Directory - Amazon Cloud Directory
ObjectsPolicies

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Directory

Un directorio es un almacén de datos basado en esquema que contiene determinados tipos de objetos organizados en una estructura multijerárquica (consulte Estructura de directorios para obtener más información). Por ejemplo, un directorio de usuarios puede proporcionar una vista jerárquica basada en estructuras de informes, en su ubicación y en la pertenencia a proyectos. De forma similar, un directorio de dispositivos puede tener varias vistas jerárquicas según su fabricante, su propietario actual y su ubicación física.

El directorio define el límite lógico del almacén de datos, aislándolo completamente del resto de directorios del servicio. También define los límites atribuibles a una solicitud individual. Las transacciones y las consultas se ejecutan en sí como una unidad en el contexto de un único directorio. Un directorio no se puede crear sin un esquema y normalmente tiene un esquema aplicado. No obstante, también puede servirse de las operaciones de API de Cloud Directory para aplicar esquemas adicionales a un directorio. Para obtener más información, consulteApplySchemaen laAmazon Cloud Directory API Reference Guide.

Objects

Los objetos son una entidad de datos estructurada dentro de un directorio. El cometido de un objeto dentro de un directorio es capturar metadatos (o atributos) acerca de una entidad física o lógica con el fin de, generalmente, detectar información y forzar la aplicación de políticas. Por ejemplo, los usuarios, dispositivos, aplicaciones, cuentas de AWS, instancias de EC2 y buckets de Amazon S3 se pueden representar como distintos tipos de objetos dentro de un directorio.

La información acerca del tipo de objeto y su estructura se expresa como un conjunto de facetas. Puede usar Path u ObjectIdentifier para obtener acceso a los objetos. Los objetos también pueden tener atributos, que son una unidad de metadatos que define el usuario. Por ejemplo, el objeto de usuario puede tener un atributo llamado email-address. Los atributos siempre se asocian a un objeto.

Policies

Las políticas son un tipo de objeto especializado útiles para almacenar permisos o capacidades. Las políticas ofrecen la acción de API LookupPolicy. La acción de búsqueda de políticas toma la referencia a cualquier objeto como información de inicio. A continuación, recorre el directorio hasta llegar a la raíz. La acción recopila todos los objetos de política que encuentra en cada ruta hasta la raíz. Cloud Directory no interpreta ninguna de estas políticas de forma alguna. Son los usuarios de Cloud Directory los que interpretan las políticas mediante su propia lógica de negocio especializada.

Por ejemplo, imagine un sistema que almacena información sobre empleados. Los empleados se agrupan según las funciones que desempeñan. Queremos establecer diferentes permisos para los miembros del grupo de Recursos Humanos y el grupo de Contabilidad. Los miembros del grupo de Recursos Humanos tendrán acceso a información de nóminas, mientras que los del grupo de Contabilidad tendrán acceso a información de contabilidad. Para establecer estos permisos, asociamos objetos de política a cada uno de estos grupos. Llegado el momento de evaluar los permisos de un usuario, podemos utilizar la acción de API LookupPolicy en el objeto de ese usuario. LaLookupPolicyLa acción de API recorre el árbol desde el objeto de política especificado hasta la raíz. Se detiene en cada nodo, comprueba si hay políticas asociadas y las devuelve.

Asociaciones de políticas

Las políticas se pueden asociar a otros objetos de dos formas: asociaciones normales principal-secundario y asociaciones de políticas especiales. Las asociaciones normales principal-secundario permiten asociar las políticas a un nodo principal. Esto suele ser útil como mecanismo sencillo para localizar las políticas dentro del directorio de datos. Las políticas no pueden tener elementos secundarios. Las políticas con asociación principal-secundario no se devolverán en las llamadas a la API LookupPolicy.

Los objetos de las políticas también se pueden asociar a otros objetos a través de asociaciones de políticas. Puede administrar estas asociaciones de políticas mediante las acciones de API AttachPolicy y DetachPolicy. Las asociaciones de políticas permiten localizar nodos de políticas cuando se usa la acción de API LookupPolicy.

Especificación de esquemas de políticas

Para comenzar a usar políticas, primero debe añadir una faceta al esquema que permita crear políticas. Para hacerlo, cree una faceta estableciendo el elemento objectType de la faceta en POLICY. Crear objetos mediante una faceta con el tipo POLICY garantiza que el objeto tenga capacidades de política.

Las facetas de políticas heredan dos atributos además de cualquier atributo que añada a la definición:

  • policy_type (cadena, obligatorio): este es un identificador que puede proporcionar para distinguir entre distintos usos de políticas. Si las políticas corresponden de forma lógica a categorías claras, recomendamos configurar debidamente el atributo de tipo de política. La API LookupPolicy devuelve el tipo de política de las políticas adjuntas (consulte PolicyAttachment). Esto permite filtrar con facilidad el tipo de política específico que se busca. También permite utilizar policy_type para decidir cómo debe procesarse o interpretarse el documento.

  • policy_document (binario, obligatorio): puede almacenar los datos específicos de la aplicación en este atributo, como concesiones de permisos asociadas a la política. Si lo prefiere, también puede almacenar datos relacionados con la aplicación en atributos normales en su faceta.

Información general acerca de las acciones de API de políticas

Para trabajar con políticas dispone de diversas acciones de API especializadas. Para ver la lista de las operaciones disponibles, consulte Amazon Cloud Directory Actions (Acciones de Amazon Cloud Directory).

Para crear un objeto de política, utilice la acción de API CreateObject con una faceta adecuada:

  • Para asociar o desasociar una política de un objeto, use las acciones AttachPolicy y DetachPolicy, respectivamente.

  • Para buscar políticas que estén asociadas a objetos a lo largo del árbol, use la acción de API LookupPolicy.

  • Para obtener una lista de las políticas asociadas a un objeto determinado, use la acción de API ListObjectPolicies.

Para ver la lista de operaciones y los permisos necesarios para realizar cada acción de API, consulte Permisos de la API de Amazon Cloud Directory: Referencia de acciones, recursos y condiciones.