AWS Directory Service recursos y operaciones Titularidad de los recursos Administración del acceso a los recursos Especificación de elementos de política: acciones, efectos, recursos y entidades principales Especificación de las condiciones de una política

Descripción general de la administración de los permisos de acceso a sus AWS Directory Service recursos

Cada AWS recurso es propiedad de una AWS cuenta. Como resultado, los permisos de creación o acceso a los recursos se rigen por políticas de permisos. Sin embargo, un administrador de cuentas, que es un usuario con permisos de administrador, puede asociar permisos a los recursos. También tienen la capacidad de adjuntar políticas de permisos a las identidades de IAM, como los usuarios, los grupos y las funciones, y algunos servicios, por ejemplo, AWS Lambda también permiten adjuntar políticas de permisos a los recursos.

nota

Para obtener información acerca del rol del administrador de cuenta, consulte Prácticas recomendadas de IAM en la Guía del usuario de IAM.

Temas

AWS Directory Service recursos y operaciones
Titularidad de los recursos
Administración del acceso a los recursos
Especificación de elementos de política: acciones, efectos, recursos y entidades principales
Especificación de las condiciones de una política

AWS Directory Service recursos y operaciones

En AWS Directory Service, el recurso principal es un directorio. Como AWS Directory Service es compatible con los recursos de instantáneas de directorios, solo puede crear instantáneas en el contexto de un directorio existente. Una instantánea se conoce como subrecurso.

Estos recursos tienen nombres de recursos de Amazon (ARNs) exclusivos asociados a ellos, como se muestra en la siguiente tabla.

Tipo de recurso	Formato de ARN
Directorio	`arn:aws:ds:region:account-id:directory/external-directory-id`
Instantánea	`arn:aws:ds:region:account-id:snapshot/external-snapshot-id`

AWS Directory Service incluye dos espacios de nombres de servicios según el tipo de operaciones que realice.

El espacio de nombres del servicio de ds proporciona un conjunto de operaciones para trabajar con los recursos apropiados. Para ver la lista de operaciones disponibles, consulte las acciones de Directory Service.
El espacio de nombres del servicio ds-data proporciona un conjunto de operaciones a los objetos de Active Directory. Para ver la lista de operaciones disponibles, consulte las referencias de la API de Directory Service Data.

Titularidad de los recursos

El propietario de un recurso es la AWS cuenta que creó un recurso. Es decir, el propietario del recurso es la AWS cuenta de la entidad principal (la cuenta raíz, un usuario de IAM o un rol de IAM) que autentica la solicitud que crea el recurso. Los siguientes ejemplos ilustran cómo funciona:

Si utilizas las credenciales de la cuenta raíz de tu AWS cuenta para crear un AWS Directory Service recurso, como un directorio, tu AWS cuenta es la propietaria de ese recurso.
Si crea un usuario de IAM en su AWS cuenta y concede permisos para crear AWS Directory Service recursos a ese usuario, el usuario también podrá crear AWS Directory Service recursos. Sin embargo, su AWS cuenta, a la que pertenece el usuario, es propietaria de los recursos.
Si crea un rol de IAM en su AWS cuenta con permisos para crear AWS Directory Service recursos, cualquier persona que pueda asumir el rol podrá crear AWS Directory Service recursos. Tu AWS cuenta, a la que pertenece el rol, es propietaria de los AWS Directory Service recursos.

Administración del acceso a los recursos

Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.

nota

En esta sección se analiza el uso de la IAM en el contexto de AWS Directory Service. No se proporciona información detallada sobre el servicio de IAM. Para ver la documentación completa de IAM, consulte What is IAM? (¿Qué es IAM?) en la Guía del usuario de IAM. Para obtener más información acerca de la sintaxis y las descripciones de las políticas de IAM, consulte Referencia de políticas JSON de IAM en la Guía del usuario de IAM.

Las políticas asociadas a una identidad de IAM se denominan políticas basadas en la identidad (políticas de IAM) y las políticas asociadas a un recurso se denominan políticas basadas en recursos. AWS Directory Service solo admite políticas basadas en la identidad (políticas de IAM).

Temas

Políticas basadas en identidades (políticas de IAM)
Políticas basadas en recursos

Políticas basadas en identidades (políticas de IAM)

Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:

Adjunta una política de permisos a un usuario o grupo de tu cuenta: el administrador de una cuenta puede usar una política de permisos asociada a un usuario concreto para conceder permisos a ese usuario para crear un AWS Directory Service recurso, como un directorio nuevo.
Adjuntar una política de permisos a un rol (conceder permisos para cuentas cruzadas): puede adjuntar una política de permisos basada en identidades a un rol de IAM para conceder permisos para cuentas cruzadas.

Para obtener más información sobre el uso de IAM para delegar permisos, consulte Access management (Administración de accesos) en la Guía del usuario de IAM.

La siguiente política de permisos concede permisos a un usuario para ejecutar todas las acciones que empiezan por Describe. Estas acciones muestran información sobre un AWS Directory Service recurso, como un directorio o una instantánea. Tenga en cuenta que el carácter comodín (*) del Resource elemento indica que las acciones están permitidas en todos los AWS Directory Service recursos que son propiedad de la cuenta.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ds:Describe*",
         "Resource":"*"
      }
   ]
}

Para obtener más información sobre el uso de políticas basadas en la identidad con AWS Directory Service, consulte. Uso de políticas basadas en la identidad (políticas de IAM) para AWS Directory Service Para obtener más información acerca de los usuarios, los grupos, los roles y los permisos, consulte Identidades (usuarios, grupos y roles) en la Guía del usuario de IAM.

Políticas basadas en recursos

Otros servicios, como Amazon S3, también admiten políticas de permisos basadas en recursos. Por ejemplo, puede adjuntar una política a un bucket de S3 para administrar los permisos de acceso a ese bucket. AWS Directory Service no admite políticas basadas en recursos.

Especificación de elementos de política: acciones, efectos, recursos y entidades principales

Para cada AWS Directory Service recurso, el servicio define un conjunto de operaciones de API. Para obtener más información, consulte AWS Directory Service recursos y operaciones. Para ver la lista de operaciones de API disponibles, consulte las acciones de Directory Service.

Para conceder permisos para estas operaciones de API, AWS Directory Service define un conjunto de acciones que puede especificar en una política. Tenga en cuenta que la realización de una operación de la API puede requerir permisos para más de una acción.

A continuación, se indican los elementos básicos de la política:

Recurso: en una política, se usa un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. En el AWS Directory Service caso de los recursos, siempre se utiliza el carácter comodín (*) en las políticas de IAM. Para obtener más información, consulte AWS Directory Service recursos y operaciones.
Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar. Por ejemplo, el permiso ds:DescribeDirectories concede permiso a los usuarios para realizar la operación AWS Directory Service DescribeDirectories.
Efecto: solo debe especificar el efecto cuando el usuario solicita la acción específica. La acción se puede permitir o denegar. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.
Entidad principal: en las políticas basadas en identidades (políticas de IAM), el usuario al que se asocia esta política es la entidad principal implícita. En el caso de las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad para la que desea recibir los permisos (solo se aplica a las políticas basadas en recursos). AWS Directory Service no admite políticas basadas en recursos.

Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM, consulte Referencia de políticas JSON de IAM en la Guía del usuario de IAM.

Para ver una tabla que muestra todas las acciones de la AWS Directory Service API y los recursos a los que se aplican, consulte. AWS Directory Service Permisos de API: referencia a acciones, recursos y condiciones

Especificación de las condiciones de una política

Al conceder permisos, puede utilizar el lenguaje de la política de acceso para especificar las condiciones en las que se debe aplicar una política. Por ejemplo, es posible que desee que solo se aplique una política después de una fecha específica. Para obtener más información sobre cómo especificar condiciones en un lenguaje de política, consulte Condition en la Guía del usuario de IAM.

Para expresar condiciones, se usan claves de condición predefinidas. No hay claves de condición específicas para AWS Directory Service. Sin embargo, hay claves de AWS condición que puede usar según corresponda. Para obtener una lista completa de AWS las claves, consulte las claves de condición globales disponibles en la Guía del usuario de IAM.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Identity and Access Management

AWS políticas gestionadas para AWS Directory Service