Menggunakan kebijakan berbasis identitas (kebijakan) IAM untuk AWS Directory Service - AWS Directory Service
Izin diperlukan untuk menggunakan konsol AWS Directory ServiceAWS kebijakan terkelola (standar) untuk AWS Directory ServiceContoh kebijakan yang dikelola pelangganMenggunakan tag dengan IAM kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kebijakan berbasis identitas (kebijakan) IAM untuk AWS Directory Service

Topik ini memberikan contoh kebijakan berbasis identitas di mana administrator akun dapat melampirkan kebijakan izin ke IAM identitas (pengguna, grup, dan peran).

penting

Kami menyarankan Anda terlebih dahulu meninjau topik pengantar yang menjelaskan konsep dasar dan opsi yang tersedia bagi Anda untuk mengelola akses ke AWS Directory Service sumber daya Anda. Untuk informasi selengkapnya, lihat Ikhtisar mengelola izin akses ke sumber daya Anda AWS Directory Service.

Bagian dalam topik ini membahas hal berikut:

Berikut adalah contoh kebijakan izin.

{
   "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDsEc2IamGetRole",
            "Effect": "Allow",
            "Action": [
                "ds:CreateDirectory",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:CreateSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSubnets",
                "iam:GetRole"
            ],
            "Resource": "*"
        },
        {
            "Sid": "WarningAllowsCreatingRolesWithDirSvcPrefix",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::111122223333:role/DirSvc*"
        },
        {
            "Sid": "AllowPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "cloudwatch.amazonaws.com"
                }
            }
        }
    ]
}

Tiga pernyataan dalam kebijakan tersebut memberikan izin sebagai berikut:

  • Pernyataan pertama memberikan izin untuk membuat AWS Directory Service direktori. Karena AWS Directory Service tidak mendukung izin di tingkat sumber daya, kebijakan menetapkan karakter wildcard (*) sebagai nilainya. Resource

  • Pernyataan kedua memberikan izin untuk mengakses IAM tindakan, sehingga AWS Directory Service dapat membaca dan membuat IAM peran atas nama Anda. Karakter wildcard (*) di akhir Resource nilai berarti bahwa pernyataan tersebut mengizinkan izin untuk IAM tindakan pada IAM peran apa pun. Untuk membatasi izin ini ke peran tertentu, ganti karakter wildcard (*) di sumber daya ARN dengan nama peran tertentu. Untuk informasi selengkapnya, lihat IAMTindakan.

  • Pernyataan ketiga memberikan izin ke kumpulan sumber daya tertentu di Amazon EC2 yang diperlukan untuk memungkinkan AWS Directory Service membuat, mengonfigurasi, dan menghancurkan direktorinya. Karakter wildcard (*) di akhir Resource nilai berarti bahwa pernyataan tersebut mengizinkan izin untuk EC2 tindakan pada EC2 sumber daya atau subsumber daya apa pun. Untuk membatasi izin ini ke peran tertentu, ganti karakter wildcard (*) di sumber daya ARN dengan sumber daya atau subsumber daya tertentu. Untuk informasi selengkapnya, lihat EC2Tindakan Amazon.

Anda tidak melihat Principal elemen dalam kebijakan, karena dalam kebijakan berbasis identitas Anda tidak menentukan kepala sekolah yang mendapatkan izin. Saat Anda melampirkan kebijakan ke pengguna, pengguna adalah prinsipal implisit. Saat Anda melampirkan kebijakan izin ke IAM peran, prinsipal yang diidentifikasi dalam kebijakan kepercayaan peran akan mendapatkan izin

Untuk tabel yang menunjukkan semua AWS Directory Service API tindakan dan sumber daya yang mereka terapkan, lihatAWS Directory Service APIizin: Referensi tindakan, sumber daya, dan kondisi.

Izin diperlukan untuk menggunakan konsol AWS Directory Service

Agar pengguna dapat bekerja dengan AWS Directory Service konsol, pengguna tersebut harus memiliki izin yang tercantum dalam kebijakan sebelumnya atau izin yang diberikan oleh peran Directory Service Full Access Role atau Directory Service Read Only, yang dijelaskan dalam. AWS kebijakan terkelola (standar) untuk AWS Directory Service

Jika Anda membuat IAM kebijakan yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana dimaksud untuk pengguna dengan kebijakan tersebutIAM.

AWS kebijakan terkelola (standar) untuk AWS Directory Service

AWS menangani banyak kasus penggunaan umum dengan menyediakan IAM kebijakan yang telah ditentukan, atau dikelola, yang dibuat dan dikelola oleh AWS. Kebijakan terkelola memberikan izin yang diperlukan untuk kasus penggunaan umum, yang membantu Anda memutuskan izin apa yang Anda perlukan. Untuk informasi selengkapnya, lihat AWS kebijakan terkelola untuk AWS Directory Service.

Contoh kebijakan yang dikelola pelanggan

Di bagian ini, Anda dapat menemukan contoh kebijakan pengguna yang memberikan izin untuk berbagai AWS Directory Service tindakan.

catatan

Semua contoh menggunakan Wilayah Barat AS (Oregon) (us-west-2) dan berisi akun fiktif. IDs

Contoh 1: Izinkan pengguna melakukan tindakan Deskripsikan apa pun pada AWS Directory Service sumber daya apa pun

Kebijakan izin berikut memberikan izin kepada pengguna untuk menjalankan semua tindakan yang dimulai dengan Describe. Tindakan ini menampilkan informasi tentang AWS Directory Service sumber daya, seperti direktori atau snapshot. Perhatikan bahwa karakter wildcard (*) dalam Resource elemen menunjukkan bahwa tindakan diizinkan untuk semua AWS Directory Service sumber daya yang dimiliki oleh akun. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ds:Describe*",
         "Resource":"*"
      }
   ]
}

Contoh 2: Mengizinkan pengguna untuk membuat direktori

Kebijakan izin berikut memberikan izin untuk memungkinkan pengguna untuk membuat direktori dan semua sumber daya terkait lainnya, seperti snapshot dan trust. Untuk melakukannya, izin untuk EC2 layanan Amazon tertentu juga diperlukan.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action": [
                "ds:Create*",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
                  ],
         "Resource":"*"
         ]
      }
   ]
}

Menggunakan tag dengan IAM kebijakan

Anda dapat menerapkan izin tingkat sumber daya berbasis tag dalam IAM kebijakan yang Anda gunakan untuk sebagian besar tindakan. AWS Directory Service API Hal ini memberi Anda kontrol yang lebih baik atas sumber daya yang dapat dibuat, dimodifikasi, atau digunakan oleh pengguna. Anda menggunakan Condition elemen (juga disebut Condition blok) dengan kunci konteks kondisi berikut dan nilai dalam IAM kebijakan untuk mengontrol akses pengguna (izin) berdasarkan tag sumber daya:

  • Gunakan aws:ResourceTag/tag-key: tag-value untuk mengizinkan atau menolak tindakan pengguna pada sumber daya dengan tanda tertentu.

  • Gunakanaws:ResourceTag/tag-key: tag-value untuk mengharuskan tag tertentu digunakan (atau tidak digunakan) saat membuat API permintaan untuk membuat atau memodifikasi sumber daya yang memungkinkan tag.

  • Gunakanaws:TagKeys: [tag-key,...] untuk mengharuskan sekumpulan kunci tag tertentu digunakan (atau tidak digunakan) saat membuat API permintaan untuk membuat atau memodifikasi sumber daya yang memungkinkan tag.

catatan

Kunci konteks kondisi dan nilai dalam IAM kebijakan hanya berlaku untuk AWS Directory Service tindakan tersebut di mana pengenal untuk sumber daya yang dapat diberi tag adalah parameter wajib.

Mengontrol akses menggunakan tag di Panduan IAM Pengguna memiliki informasi tambahan tentang penggunaan tag. Bagian referensi IAM JSON kebijakan dari panduan itu memiliki sintaks terperinci, deskripsi, dan contoh elemen, variabel, dan logika evaluasi JSON kebijakan di. IAM

Contoh kebijakan tanda berikut memungkinkan semua panggilan ds selama itu berisi pasangan nilai kunci tanda "fooKey":"fooValue".

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"VisualEditor0",
         "Effect":"Allow",
         "Action":[
            "ds:*"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/fooKey":"fooValue"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:*"
         ],
         "Resource":"*"
      }
   ]
}

Contoh kebijakan sumber daya berikut memungkinkan semua panggilan ds selama sumber daya berisi ID direktori "d-1234567890".

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"VisualEditor0",
         "Effect":"Allow",
         "Action":[
            "ds:*"
         ],
         "Resource":"arn:aws:ds:us-east-1:123456789012:directory/d-1234567890"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:*"
         ],
         "Resource":"*"
      }
   ]
}

Untuk informasi selengkapnyaARNs, lihat Amazon Resource Names (ARNs) dan Ruang Nama AWS Layanan.

Daftar AWS Directory Service API operasi berikut mendukung izin tingkat sumber daya berbasis tag: