Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre AWS Directory Service Ressourcen - AWS Directory Service
AWS Directory Service Ressourcen und AbläufeGrundlegendes zum Eigentum an RessourcenVerwaltung des Zugriffs auf -RessourcenAngeben der Richtlinienelemente: Aktionen, Effekte, Ressourcen und PrinzipaleAngeben von Bedingungen in einer Richtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre AWS Directory Service Ressourcen

Jede AWS Ressource gehört einem AWS Konto. Daher werden die Berechtigungen zum Erstellen oder Zugreifen auf die Ressourcen durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator, bei dem es sich um einen Benutzer mit Administratorrechten handelt, kann Ressourcen jedoch Berechtigungen zuweisen. Sie haben auch die Möglichkeit, IAM-Identitäten wie Benutzern, Gruppen und Rollen Berechtigungsrichtlinien zuzuweisen, und einige Dienste unterstützen AWS Lambda auch das Anhängen von Berechtigungsrichtlinien an Ressourcen.

Anmerkung

Informationen zur Rolle des Kontoadministrators finden Sie unter Bewährte Methoden für IAM im IAM-Benutzerhandbuch.

AWS Directory Service Ressourcen und Abläufe

AWS Directory Service In ist die primäre Ressource ein Verzeichnis. Da Verzeichnis-Snapshot-Ressourcen AWS Directory Service unterstützt werden, können Sie Snapshots nur im Kontext eines vorhandenen Verzeichnisses erstellen. Dieser Snapshot wird als Unterressource bezeichnet.

Diesen Ressourcen sind eindeutige Amazon-Ressourcennamen (ARNs) zugeordnet, wie in der folgenden Tabelle dargestellt.

Ressourcentyp ARN-Format

Verzeichnis

arn:aws:ds:region:account-id:directory/external-directory-id

Snapshot

arn:aws:ds:region:account-id:snapshot/external-snapshot-id

AWS Directory Service umfasst zwei Service-Namespaces, die auf der Art der von Ihnen ausgeführten Operationen basieren.

  • Der ds Dienst-Namespace bietet eine Reihe von Vorgängen für die Arbeit mit den entsprechenden Ressourcen. Eine Liste der verfügbaren Operationen finden Sie unter Verzeichnisservice-Aktionen.

  • Der ds-data Dienst-Namespace stellt eine Reihe von Operationen für Active Directory-Objekte bereit. Eine Liste der verfügbaren Operationen finden Sie unter Directory Service Data API Reference.

Grundlegendes zum Eigentum an Ressourcen

Ein Ressourcenbesitzer ist das AWS Konto, das eine Ressource erstellt hat. Das heißt, der Ressourcenbesitzer ist das AWS Konto der Prinzipalentität (das Root-Konto, ein IAM-Benutzer oder eine IAM-Rolle), das die Anforderung authentifiziert, mit der die Ressource erstellt wird. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:

  • Wenn Sie die Root-Kontoanmeldeinformationen Ihres AWS Kontos verwenden, um eine AWS Directory Service Ressource, z. B. ein Verzeichnis, zu erstellen, ist Ihr AWS Konto der Eigentümer dieser Ressource.

  • Wenn Sie in Ihrem AWS Konto einen IAM-Benutzer erstellen und diesem Benutzer Berechtigungen zum Erstellen von AWS Directory Service Ressourcen gewähren, kann der Benutzer auch AWS Directory Service Ressourcen erstellen. Ihr AWS Konto, zu dem der Benutzer gehört, besitzt jedoch die Ressourcen.

  • Wenn Sie in Ihrem AWS Konto eine IAM-Rolle mit Berechtigungen zum Erstellen von AWS Directory Service Ressourcen erstellen, kann jeder, der die Rolle übernehmen kann, AWS Directory Service Ressourcen erstellen. Ihr AWS Konto, zu dem die Rolle gehört, besitzt die AWS Directory Service Ressourcen.

Verwaltung des Zugriffs auf -Ressourcen

Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.

Anmerkung

In diesem Abschnitt wird die Verwendung von IAM im Kontext von AWS Directory Service beschrieben. Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter Was ist IAM? im IAM-Benutzerhandbuch. Informationen zur IAM-Richtliniensyntax und -Beschreibungen finden Sie in der IAM-JSON-Richtlinienreferenz im IAM-Benutzerhandbuch.

Richtlinien, die mit einer IAM-Identität verknüpft sind, werden als identitätsbasierte Richtlinien (IAM-Richtlinien) bezeichnet, und Richtlinien, die einer Ressource zugeordnet sind, werden als ressourcenbasierte Richtlinien bezeichnet. AWS Directory Service unterstützt nur identitätsbasierte Richtlinien (IAM-Richtlinien).

Identitätsbasierte Richtlinien (IAM-Richtlinien)

Richtlinien können IAM-Identitäten angefügt werden. Sie können z. B. Folgendes tun:

  • Ordnen Sie einem Benutzer oder einer Gruppe in Ihrem Konto eine Berechtigungsrichtlinie zu — Ein Kontoadministrator kann mithilfe einer Berechtigungsrichtlinie, die einem bestimmten Benutzer zugeordnet ist, diesem Benutzer Berechtigungen zum Erstellen einer AWS Directory Service Ressource, z. B. eines neuen Verzeichnisses, gewähren.

  • Einer Rolle eine Berechtigungsrichtlinie zuweisen (kontoübergreifende Berechtigungen gewähren) – Sie können einer IAM-Rolle eine identitätsbasierte Berechtigungsrichtlinie zuweisen, um kontoübergreifende Berechtigungen zu erteilen.

    Weitere Informationen zum Delegieren von Berechtigungen mithilfe von IAM finden Sie unter Zugriffsverwaltung im IAM-Benutzerhandbuch.

Die folgende Berechtigungsrichtlinie gewährt Berechtigungen für einen Benutzer, alle Aktionen auszuführen, die mit beginne Describe. Diese Aktionen zeigen Informationen über eine AWS Directory Service Ressource an, z. B. ein Verzeichnis oder einen Snapshot. Beachten Sie, dass das Platzhalterzeichen (*) im Resource Element angibt, dass die Aktionen für alle AWS Directory Service Ressourcen zulässig sind, die dem Konto gehören. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ds:Describe*",
         "Resource":"*"
      }
   ]
}

Weitere Informationen zur Verwendung identitätsbasierter Richtlinien mit AWS Directory Service finden Sie unter. Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für AWS Directory Service Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie unter Identitäten (Benutzer, Gruppen und Rollen) im IAM-Benutzerhandbuch.

Ressourcenbasierte Richtlinien

Andere Services, z. B. Amazon-S3, unterstützen auch ressourcenbasierte Berechtigungsrichtlinien. Sie können beispielsweise eine Richtlinie an einen S3-Bucket anhängen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten. AWS Directory Service unterstützt keine ressourcenbasierten Richtlinien.

Angeben der Richtlinienelemente: Aktionen, Effekte, Ressourcen und Prinzipale

Für jede AWS Directory Service Ressource definiert der Dienst eine Reihe von API-Vorgängen. Weitere Informationen finden Sie unter AWS Directory Service Ressourcen und Abläufe. Eine Liste der verfügbaren API-Operationen finden Sie unter Verzeichnisservice-Aktionen.

AWS Directory Service Definiert eine Reihe von Aktionen, die Sie in einer Richtlinie angeben können, um Berechtigungen für diese API-Operationen zu gewähren. Zur Durchführung einer API-Operation können Berechtigungen für mehrere Aktionen erforderlich sein.

Grundlegende Richtlinienelemente:

  • Ressource – In einer Richtlinie wird der Amazon-Ressourcenname (ARN) zur Identifizierung der Ressource verwendet, für die die Richtlinie gilt. Für AWS Directory Service Ressourcen verwenden Sie in IAM-Richtlinien immer das Platzhalterzeichen (*). Weitere Informationen finden Sie unter AWS Directory Service Ressourcen und Abläufe.

  • Aktion – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Die ds:DescribeDirectories-Berechtigung erteilt dem Benutzer zum Beispiel Berechtigungen zum Ausführen der AWS Directory Service DescribeDirectories-Operation.

  • Effekt: Die von Ihnen festgelegte Auswirkung, wenn ein Benutzer die jeweilige Aktion anfordert. Das kann entweder "allow" (Zugriffserlaubnis) oder "deny" (Zugriffsverweigerung) sein. Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten („Allow“), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.

  • Prinzipal – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. Bei ressourcenbasierten Richtlinien geben Sie den Benutzer, das Konto, den Dienst oder die andere Entität an, für die Sie Berechtigungen erhalten möchten (gilt nur für ressourcenbasierte Richtlinien). AWS Directory Service unterstützt keine ressourcenbasierten Richtlinien.

Weitere Informationen zur Syntax sowie Beschreibungen von IAM-Richtlinien finden Sie in der IAM-JSON-Richtlinienreferenz im IAM-Benutzerhandbuch.

Eine Tabelle mit allen AWS Directory Service API-Aktionen und den Ressourcen, für die sie gelten, finden Sie unter. AWS Directory Service API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen

Angeben von Bedingungen in einer Richtlinie

Beim Erteilen von Berechtigungen können Sie mithilfe der Sprache der Zugriffsrichtlinie die Bedingungen angeben, wann die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zum Angeben von Bedingungen in einer Richtliniensyntax finden Sie im Thema Bedingung im IAM Benutzerhandbuch.

Bedingungen werden mithilfe vordefinierter Bedingungsschlüssel formuliert. Für AWS Directory Service gibt es keine speziellen Bedingungsschlüssel. Es gibt jedoch AWS Bedingungsschlüssel, die Sie je nach Bedarf verwenden können. Eine vollständige Liste der AWS Schlüssel finden Sie unter Verfügbare globale Bedingungsschlüssel im IAM-Benutzerhandbuch.