Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Vue d'ensemble de la gestion des autorisations d'accès à vos AWS Directory Service ressources
Chaque AWS ressource est détenue par un AWS compte. Par conséquent, les autorisations de création ou d'accès aux ressources sont régies par des politiques d'autorisation. Toutefois, un administrateur de compte, c'est-à-dire un utilisateur disposant d'autorisations d'administrateur, peut associer des autorisations aux ressources. Ils ont également la possibilité d'associer des politiques d'autorisations aux identités IAM, telles que les utilisateurs, les groupes et les rôles, et certains services, tels que AWS Lambda la prise en charge de l'attachement de politiques d'autorisations aux ressources.
Note
Pour plus d'informations sur le rôle d'administrateur de compte, consultez les meilleures pratiques IAM dans le guide de l'utilisateur IAM.
Rubriques
AWS Directory Service ressources et opérations
Dans AWS Directory Service, la ressource principale est un répertoire. Comme il AWS Directory Service prend en charge les ressources de capture instantanée d'annuaire, vous pouvez créer des instantanés uniquement dans le contexte d'un répertoire existant. Cet instantané est appelé sous-ressource.
Ces ressources sont associées à des noms de ressources Amazon (ARNs) uniques, comme indiqué dans le tableau suivant.
| Type de ressource | Format ARN |
|---|---|
|
Annuaire |
|
|
Instantané |
|
AWS Directory Service inclut deux espaces de noms de service en fonction du type d'opérations que vous effectuez.
-
L'espace
dsde noms du service fournit un ensemble d'opérations permettant de travailler avec les ressources appropriées. Pour obtenir la liste des opérations disponibles, veuillez consulter Directory Service Actions (français non garanti). -
L'espace
ds-datade noms du service fournit un ensemble d'opérations aux objets Active Directory. Pour obtenir la liste des opérations disponibles, consultez la section Directory Service Data API Reference.
Présentation de la propriété des ressources
Le propriétaire d'une ressource est le AWS compte qui a créé une ressource. En d'autres termes, le propriétaire de la ressource est le AWS compte de l'entité principale (le compte root, un utilisateur IAM ou un rôle IAM) qui authentifie la demande qui crée la ressource. Les exemples suivants illustrent comment cela fonctionne :
-
Si vous utilisez les informations d'identification du compte root de votre AWS compte pour créer une AWS Directory Service ressource, telle qu'un répertoire, votre AWS compte est le propriétaire de cette ressource.
-
Si vous créez un utilisateur IAM dans votre AWS compte et que vous accordez des autorisations pour créer AWS Directory Service des ressources à cet utilisateur, celui-ci peut également créer des AWS Directory Service ressources. Cependant, votre AWS compte, auquel appartient l'utilisateur, est propriétaire des ressources.
-
Si vous créez un rôle IAM dans votre AWS compte avec les autorisations nécessaires pour créer AWS Directory Service des ressources, toute personne pouvant assumer ce rôle peut créer des AWS Directory Service ressources. Votre AWS compte, auquel appartient le rôle, est propriétaire des AWS Directory Service ressources.
Gestion de l’accès aux ressources
Une politique d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.
Note
Cette section décrit l'utilisation d'IAM dans le contexte de AWS Directory Service. Elle ne fournit pas d’informations détaillées sur le service IAM. Pour une documentation complète sur IAM, veuillez consulter la section What is IAM? (français non garanti) dans le Guide de l'utilisateur IAM. Pour plus d'informations sur la syntaxe et les descriptions des politiques IAM, veuillez consulter IAM JSON policy reference (français non garanti) dans le Guide de l'utilisateur IAM.
Les politiques associées à une identité IAM sont appelées politiques basées sur l'identité (politiques IAM) et les politiques associées à une ressource sont appelées politiques basées sur les ressources. AWS Directory Service prend uniquement en charge les politiques basées sur l'identité (politiques IAM).
Politiques basées sur une identité (politiques IAM)
Vous pouvez attacher des politiques à des identités IAM. Par exemple, vous pouvez effectuer les opérations suivantes :
-
Associer une politique d'autorisation à un utilisateur ou à un groupe de votre compte : un administrateur de compte peut utiliser une politique d'autorisation associée à un utilisateur particulier pour autoriser cet utilisateur à créer une AWS Directory Service ressource, telle qu'un nouveau répertoire.
-
Attacher une politique d'autorisations à un rôle (accorder des autorisations entre comptes) : vous pouvez attacher une politique d'autorisation basée sur une identité à un rôle IAM afin d'accorder des autorisations entre comptes.
Pour plus d'informations sur l'utilisation d'IAM pour déléguer des autorisations, veuillez consulter la section Access management (français non garanti) dans le Guide de l'utilisateur IAM.
La politique d'autorisation suivante accorde des autorisations à un utilisateur lui permettant d'exécuter toutes les actions commençant par Describe. Ces actions affichent des informations sur une AWS Directory Service ressource, telle qu'un répertoire ou un instantané. Notez que le caractère générique (*) dans l'Resourceélément indique que les actions sont autorisées pour toutes les AWS Directory Service ressources détenues par le compte.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ds:Describe*", "Resource":"*" } ] }
Pour plus d'informations sur l'utilisation de politiques basées sur l'identité avec AWS Directory Service, consultez. Utilisation de politiques basées sur l'identité (politiques IAM) pour AWS Directory Service Pour plus d’informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez Identités (utilisateurs, groupes et rôles) dans le Guide de l’utilisateur IAM.
Politiques basées sur les ressources
D’autres services, tels qu’Amazon S3, prennent également en charge les politiques d’autorisation basées sur une ressource. Par exemple, vous pouvez associer une politique à un compartiment S3 pour gérer les autorisations d'accès à ce compartiment. AWS Directory Service ne prend pas en charge les politiques basées sur les ressources.
Spécification des éléments d’une politique : actions, effets, ressources et principaux
Pour chaque AWS Directory Service ressource, le service définit un ensemble d'opérations d'API. Pour de plus amples informations, veuillez consulter AWS Directory Service ressources et opérations. Pour obtenir la liste des opérations d'API disponibles, veuillez consulter Directory Service Actions (français non garanti).
Pour accorder des autorisations pour ces opérations d'API AWS Directory Service , définissez un ensemble d'actions que vous pouvez spécifier dans une politique. Notez que l'exécution d'une opération d'API peut exiger des autorisations pour plusieurs actions.
Voici les éléments de base d’une politique :
-
Ressource : dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s’applique. Pour les AWS Directory Service ressources, vous utilisez toujours le caractère générique (*) dans les politiques IAM. Pour de plus amples informations, veuillez consulter AWS Directory Service ressources et opérations.
-
Action : vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, l'autorisation
ds:DescribeDirectoriespermet à l'utilisateur d'effectuer l'opération AWS Directory ServiceDescribeDirectories. -
Effet – Vous spécifiez l'effet produit lorsque l'utilisateur demande l'action spécifique. Il peut s'agir d'un accord ou d'un refus. Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez aussi explicitement refuser l’accès à une ressource, ce que vous pouvez faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une politique différente accorde l’accès.
-
Principal – dans les politiques basées sur une identité (politiques IAM), l’utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur les ressources, vous spécifiez l'utilisateur, le compte, le service ou toute autre entité pour lequel vous souhaitez recevoir des autorisations (s'applique uniquement aux politiques basées sur les ressources). AWS Directory Service ne prend pas en charge les politiques basées sur les ressources.
Pour plus d'informations sur la syntaxe des politiques IAM et pour obtenir des descriptions, veuillez consulter IAM JSON policy reference (français non garanti) dans le manuel Guide de l'utilisateur IAM.
Pour un tableau présentant toutes les actions d' AWS Directory Service API et les ressources auxquelles elles s'appliquent, consultezAWS Directory Service Autorisations d'API : référence aux actions, aux ressources et aux conditions.
Spécification de conditions dans une politique
Lorsque vous accordez des autorisations, vous pouvez utiliser le langage de la politique d’accès pour spécifier les conditions définissant quand une politique doit prendre effet. Par exemple, il est possible d'appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, consultez Condition dans le Guide de l'utilisateur IAM.
Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Il n'existe pas de clés de condition spécifiques à AWS Directory Service. Cependant, il existe des clés de AWS condition que vous pouvez utiliser selon les besoins. Pour obtenir la liste complète des AWS clés, consultez la section Clés de condition globales disponibles dans le guide de l'utilisateur IAM.
