Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Vue d'ensemble de la gestion des autorisations d'accès à vos AWS Directory Service ressources
Chaque AWS ressource est détenue par un AWS compte. Par conséquent, les autorisations de création ou d'accès aux ressources sont régies par des politiques d'autorisation. Toutefois, un administrateur de compte, c'est-à-dire un utilisateur disposant d'autorisations d'administrateur, peut associer des autorisations aux ressources. Ils ont également la possibilité d'associer des politiques d'autorisations aux IAM identités, telles que les utilisateurs, les groupes et les rôles, et à certains services, tels que AWS Lambda la prise en charge de l'attachement de politiques d'autorisations aux ressources.
Note
Pour plus d'informations sur le rôle d'administrateur du compte, consultez les IAM meilleures pratiques du Guide de IAM l'utilisateur.
Rubriques
AWS Directory Service ressources et opérations
Dans AWS Directory Service, la ressource principale est un répertoire. Comme il AWS Directory Service prend en charge les ressources de capture instantanée d'annuaire, vous pouvez créer des instantanés uniquement dans le contexte d'un répertoire existant. Cet instantané est appelé sous-ressource.
Ces ressources sont associées à des noms de ressources Amazon (ARNs) uniques, comme indiqué dans le tableau suivant.
| Type de ressource | ARNFormater |
|---|---|
|
Annuaire |
|
|
Instantané |
|
AWS Directory Service inclut deux espaces de noms de service en fonction du type d'opérations que vous effectuez.
-
L'espace
dsde noms du service fournit un ensemble d'opérations permettant de travailler avec les ressources appropriées. Pour obtenir la liste des opérations disponibles, veuillez consulter Directory Service Actions (français non garanti). -
L'espace
ds-datade noms du service fournit un ensemble d'opérations aux objets Active Directory. Pour obtenir la liste des opérations disponibles, consultez la section Directory Service Data API Reference.
Présentation de la propriété des ressources
Le propriétaire d'une ressource est le AWS compte qui a créé une ressource. En d'autres termes, le propriétaire de la ressource est le AWS compte de l'entité principale (le compte root, un IAM utilisateur ou un IAM rôle) qui authentifie la demande qui crée la ressource. Les exemples suivants illustrent comment cela fonctionne :
-
Si vous utilisez les informations d'identification du compte root de votre AWS compte pour créer une AWS Directory Service ressource, telle qu'un répertoire, votre AWS compte est le propriétaire de cette ressource.
-
Si vous créez un IAM utilisateur dans votre AWS compte et que vous accordez des autorisations pour créer AWS Directory Service des ressources à cet utilisateur, celui-ci peut également créer AWS Directory Service des ressources. Cependant, votre AWS compte, auquel appartient l'utilisateur, est propriétaire des ressources.
-
Si vous créez un IAM rôle dans votre AWS compte avec l'autorisation de créer des AWS Directory Service ressources, toute personne habilitée à assumer ce rôle peut créer AWS Directory Service des ressources. Votre AWS compte, auquel appartient le rôle, est propriétaire des AWS Directory Service ressources.
Gestion de l’accès aux ressources
Une politique d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.
Note
Cette section traite de l'utilisation IAM dans le contexte de AWS Directory Service. Il ne fournit pas d'informations détaillées sur le IAM service. Pour une IAM documentation complète, voir Qu'est-ce que c'est IAM ? dans le guide de IAM l'utilisateur. Pour plus d'informations sur la syntaxe et les descriptions des IAM politiques, consultez la référence aux IAM JSON politiques dans le Guide de IAM l'utilisateur.
Les politiques associées à une IAM identité sont appelées politiques basées sur l'identité (politiques) et IAM les politiques associées à une ressource sont appelées politiques basées sur les ressources. AWS Directory Service prend uniquement en charge les politiques basées sur l'identité (IAMpolitiques).
Politiques basées sur l'identité (politiques) IAM
Vous pouvez associer des politiques aux IAM identités. Par exemple, vous pouvez effectuer les opérations suivantes :
-
Associer une politique d'autorisation à un utilisateur ou à un groupe de votre compte : un administrateur de compte peut utiliser une politique d'autorisation associée à un utilisateur particulier pour autoriser cet utilisateur à créer une AWS Directory Service ressource, telle qu'un nouveau répertoire.
