Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre AWS Directory Service Ressourcen - AWS Directory Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre AWS Directory Service Ressourcen

Jede AWS Ressource gehört einem AWS Konto. Daher werden die Berechtigungen zum Erstellen oder Zugreifen auf die Ressourcen durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator, bei dem es sich um einen Benutzer mit Administratorrechten handelt, kann Ressourcen jedoch Berechtigungen zuweisen. Sie haben auch die Möglichkeit, Berechtigungsrichtlinien an IAM Identitäten wie Benutzern, Gruppen und Rollen anzuhängen, und einige Dienste, z. B., unterstützen AWS Lambda auch das Anhängen von Berechtigungsrichtlinien an Ressourcen.

Anmerkung

Informationen zur Rolle des Kontoadministrators finden Sie unter IAMBewährte Methoden im IAMBenutzerhandbuch.

AWS Directory Service Ressourcen und Abläufe

AWS Directory Service In ist die primäre Ressource ein Verzeichnis. Da Verzeichnis-Snapshot-Ressourcen AWS Directory Service unterstützt werden, können Sie Snapshots nur im Kontext eines vorhandenen Verzeichnisses erstellen. Dieser Snapshot wird als Unterressource bezeichnet.

Diesen Ressourcen sind eindeutige Amazon-Ressourcennamen (ARNs) zugeordnet, wie in der folgenden Tabelle dargestellt.

Ressourcentyp ARNFormat

Verzeichnis

arn:aws:ds:region:account-id:directory/external-directory-id

Snapshot

arn:aws:ds:region:account-id:snapshot/external-snapshot-id

AWS Directory Service umfasst zwei Dienst-Namespaces, die auf der Art der von Ihnen ausgeführten Operationen basieren.

  • Der ds Dienst-Namespace bietet eine Reihe von Vorgängen für die Arbeit mit den entsprechenden Ressourcen. Eine Liste der verfügbaren Operationen finden Sie unter Verzeichnisservice-Aktionen.

  • Der ds-data Dienst-Namespace stellt eine Reihe von Operationen für Active Directory-Objekte bereit. Eine Liste der verfügbaren Operationen finden Sie unter Directory Service Data API Reference.

Grundlegendes zum Eigentum an Ressourcen

Ein Ressourcenbesitzer ist das AWS Konto, das eine Ressource erstellt hat. Das heißt, der Ressourcenbesitzer ist das AWS Konto der Prinzipalentität (das Stammkonto, ein IAM Benutzer oder eine IAM Rolle), die die Anforderung authentifiziert, mit der die Ressource erstellt wird. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:

  • Wenn Sie die Root-Kontoanmeldeinformationen Ihres AWS Kontos verwenden, um eine AWS Directory Service Ressource, z. B. ein Verzeichnis, zu erstellen, ist Ihr AWS Konto der Eigentümer dieser Ressource.

  • Wenn Sie in Ihrem AWS Konto einen IAM Benutzer erstellen und diesem Benutzer Berechtigungen zum Erstellen von AWS Directory Service Ressourcen gewähren, kann der Benutzer auch AWS Directory Service Ressourcen erstellen. Ihr AWS Konto, zu dem der Benutzer gehört, besitzt jedoch die Ressourcen.

  • Wenn Sie in Ihrem AWS Konto eine IAM Rolle mit Berechtigungen zum Erstellen von AWS Directory Service Ressourcen erstellen, kann jeder, der die Rolle übernehmen kann, AWS Directory Service Ressourcen erstellen. Ihr AWS Konto, zu dem die Rolle gehört, besitzt die AWS Directory Service Ressourcen.

Verwalten des Zugriffs auf Ressourcen

Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.

Anmerkung

In diesem Abschnitt wird die Verwendung IAM im Kontext von beschrieben AWS Directory Service. Er enthält keine detaillierten Informationen über den IAM-Service. Eine vollständige IAM Dokumentation finden Sie unter Was istIAM? im IAMBenutzerhandbuch. Informationen zur IAM Richtliniensyntax und zu Beschreibungen finden Sie in der IAMJSONRichtlinienreferenz im IAMBenutzerhandbuch.

Mit einer IAM Identität verknüpfte Richtlinien werden als identitätsbasierte Richtlinien (Richtlinien) IAM bezeichnet, und Richtlinien, die einer Ressource zugeordnet sind, werden als ressourcenbasierte Richtlinien bezeichnet. AWS Directory Service unterstützt nur identitätsbasierte Richtlinien (Richtlinien). IAM

Identitätsbasierte Richtlinien (Richtlinien) IAM

Richtlinien können IAM-Identitäten zugewiesen werden. Sie können z. B. Folgendes tun:

  • Ordnen Sie einem Benutzer oder einer Gruppe in Ihrem Konto eine Berechtigungsrichtlinie zu — Ein Kontoadministrator kann mithilfe einer einem bestimmten Benutzer zugewiesenen Berechtigungsrichtlinie diesem Benutzer Berechtigungen zum Erstellen einer AWS Directory Service Ressource, z. B. eines neuen Verzeichnisses, gewähren.

  • Einer Rolle eine Berechtigungsrichtlinie zuweisen (kontoübergreifende Berechtigungen erteilen) – Sie können einer IAM-Rolle eine identitätsbasierte Berechtigungsrichtlinie zuweisen, um kontoübergreifende Berechtigungen zu erteilen.

    Weitere Informationen IAM zur Delegierung von Berechtigungen finden Sie unter Zugriffsverwaltung im IAMBenutzerhandbuch.

Die folgende Berechtigungsrichtlinie gewährt Berechtigungen für einen Benutzer, alle Aktionen auszuführen, die mit beginne Describe. Diese Aktionen zeigen Informationen über eine AWS Directory Service Ressource, z. B. ein Verzeichnis oder einen Snapshot. Beachten Sie, dass das Platzhalterzeichen (*) im Resource Element angibt, dass die Aktionen für alle AWS Directory Service Ressourcen zulässig sind, die dem Konto gehören.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ds:Describe*", "Resource":"*" } ] }

Weitere Informationen zur Verwendung identitätsbasierter Richtlinien mit AWS Directory Service finden Sie unter. Verwendung identitätsbasierter Richtlinien (IAMRichtlinien) für AWS Directory Service Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie im Benutzerhandbuch unter Identitäten (Benutzer, Gruppen und Rollen). IAM

Ressourcenbasierte Richtlinien

Andere Services, z. B. Amazon-S3, unterstützen auch ressourcenbasierte Berechtigungsrichtlinien. Sie können beispielsweise eine Richtlinie an einen S3-Bucket anhängen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten. AWS Directory Service unterstützt keine ressourcenbasierten Richtlinien.

Angeben der Richtlinienelemente: Aktionen, Effekte, Ressourcen und Prinzipale

Für jede AWS Directory Service Ressource definiert der Dienst eine Reihe von API Vorgängen. Weitere Informationen finden Sie unter AWS Directory Service Ressourcen und Abläufe. Eine Liste der verfügbaren API Operationen finden Sie unter Verzeichnisdienst-Aktionen.

AWS Directory Service Definiert eine Reihe von API Aktionen, die Sie in einer Richtlinie angeben können, um Berechtigungen für diese Vorgänge zu gewähren. Beachten Sie, dass für die Ausführung eines API Vorgangs Berechtigungen für mehr als eine Aktion erforderlich sein können.

Grundlegende Richtlinienelemente:

  • Ressource — In einer Richtlinie verwenden Sie einen Amazon-Ressourcennamen (ARN), um die Ressource zu identifizieren, für die die Richtlinie gilt. Für AWS Directory Service Ressourcen verwenden Sie in IAM Richtlinien immer das Platzhalterzeichen (*). Weitere Informationen finden Sie unter AWS Directory Service Ressourcen und Abläufe.

  • Aktion – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Die ds:DescribeDirectories-Berechtigung erteilt dem Benutzer zum Beispiel Berechtigungen zum Ausführen der AWS Directory Service DescribeDirectories-Operation.

  • Effekt: Die von Ihnen festgelegte Auswirkung, wenn ein Benutzer die jeweilige Aktion anfordert. Das kann entweder "allow" (Zugriffserlaubnis) oder "deny" (Zugriffsverweigerung) sein. Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten („Allow“), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.

  • Principal — In identitätsbasierten Richtlinien (IAMRichtlinien) ist der Benutzer, dem die Richtlinie zugeordnet ist, der implizite Prinzipal. Bei ressourcenbasierten Richtlinien geben Sie den Benutzer, das Konto, den Dienst oder die andere Entität an, für die Sie Berechtigungen erhalten möchten (gilt nur für ressourcenbasierte Richtlinien). AWS Directory Service unterstützt keine ressourcenbasierten Richtlinien.

Weitere Informationen zur IAM Richtliniensyntax und zu deren Beschreibung finden Sie in der IAMJSONRichtlinienreferenz im IAMBenutzerhandbuch.

Eine Tabelle mit allen AWS Directory Service API Aktionen und den Ressourcen, für die sie gelten, finden Sie unterAWS Directory Service APIBerechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen.

Angeben von Bedingungen in einer Richtlinie

Beim Erteilen von Berechtigungen können Sie mithilfe der Sprache der Zugriffsrichtlinie die Bedingungen angeben, wann die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zur Angabe von Bedingungen in einer Richtliniensprache finden Sie unter Bedingung im IAMBenutzerhandbuch.

Bedingungen werden mithilfe vordefinierter Bedingungsschlüssel formuliert. Für AWS Directory Service gibt es keine speziellen Bedingungsschlüssel. Es gibt jedoch AWS Bedingungsschlüssel, die Sie je nach Bedarf verwenden können. Eine vollständige Liste der AWS Schlüssel finden Sie unter Verfügbare globale Bedingungsschlüssel im IAMBenutzerhandbuch.