Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation de politiques basées sur l'identité (politiques IAM) pour Directory Service
Cette rubrique fournit des exemples de stratégies basées sur l'identité dans lesquelles un administrateur de compte peut associer des stratégies d'autorisation à des identités IAM (utilisateurs, groupes et rôles). Ces exemples illustrent les politiques IAM dans. Directory Service Vous devez modifier et créer vos propres politiques en fonction de vos besoins et de votre environnement.
**Important**
Nous vous recommandons de consulter d'abord les rubriques d'introduction qui expliquent les concepts de base et les options disponibles pour gérer l'accès à vos Directory Service ressources. Pour de plus amples informations, veuillez consulter [Vue d'ensemble de la gestion des autorisations d'accès à vos Directory Service ressources](IAM_Auth_Access_Overview.md).
Les sections de cette rubrique couvrent les sujets suivants :
+ [Autorisations requises pour utiliser la Directory Service console](#UsingWithDS_IAM_RequiredPermissions_Console)
+ [AWS politiques gérées (prédéfinies) pour Directory Service](#IAM_Auth_Access_ManagedPolicies)
+ [Exemples de politiques gérées par le client](#IAMPolicyExamples_DS)
+ [Utilisation des balises avec des politiques IAM](#using_tags_with_iam_policies)
Un exemple de politique d'autorisation est exposé ci-dessous.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDsEc2IamGetRole",
"Effect": "Allow",
"Action": [
"ds:CreateDirectory",
"ec2:RevokeSecurityGroupIngress",
"ec2:CreateNetworkInterface",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:CreateSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DescribeSubnets",
"iam:GetRole"
],
"Resource": "*"
},
{
"Sid": "WarningAllowsCreatingRolesWithDirSvcPrefix",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::111122223333:role/DirSvc*"
},
{
"Sid": "AllowPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/Your-Role-Name",
"Condition": {
"StringEquals": {
"iam:PassedToService": "cloudwatch.amazonaws.com"
}
}
}
]
}
```
------
Les trois instructions de la politique accordent les autorisations suivantes :
+ La première instruction autorise la création d'un Directory Service répertoire. Comme les autorisations Directory Service ne sont pas prises en charge au niveau des ressources, la politique spécifie un caractère générique (\$1) comme `Resource` valeur.
+ La deuxième déclaration accorde des autorisations pour accéder aux actions IAM, afin que Directory Service vous puissiez lire et créer des rôles IAM en votre nom. Le caractère générique (\$1) à la fin de la valeur `Resource` signifie que l'instruction accepte les autorisations pour les actions IAM sur n'importe quel rôle IAM. Pour limiter cette autorisation à un rôle spécifique, remplacez le caractère générique (\$1) dans la ressource ARN par un nom de rôle spécifique. Pour plus d'informations, veuillez consulter [IAM Actions](https://docs.aws.amazon.com/IAM/latest/APIReference/API_Operations.html) (français non garanti).
+ La troisième déclaration accorde des autorisations à un ensemble spécifique de ressources dans Amazon EC2 qui sont nécessaires Directory Service pour créer, configurer et détruire ses répertoires. Remplacez l'ARN du rôle par votre rôle. Pour plus d'informations, consultez [Amazon EC2 Actions.](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_Operations.html)
Vous ne voyez aucun `Principal` élément dans la politique, car dans une stratégie basée sur l'identité, vous ne spécifiez pas le principal qui obtient l'autorisation. Quand vous attachez la stratégie à un utilisateur, l'utilisateur est le mandataire implicite. Lorsque vous attachez une politique d’autorisation à un rôle IAM, le principal identifié dans la politique d’approbation de ce rôle obtient les autorisations.
Pour un tableau présentant toutes les actions d' Directory Service API et les ressources auxquelles elles s'appliquent, consultez[Directory Service Autorisations d'API : référence aux actions, aux ressources et aux conditions](UsingWithDS_IAM_ResourcePermissions.md).
## Autorisations requises pour utiliser la Directory Service console
Pour qu'un utilisateur puisse utiliser la Directory Service console, il doit disposer des autorisations répertoriées dans la politique précédente ou des autorisations accordées par le rôle d'accès complet ou le rôle de lecture seule du service d'annuaire, décrits dans[AWS politiques gérées (prédéfinies) pour Directory Service](#IAM_Auth_Access_ManagedPolicies).
Si vous créez une politique IAM plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les utilisateurs dotés de cette politique IAM.
## AWS politiques gérées (prédéfinies) pour Directory Service
AWS répond à de nombreux cas d'utilisation courants en fournissant des politiques IAM prédéfinies ou gérées qui sont créées et administrées par AWS. Les politiques gérées accordent les autorisations nécessaires pour les cas d'utilisation courants, ce qui vous permet de décider des autorisations dont vous avez besoin. Pour de plus amples informations, veuillez consulter [AWS politiques gérées pour AWS Directory Service](security-iam-awsmanpol.md).
## Exemples de politiques gérées par le client
Dans cette section, vous trouverez des exemples de politiques utilisateur qui accordent des autorisations pour diverses Directory Service actions.
**Note**
Tous les exemples utilisent la région de l'Ouest des États-Unis (Oregon) (`us-west-2`) et contiennent un récit fictif. IDs
**Topics**
+ [Exemple 1 : Autoriser un utilisateur à effectuer n'importe quelle action de description sur n'importe quelle Directory Service ressource](#IAMPolicyExamples_DS_perform_describe_action)
+ [Exemple 2 : Permettre à un utilisateur de créer un annuaire](#IAMPolicyExamples_DS_create_directory)
### Exemple 1 : Autoriser un utilisateur à effectuer n'importe quelle action de description sur n'importe quelle Directory Service ressource
La politique d'autorisation suivante autorise un utilisateur à exécuter toutes les actions qui commencent par `Describe` dans un Microsoft AD AWS géré avec l'ID de répertoire `d-1234567890` dans le Compte AWS `111122223333`. Ces actions affichent des informations sur une ressource Directory Service , telle qu'un annuaire ou un instantané. Assurez-vous de remplacer le numéro Région AWS de compte par la région que vous souhaitez utiliser et par votre numéro de compte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ds:Describe*",
"Resource": "arn:aws:ds:us-west-2:111122223333:directory/d-1234567890"
}
]
}
```
------
### Exemple 2 : Permettre à un utilisateur de créer un annuaire
La politique d'autorisations suivante accorde des autorisations pour permettre à un utilisateur de créer un annuaire et toutes les autres ressources connexes, telles que les instantanés et les approbations. Pour ce faire, les autorisations pour certains services Amazon EC2 sont également requises.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:CreateTags"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ds:CreateDirectory",
"ds:DescribeDirectories"
],
"Resource": "arn:aws:ds:*:111122223333:*"
}
]
}
```
------
## Utilisation des balises avec des politiques IAM
Vous pouvez appliquer des autorisations au niveau des ressources basées sur des balises dans les politiques IAM que vous utilisez pour la plupart des actions d'API. Directory Service Vous bénéficiez ainsi d'un meilleur contrôle sur les ressources qu'un utilisateur peut créer, modifier ou utiliser. Vous pouvez utiliser l'élément `Condition` (également appelé bloc `Condition`) avec les clés et valeurs de contexte de condition suivantes dans une politique IAM pour contrôler l'accès des utilisateurs (autorisations) en fonction des balises d'une ressource :
+ Utilisez `aws`:`ResourceTag`/**tag-key**: **tag-value** pour accorder ou refuser aux utilisateurs des actions sur des ressources ayant des balises spécifiques.
+ Utilisez `aws`:`ResourceTag`/**tag-key**: **tag-value** pour exiger qu'une balise spécifique soit utilisée (ou ne soit pas utilisée) lorsque vous effectuez une demande d'API pour créer ou modifier une ressource qui autorise les balises.
+ Utilisez `aws`:`TagKeys`: [**tag-key**, ...] pour exiger qu'un ensemble de clés de balise spécifique soit utilisé (ou ne soit pas utilisé) lorsque vous effectuez une demande d'API pour créer ou modifier une ressource qui autorise les balises.
**Note**
Les clés et les valeurs de contexte de condition dans une politique IAM s'appliquent uniquement aux actions Directory Service dans lesquelles un identifiant pour une ressource pouvant être balisée est un paramètre obligatoire.
La section [Contrôle de l'accès à l'aide de balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) dans le *Guide d'utilisateur IAM* contient des informations supplémentaires sur l'utilisation des balises. La section [Référence de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) de ce guide fournit la syntaxe détaillée, des descriptions, ainsi que des exemples des éléments, des variables et de la logique d'évaluation des politiques JSON dans IAM.
La politique de balises suivante permet de créer un Directory Service répertoire tant que les balises suivantes sont utilisées :
+ Environnement : production
+ Propriétaire : Infrastructure Team
+ Centre de coûts : 1234
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:CreateDirectory"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Environment": "Production",
"aws:RequestTag/Owner": "Infrastructure-Team",
"aws:RequestTag/CostCenter": "12345"
}
}
}
]
}
```
------
La politique de balises suivante permet de mettre à jour et de supprimer des Directory Service répertoires tant que les balises suivantes sont utilisées :
+ Projet : Atlas
+ Département : Ingénierie
+ Environnement : mise en scène
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:DeleteDirectory",
"ds:UpdateDirectory"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "Atlas",
"aws:ResourceTag/Department": "Engineering",
"aws:ResourceTag/Environment": "Staging"
}
}
}
]
}
```
------
La politique de balises suivante refuse le balisage des ressources Directory Service lorsque la ressource possède l'une des balises suivantes :
+ Production
+ Sécurité
+ Confidentiel
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ds:AddTagsToResource"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": ["Production", "Security", "Confidential"]
}
}
}
]
}
```
------
Pour plus d'informations ARNs, consultez [Amazon Resource Names (ARNs) et AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
La liste suivante des opérations d' Directory Service API prend en charge les autorisations au niveau des ressources basées sur des balises :
+ [AcceptSharedDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_AcceptSharedDirectory.html)
+ [AddIpRoutes](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_AddIpRoutes.html)
+ [AddTagsToResource](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_AddTagsToResource.html)
+ [CancelSchemaExtension](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CancelSchemaExtension.html)
+ [CreateAlias](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateAlias.html)
+ [CreateComputer](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateComputer.html)
+ [CreateConditionalForwarder](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateConditionalForwarder.html)
+ [CreateSnapshot](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateSnapshot.html)
+ [CreateLogSubscription](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateLogSubscription.html)
+ [CreateTrust](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateTrust.html)
+ [DeleteConditionalForwarder](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteConditionalForwarder.html)
+ [DeleteDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteDirectory.html)
+ [DeleteLogSubscription](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteLogSubscription.html)
+ [DeleteSnapshot](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteSnapshot.html)
+ [DeleteTrust](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteTrust.html)
+ [DeregisterEventTopic](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeregisterEventTopic.html)
+ [DescribeConditionalForwarders](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeConditionalForwarders.html)
+ [DescribeDomainControllers](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeDomainControllers.html)
+ [DescribeEventTopics](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeEventTopics.html)
+ [DescribeSharedDirectories](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeSharedDirectories.html)
+ [DescribeSnapshots](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeSnapshots.html)
+ [DescribeTrusts](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeTrusts.html)
+ [DisableRadius](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DisableRadius.html)
+ [DisableSso](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DisableSso.html)
+ [EnableRadius](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_EnableRadius.html)
+ [EnableSso](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_EnableSso.html)
+ [GetSnapshotLimits](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_GetSnapshotLimits.html)
+ [ListIpRoutes](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ListIpRoutes.html)
+ [ListSchemaExtensions](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ListSchemaExtensions.html)
+ [ListTagsForResource](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ListTagsForResource.html)
+ [RegisterEventTopic](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RegisterEventTopic.html)
+ [RejectSharedDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RejectSharedDirectory.html)
+ [RemoveIpRoutes](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RemoveIpRoutes.html)
+ [RemoveTagsFromResource](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RemoveTagsFromResource.html)
+ [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)
+ [RestoreFromSnapshot](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RestoreFromSnapshot.html)
+ [ShareDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ShareDirectory.html)
+ [StartSchemaExtension](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_StartSchemaExtension.html)
+ [UnshareDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UnshareDirectory.html)
+ [UpdateConditionalForwarder](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateConditionalForwarder.html)
+ [UpdateNumberOfDomainControllers](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateNumberOfDomainControllers.html)
+ [UpdateRadius](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateRadius.html)
+ [UpdateTrust](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateTrust.html)
+ [VerifyTrust](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_VerifyTrust.html)