-
Associer une politique d'autorisations à un rôle (accorder des autorisations entre comptes) : vous pouvez associer une politique d'autorisations basée sur l'identité à un IAM rôle pour accorder des autorisations entre comptes.
Pour plus d'informations sur l'utilisation IAM pour déléguer des autorisations, consultez la section Gestion des accès dans le Guide de IAM l'utilisateur.
La politique d'autorisation suivante accorde des autorisations à un utilisateur lui permettant d'exécuter toutes les actions commençant par Describe. Ces actions affichent des informations sur une AWS Directory Service ressource, telle qu'un répertoire ou un instantané. Notez que le caractère générique (*) dans l'Resourceélément indique que les actions sont autorisées pour toutes les AWS Directory Service ressources détenues par le compte.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ds:Describe*", "Resource":"*" } ] }
Pour plus d'informations sur l'utilisation de politiques basées sur l'identité avec AWS Directory Service, consultez. Utilisation de politiques basées sur l'identité (IAMpolitiques) pour AWS Directory Service Pour plus d'informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez la section Identités (utilisateurs, groupes et rôles) dans le guide de IAM l'utilisateur.
Politiques basées sur les ressources
D’autres services, tels qu’Amazon S3, prennent également en charge les politiques d’autorisation basées sur une ressource. Par exemple, vous pouvez associer une politique à un compartiment S3 pour gérer les autorisations d'accès à ce compartiment. AWS Directory Service ne prend pas en charge les politiques basées sur les ressources.
Spécification des éléments d’une politique : actions, effets, ressources et principaux
Pour chaque AWS Directory Service ressource, le service définit un ensemble d'APIopérations. Pour de plus amples informations, veuillez consulter AWS Directory Service ressources et opérations. Pour obtenir la liste des API opérations disponibles, consultez la section Actions du Service d'annuaire.
Pour accorder des autorisations pour ces API opérations, AWS Directory Service définit un ensemble d'actions que vous pouvez spécifier dans une politique. Notez que l'exécution d'une API opération peut nécessiter des autorisations pour plusieurs actions.
Voici les éléments de base d’une politique :
-
Ressource : dans une politique, vous utilisez un nom de ressource Amazon (ARN) pour identifier la ressource à laquelle la politique s'applique. Pour les AWS Directory Service ressources, vous utilisez toujours le caractère générique (*) dans IAM les politiques. Pour de plus amples informations, veuillez consulter AWS Directory Service ressources et opérations.
-
Action : vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, l'autorisation
ds:DescribeDirectoriespermet à l'utilisateur d'effectuer l'opération AWS Directory ServiceDescribeDirectories. -
Effet – Vous spécifiez l'effet produit lorsque l'utilisateur demande l'action spécifique. Il peut s'agir d'un accord ou d'un refus. Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez aussi explicitement refuser l’accès à une ressource, ce que vous pouvez faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une politique différente accorde l’accès.
-
Principal — Dans les politiques basées sur l'identité (IAMpolitiques), l'utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur les ressources, vous spécifiez l'utilisateur, le compte, le service ou toute autre entité pour lequel vous souhaitez recevoir des autorisations (s'applique uniquement aux politiques basées sur les ressources). AWS Directory Service ne prend pas en charge les politiques basées sur les ressources.
Pour en savoir plus sur la syntaxe et les descriptions des IAM politiques, consultez la référence aux IAM JSON politiques dans le Guide de IAM l'utilisateur.
Pour un tableau présentant toutes les AWS Directory Service API actions et les ressources auxquelles elles s'appliquent, voirAWS Directory Service APIautorisations : référence aux actions, aux ressources et aux conditions.
Spécification de conditions dans une politique
Lorsque vous accordez des autorisations, vous pouvez utiliser le langage de la politique d’accès pour spécifier les conditions définissant quand une politique doit prendre effet. Par exemple, il est possible d’appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, voir Condition dans le guide de IAM l'utilisateur.
Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Il n'existe pas de clés de condition spécifiques à AWS Directory Service. Cependant, il existe des clés de AWS condition que vous pouvez utiliser selon les besoins. Pour obtenir la liste complète des AWS clés, consultez la section Clés de condition globales disponibles dans le guide de IAM l'utilisateur.
