Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Bedingungsschlüssel Directory Service Verzeichnisdienstdaten Verwenden Sie die Bedingungsschlüssel für [Verzeichnisdienstdaten](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/welcome.html), um spezifische Anweisungen für Benutzer und den Zugriff auf Gruppenebene hinzuzufügen. Auf diese Weise können Benutzer entscheiden, welche Principals Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen können. Mit dem *Condition-Element* oder dem *Condition-Block* können Sie Bedingungen angeben, unter denen eine Anweisung gültig ist. Das Bedingungselement ist optional. Sie können bedingte Ausdrücke erstellen, die Bedingungsoperatoren wie gleich (=) oder kleiner als (<) verwenden, um die Bedingung in der Richtlinie den Werten in der Anforderung zuzuordnen. Wenn Sie mehrere Condition-Elemente in einer Anweisung oder mehrere Schlüssel in einem einzigen Condition-Element angeben, werden diese mithilfe einer logischen AND-Operation AWS ausgewertet. Wenn Sie mehrere Werte für einen einzelnen Bedingungsschlüssel angeben, AWS wertet die Bedingung mithilfe einer logischen OR-Operation aus. Alle Bedingungen müssen erfüllt sein, bevor die Berechtigungen für die Anweisung erteilt werden. Sie können bei der Angabe von Bedingungen auch Platzhaltervariablen verwenden. Beispielsweise können Sie einem IAM-Benutzer nur dann Zugriff auf eine Ressource gewähren, wenn diese mit seinem Benutzernamen gekennzeichnet ist. Weitere Informationen finden Sie unter [Bedingung mit mehreren Schlüsseln oder Werten](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html) im *IAM-Benutzerhandbuch*. Eine Liste der Aktionen, die diese Bedingungsschlüssel unterstützen, finden Sie unter [Durch AWS Verzeichnisdienstdaten definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_directoryservice-data.html) in der *Service Authorization Reference*. **Anmerkung** Informationen zu tagbasierten Berechtigungen auf Ressourcenebene finden Sie unter. [Verwenden von Tags mit IAM-Richtlinien](IAM_Auth_Access_IdentityBased.md#using_tags_with_iam_policies) ## ds-data: Name SAMAccount Funktioniert mit [String-Operatoren](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). Verwenden Sie diesen Schlüssel, um einer IAM-Rolle ausdrücklich das Ausführen von Aktionen für bestimmte Benutzer und Gruppen zuzulassen oder zu verweigern. **Wichtig** Wenn Sie `SAMAccountName` oder verwenden`MemberName`, empfehlen wir die Angabe `ds-data:Identifier` als`SAMAccountName`. Dadurch wird verhindert, dass future Kennungen, die von AWS Directory Service Data unterstützt werden`SID`, z. B. bestehende Berechtigungen verletzen. Die folgende Richtlinie verhindert, dass der IAM-Prinzipal den Benutzer `joe` oder die Gruppe beschreibt. `joegroup` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "DenyDescribe", "Effect": "Deny", "Action": "ds-data:Describe*", "Resource": "*", "Condition": { "StringEqualsIgnoreCase": { "ds-data:SAMAccountName": [ "{{joe}}", "{{joegroup}}" ], "ds-data:identifier": [ "SAMAccountName" ] } } } ] } ``` ------ **Anmerkung** Bei dieser Bedingung wird nicht zwischen Groß- und Kleinschreibung unterschieden. Sie müssen Operatoren `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` oder `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` Bedingungsoperatoren verwenden, um Zeichenkettenwerte unabhängig von der Groß- und Kleinschreibung zu vergleichen. ## DS-Data: Bezeichner [Funktioniert mit String-Operatoren.](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String) Verwenden Sie diesen Schlüssel, um zu definieren, welcher Bezeichner in den IAM-Richtlinienberechtigungen verwendet werden soll. Derzeit wird nur `SAMAccountName` unterstützt. Die folgende Richtlinie ermöglicht es dem IAM-Prinzipal, den Benutzer zu aktualisieren. `joe` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "UpdateJoe", "Effect": "Allow", "Action": "ds-data:UpdateUser", "Resource": "arn:aws:ds:{{us-east-1}}:{{111122223333}}:directory/{{d-012345678}}", "Condition": { "StringEqualsIgnoreCase": { "ds-data:SAMAccountName": [ "{{joe}}" ], "ds-data:identifier": [ "SAMAccountName" ] } } } ] } ``` ------ ## DS-Daten: MemberName Funktioniert mit [String-Operatoren](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). Verwenden Sie diesen Schlüssel, um die Elemente zu definieren, an denen Operationen ausgeführt werden können. **Wichtig** Wenn Sie `MemberName` oder verwenden`SAMAccountName`, empfehlen wir die Angabe `ds-data:Identifier` als`SAMAccountName`. Dadurch wird verhindert, dass future Kennungen, die von Directory Service Data unterstützt werden`SID`, z. B. bestehende Berechtigungen verletzen. Die folgende Richtlinie ermöglicht es dem IAM-Prinzipal, für jedes Mitglied `joe` in `AddGroupMember` einer beliebigen Gruppe Aufgaben auszuführen. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AddJoe", "Effect": "Allow", "Action": "ds-data:AddGroupMember", "Resource": "arn:aws:ds:{{us-east-1}}:{{111122223333}}:directory/{{d-012345678}}", "Condition": { "StringEqualsIgnoreCase": { "ds-data:MemberName": "{{joe}}" } } } ] } ``` ------ **Anmerkung** Bei diesem Bedingungsschlüssel wird nicht zwischen Groß- und Kleinschreibung unterschieden. Sie müssen Operatoren `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` oder `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` Bedingungsoperatoren verwenden, um Zeichenkettenwerte zu vergleichen, unabhängig von der Groß- und Kleinschreibung. ## DS-Daten: MemberRealm Funktioniert mit [String-Operatoren](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). Verwenden Sie diesen Schlüssel, um zu überprüfen, ob der `ds-data:MemberRealm` Wert in der Richtlinie mit dem Mitgliedsbereich in der Anfrage übereinstimmt. **Anmerkung** Bei diesem Bedingungsschlüssel wird nicht zwischen Groß- und Kleinschreibung unterschieden. Sie müssen Operatoren `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` oder `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` Bedingungsoperatoren verwenden, um Zeichenkettenwerte zu vergleichen, unabhängig von der Groß- und Kleinschreibung. Die folgende Richtlinie ermöglicht es dem IAM-Principal, `bob` im Realm `ONE.TRU1.AMAZON.COM` nach Mitgliedern zu `AddGroupMember` suchen. **Anmerkung** Im folgenden Beispiel wird nur der `ds-data:MemberName` Kontextschlüssel verwendet. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "addbob", "Effect": "Allow", "Action": "ds-data:AddGroupMember", "Resource": "arn:aws:ds:{{us-east-1}}:{{111122223333}}:directory/{{d-012345678}}", "Condition": { "StringEqualsIgnoreCase": { "ds-data:MemberName": "{{bob}}", "ds-data:MemberRealm": "{{one.tru1.amazon.com}}" } } } ] } ``` ------ ## DS-Data: Realm [Funktioniert mit String-Operatoren.](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String) Verwenden Sie diesen Schlüssel, um zu überprüfen, ob der `ds-data:Realm` Wert in der Richtlinie dem Bereich entspricht, den ein IAM-Prinzipal für Anfragen an Verzeichnisdienstdaten APIs verwenden kann. **Anmerkung** Bei diesem Bedingungsschlüssel wird nicht zwischen Groß- und Kleinschreibung unterschieden. Sie müssen Operatoren `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` oder `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` Bedingungsoperatoren verwenden, um Zeichenkettenwerte unabhängig von der Groß- und Kleinschreibung zu vergleichen. Die folgende Richtlinie verhindert, dass der IAM-Principal den Realm `ListUsers` aufruft. `one.tru1.amazon.com` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "DenyTrustedList", "Effect": "Deny", "Action": "ds-data:ListUsers", "Resource": "*", "Condition": { "StringEqualsIgnoreCase": { "ds-data:Realm": [ "{{one.tru1.amazon.com}}" ] } } } ] } ``` ------