationen zur Verwendung von Tags zur Steuerung des Zugriffs mithilfe von Tags. Der Abschnitt mit den IAMJSONRichtlinienreferenzen dieses Handbuchs enthält ausführliche Syntax, Beschreibungen und Beispiele der Elemente, Variablen und Bewertungslogik von JSON Richtlinien inIAM.
Mit der folgenden Beispielrichtlinie gestatten Sie alle ds-Aufrufe, solange diese das Tag-Schlüssel-Paar "fooKey":"fooValue" enthält.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"VisualEditor0", "Effect":"Allow", "Action":[ "ds:*" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:ResourceTag/fooKey":"fooValue" } } }, { "Effect":"Allow", "Action":[ "ec2:*" ], "Resource":"*" } ] }
Mit der folgenden Beispielrichtlinie gestatten Sie alle ds-Aufrufe, solange die Ressource die Verzeichnis-ID "d-1234567890" enthält.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"VisualEditor0", "Effect":"Allow", "Action":[ "ds:*" ], "Resource":"arn:aws:ds:us-east-1:123456789012:directory/d-1234567890" }, { "Effect":"Allow", "Action":[ "ec2:*" ], "Resource":"*" } ] }
Weitere Informationen zu ARNs finden Sie unter Amazon Resource Names (ARNs) und AWS Service Namespaces.
Die folgende Liste von AWS Directory Service API Vorgängen unterstützt tagbasierte Berechtigungen auf Ressourcenebene:
