Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk AWS Directory Service - AWS Directory Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk AWS Directory Service

Topik ini memberikan contoh kebijakan berbasis identitas di mana administrator akun dapat melampirkan kebijakan izin ke identitas IAM (pengguna, grup, dan peran).

penting

Kami menyarankan Anda terlebih dahulu meninjau topik pengantar yang menjelaskan konsep dasar dan opsi yang tersedia bagi Anda untuk mengelola akses ke AWS Directory Service sumber daya Anda. Untuk informasi selengkapnya, lihat Ikhtisar mengelola izin akses ke sumber daya Anda AWS Directory Service.

Bagian dalam topik ini membahas hal berikut:

Berikut adalah contoh kebijakan izin.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowDsEc2IamGetRole", "Effect": "Allow", "Action": [ "ds:CreateDirectory", "ec2:RevokeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:CreateSecurityGroup", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:DescribeSubnets", "iam:GetRole" ], "Resource": "*" }, { "Sid": "WarningAllowsCreatingRolesWithDirSvcPrefix", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::111122223333:role/DirSvc*" }, { "Sid": "AllowPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "cloudwatch.amazonaws.com" } } } ] }

Tiga pernyataan dalam kebijakan tersebut memberikan izin sebagai berikut:

  • Pernyataan pertama memberikan izin untuk membuat AWS Directory Service direktori. Karena AWS Directory Service tidak mendukung izin di tingkat sumber daya, kebijakan menetapkan karakter wildcard (*) sebagai nilainya. Resource

  • Pernyataan kedua memberikan izin untuk mengakses tindakan IAM, sehingga AWS Directory Service dapat membaca dan membuat peran IAM atas nama Anda. Karakter wildcard (*) di akhir nilai Resource berarti bahwa pernyataan itu memungkinkan izin untuk tindakan IAM di setiap IAM role. Untuk membatasi izin ini ke peran tertentu, ganti karakter wildcard (*) di ARN sumber daya dengan nama peran tertentu. Untuk informasi selengkapnya, lihat Tindakan IAM.

  • Pernyataan ketiga memberikan izin ke kumpulan sumber daya tertentu di Amazon EC2 yang diperlukan untuk memungkinkan AWS Directory Service membuat, mengonfigurasi, dan menghancurkan direktorinya. Karakter wildcard (*) di akhir Resource nilai berarti bahwa pernyataan tersebut mengizinkan izin untuk EC2 tindakan pada EC2 sumber daya atau subsumber daya apa pun. Untuk membatasi izin ini ke peran tertentu, ganti karakter wildcard (*) di ARN sumber daya dengan sumber daya atau subsumber daya tertentu. Untuk informasi selengkapnya, lihat EC2 Tindakan Amazon.

Anda tidak melihat Principal elemen dalam kebijakan, karena dalam kebijakan berbasis identitas Anda tidak menentukan kepala sekolah yang mendapatkan izin. Saat Anda melampirkan kebijakan ke pengguna, pengguna adalah prinsipal implisit. Saat Anda melampirkan kebijakan izin ke peran IAM, prinsipal yang diidentifikasi dalam kebijakan kepercayaan peran akan mendapatkan izin

Untuk tabel yang menunjukkan semua tindakan AWS Directory Service API dan sumber daya yang diterapkan, lihatAWS Directory Service Izin API: Referensi tindakan, sumber daya, dan kondisi.

Izin yang diperlukan untuk menggunakan konsol AWS Directory Service

Agar pengguna dapat bekerja dengan AWS Directory Service konsol, pengguna tersebut harus memiliki izin yang tercantum dalam kebijakan sebelumnya atau izin yang diberikan oleh peran Directory Service Full Access Role atau Directory Service Read Only, yang dijelaskan dalam. AWS kebijakan terkelola (standar) untuk AWS Directory Service

Jika Anda membuat kebijakan IAM yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya bagi pengguna dengan kebijakan IAM tersebut.

AWS kebijakan terkelola (standar) untuk AWS Directory Service

AWS menangani banyak kasus penggunaan umum dengan menyediakan kebijakan IAM yang telah ditentukan, atau dikelola, yang dibuat dan dikelola oleh. AWS Kebijakan terkelola memberikan izin yang diperlukan untuk kasus penggunaan umum, yang membantu Anda memutuskan izin apa yang Anda perlukan. Untuk informasi selengkapnya, lihat AWS kebijakan terkelola untuk AWS Directory Service.

Contoh kebijakan yang dikelola pelanggan

Di bagian ini, Anda dapat menemukan contoh kebijakan pengguna yang memberikan izin untuk berbagai AWS Directory Service tindakan.

catatan

Semua contoh menggunakan Wilayah Barat AS (Oregon) (us-west-2) dan berisi akun fiktif. IDs

Contoh 1: Izinkan pengguna melakukan tindakan Deskripsikan apa pun pada AWS Directory Service sumber daya apa pun

Kebijakan izin berikut memberikan izin kepada pengguna untuk menjalankan semua tindakan yang dimulai dengan Describe. Tindakan ini menampilkan informasi tentang AWS Directory Service sumber daya, seperti direktori atau snapshot. Perhatikan bahwa karakter wildcard (*) dalam Resource elemen menunjukkan bahwa tindakan diizinkan untuk semua AWS Directory Service sumber daya yang dimiliki oleh akun.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ds:Describe*", "Resource":"*" } ] }

Contoh 2: Mengizinkan pengguna untuk membuat direktori

Kebijakan izin berikut memberikan izin untuk memungkinkan pengguna untuk membuat direktori dan semua sumber daya terkait lainnya, seperti snapshot dan trust. Untuk melakukannya, izin untuk EC2 layanan Amazon tertentu juga diperlukan.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ "ds:Create*", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:CreateSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:DeleteSecurityGroup", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress" ], "Resource":"*" ] } ] }

Menggunakan tanda dengan kebijakan IAM

Anda dapat menerapkan izin tingkat sumber daya berbasis tag dalam kebijakan IAM yang Anda gunakan untuk sebagian besar tindakan API. AWS Directory Service Hal ini memberi Anda kontrol yang lebih baik atas sumber daya yang dapat dibuat, dimodifikasi, atau digunakan oleh pengguna. Anda menggunakan elemen Condition (juga disebut blok Condition) dengan kunci konteks syarat berikut dan nilai-nilai dalam kebijakan IAM untuk mengontrol akses pengguna (izin) berdasarkan tanda sumber daya:

  • Gunakan aws:ResourceTag/tag-key: tag-value untuk mengizinkan atau menolak tindakan pengguna pada sumber daya dengan tanda tertentu.

  • Gunakan aws:ResourceTag/tag-key: tag-value untuk mengharuskan penggunaan (atau tidak mengharuskan penggunaan) tanda tertentu saat membuat permintaan API untuk membuat atau memodifikasi sumber daya yang mengizinkan tanda.

  • Gunakan aws:TagKeys: [tag-key, …] untuk mengharuskan penggunaan (atau tidak mengharuskan penggunaan) serangkaian kunci tanda tertentu saat membuat permintaan API untuk membuat atau memodifikasi sumber daya yang mengizinkan tanda.

catatan

Kunci dan nilai konteks syarat dalam kebijakan IAM hanya berlaku untuk tindakan AWS Directory Service tersebut di mana pengidentifikasi untuk sumber daya yang dapat ditandai adalah parameter yang diperlukan.

Mengontrol akses menggunakan tanda di Panduan Pengguna IAM memiliki informasi tambahan tentang cara menggunakan tanda. Bagian Referensi kebijakan JSON IAM dari panduan tersebut menyajikan sintaks terperinci, deskripsi, dan contoh elemen, variabel, dan logika evaluasi kebijakan JSON di IAM.

Contoh kebijakan tanda berikut memungkinkan semua panggilan ds selama itu berisi pasangan nilai kunci tanda "fooKey":"fooValue".

{ "Version":"2012-10-17", "Statement":[ { "Sid":"VisualEditor0", "Effect":"Allow", "Action":[ "ds:*" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:ResourceTag/fooKey":"fooValue" } } }, { "Effect":"Allow", "Action":[ "ec2:*" ], "Resource":"*" } ] }

Contoh kebijakan sumber daya berikut memungkinkan semua panggilan ds selama sumber daya berisi ID direktori "d-1234567890".

{ "Version":"2012-10-17", "Statement":[ { "Sid":"VisualEditor0", "Effect":"Allow", "Action":[ "ds:*" ], "Resource":"arn:aws:ds:us-east-1:123456789012:directory/d-1234567890" }, { "Effect":"Allow", "Action":[ "ec2:*" ], "Resource":"*" } ] }

Untuk informasi selengkapnya ARNs, lihat Amazon Resource Names (ARNs) dan Ruang Nama AWS Layanan.

Daftar operasi AWS Directory Service API berikut mendukung izin tingkat sumber daya berbasis tag: