données DS : SAMAccountName DS-Data : identifiant données DS : MemberName données DS : MemberRealm DS-Data : Realm

Clés de condition des données du Directory Service

Utilisez les clés de condition des données du Directory Service pour ajouter des instructions spécifiques aux utilisateurs et à l'accès au niveau du groupe. Cela permet aux utilisateurs de décider quels principaux peuvent effectuer des actions sur quelles ressources et dans quelles conditions.

L'élément Condition, ou bloc Condition, vous permet de spécifier les conditions dans lesquelles une instruction est en vigueur. L’élément Condition est facultatif. Vous pouvez créer des expressions conditionnelles qui utilisent des opérateurs de condition, tels que égal (=) ou inférieur à (<), pour faire correspondre la condition de la politique aux valeurs de la demande.

Si vous spécifiez plusieurs éléments de condition dans une instruction ou plusieurs clés dans un seul élément de condition, AWS les évalue à l'aide d'une AND opération logique. Si vous spécifiez plusieurs valeurs pour une seule clé de condition, AWS évalue la condition à l'aide d'une opération OR logique. Toutes les conditions doivent être remplies avant que les autorisations associées à l’instruction ne soient accordées. Vous pouvez aussi utiliser des variables d’espace réservé quand vous spécifiez des conditions. Par exemple, vous pouvez autoriser un IAM utilisateur à accéder à une ressource uniquement si celle-ci est associée à son nom d'utilisateur. Pour plus d'informations, reportez-vous à la section Condition comportant plusieurs clés ou valeurs dans le guide de IAM l'utilisateur.

Pour obtenir la liste des actions qui prennent en charge ces clés de condition, voir Actions définies par AWS Données du service d'annuaire dans la référence d'autorisation du service.

Note

Pour plus d'informations sur les autorisations au niveau des ressources basées sur des balises, consultez. Utilisation des balises avec les stratégies IAM

données DS : SAMAccountName

Fonctionne avec les opérateurs de chaînes.

Vérifie que la politique spécifiée SAMAccountName correspond à l'entrée utilisée dans la demande. Un seul nom de SAM compte peut être fourni dans chaque demande.

Note

Cette clé de condition ne tient pas compte des majuscules et minuscules. Vous devez utiliser StringEqualsIgnoreCase ou StringNotEqualsIgnoreCase conditionner des opérateurs pour comparer les valeurs des chaînes, quelles que soient les majuscules.

Permet à un utilisateur ou à un groupe de rechercher des objets AD

La politique suivante permet à l'utilisateur jstiles ou test-group à tout membre de rechercher des utilisateurs, des membres et des groupes dans AWS Domaine Microsoft AD géré.

Important

Lorsque vous utilisez SAMAccountName ouMemberName, nous vous recommandons de spécifier ds-data:Identifier commeSAMAccountName. Cela empêche les futurs identifiants qui AWS Directory Service Data permet notamment de ne pas SID enfreindre les autorisations existantes.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "SearchOnTrustedDomain",
      "Effect": "Allow",
      "Action": "ds-data:Search*",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:SAMAccountName": [
            "jstiles",
            "test-group"
          ],
        "StringEqualsIgnoreCase": {
            "ds-data:identifier": [
              "SAMAccountName"
            ]
          }
        }
      }
    }
  ]
}

DS-Data : identifiant

Fonctionne avec les opérateurs de chaînes.

Spécifie le type d'identifiant utilisé dans la demande. Nous vous recommandons de toujours le spécifier SAMAccountName dans la clé de condition Identifier, afin que les futurs identifiants pris en charge dans Directory Service Data n'enfreignent pas vos autorisations existantes.

Note

Actuellement, SAMAccountName est la seule valeur autorisée. Toutefois, d'autres valeurs pourraient être autorisées à l'avenir.

Permet à un utilisateur ou à un groupe de mettre à jour les utilisateurs par domaine

La politique suivante permet à l'utilisateur jstiles ou à tout membre de mettre test-group à jour les informations utilisateur dans le example-domain.com domaine. La clé d'identification garantit qu'il s'SAMAccountNameagit du type d'identifiant transmis dans le contexte de la demande.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "UpdateUsersonDomain",
      "Effect": "Allow",
      "Action": "ds-data:UpdateUser",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "ds-data:SAMAccountName": [
            "jstiles",
            "test-group"
          ],
        "StringEquals": {
            "ds-data:Identifier": [
              "SAMAccountName"
            ],
        "StringEquals": {
              "ds-data:Realm": [
                "example-domain.com"
              ]
            }
          }
        }
      }
    }
  ]
}

données DS : MemberName

Fonctionne avec les opérateurs de chaînes.

Vérifie que la politique spécifiée MemberName correspond au nom du membre utilisé dans la demande.

Note

Cette clé de condition ne distingue pas les majuscules et minuscules. Vous devez utiliser StringEqualsIgnoreCase ou StringNotEqualsIgnoreCase conditionner des opérateurs pour comparer les valeurs des chaînes, quelles que soient les majuscules.

Permet d'ajouter des membres à un groupe

La politique suivante permet à un utilisateur ou à un rôle d'ajouter un membre à un groupe dans le répertoire spécifié si l'élément MemberName ajouté au groupe commence parregion-1.

Important

Lorsque vous utilisez MemberName ouSAMAccountName, nous vous recommandons de spécifier ds-data:Identifier commeSAMAccountName. Cela empêche les futurs identifiants pris en charge par Directory Service DataSID, tels que ceux qui enfreignent les autorisations existantes.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "UpdateGroupsWithRegionalMembers",
      "Effect": "Allow",
      "Action": "ds-data:UpdateGroup",
      "Resource": "arn:aws:ds::123456789012:directory/d-012345678",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:MemberName": [
            "region-1-*"
          ]
        }
      }
    }
  ]
}

données DS : MemberRealm

Fonctionne avec les opérateurs de chaînes.

Vérifie que le paramètre MemberRealm in de la politique correspond au domaine membre utilisé dans la demande.

Note

Permet d'ajouter des membres à un groupe dans un domaine

La politique suivante permet à un utilisateur ou à un rôle d'ajouter un membre à un groupe dans un domaine sécurisé entre domaines.

Note

L'exemple suivant utilise uniquement la clé de ds-data:MemberName contexte.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "UpdateMembersInRealm",
      "Effect": "Allow",
      "Action": "ds-data:UpdateGroup",
      "Resource": "arn:aws:ds::123456789012:directory/d-012345678",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:MemberRealm": [
            "region-1-*"
          ]
        }
      }
    }
  ]
}

DS-Data : Realm

Fonctionne avec les opérateurs de chaînes.

Vérifie que Realm le contenu de la politique correspond au domaine utilisé dans la demande.

Note

Permet d'ajouter des groupes à un domaine

La politique suivante permet à un utilisateur ou à un rôle de créer des groupes dans le domaine spécifié.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "UpdateGroupsInRealm",
      "Effect": "Allow",
      "Action": "ds-data:CreateGroup",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:Realm": [
            "example-domain.com"
          ]
        }
      }
    }
  ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS Directory Service Référence des autorisations API

Autorisation pour AWS applications et services utilisant AWS Directory Service