Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk AWS Directory Service
Topik ini memberikan contoh kebijakan berbasis identitas di mana administrator akun dapat melampirkan kebijakan izin ke identitas IAM (pengguna, grup, dan peran).
penting
Kami menyarankan Anda terlebih dahulu meninjau topik pengantar yang menjelaskan konsep dasar dan opsi yang tersedia bagi Anda untuk mengelola akses ke AWS Directory Service sumber daya Anda. Untuk informasi selengkapnya, lihat Ikhtisar mengelola izin akses ke sumber daya Anda AWS Directory Service.
Bagian dalam topik ini membahas hal berikut:
Berikut adalah contoh kebijakan izin.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowDsEc2IamGetRole", "Effect": "Allow", "Action": [ "ds:CreateDirectory", "ec2:RevokeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:CreateSecurityGroup", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:DescribeSubnets", "iam:GetRole" ], "Resource": "*" }, { "Sid": "WarningAllowsCreatingRolesWithDirSvcPrefix", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::111122223333:role/DirSvc*" }, { "Sid": "AllowPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "cloudwatch.amazonaws.com" } } } ] }
Tiga pernyataan dalam kebijakan tersebut memberikan izin sebagai berikut:
-
Pernyataan pertama memberikan izin untuk membuat AWS Directory Service direktori. Karena AWS Directory Service tidak mendukung izin di tingkat sumber daya, kebijakan menetapkan karakter wildcard (*) sebagai nilainya.
Resource
-
Pernyataan kedua memberikan izin untuk mengakses tindakan IAM, sehingga AWS Directory Service dapat membaca dan membuat peran IAM atas nama Anda. Karakter wildcard (*) di akhir nilai
Resource
berarti bahwa pernyataan itu memungkinkan izin untuk tindakan IAM di setiap IAM role. Untuk membatasi izin ini ke peran tertentu, ganti karakter wildcard (*) di ARN sumber daya dengan nama peran tertentu. Untuk informasi selengkapnya, lihat Tindakan IAM. -
Pernyataan ketiga memberikan izin ke kumpulan sumber daya tertentu di Amazon EC2 yang diperlukan untuk memungkinkan AWS Directory Service membuat, mengonfigurasi, dan menghancurkan direktorinya. Karakter wildcard (*) di akhir
Resource
nilai berarti bahwa pernyataan tersebut mengizinkan izin untuk EC2 tindakan pada EC2 sumber daya atau subsumber daya apa pun. Untuk membatasi izin ini ke peran tertentu, ganti karakter wildcard (*) di ARN sumber daya dengan sumber daya atau subsumber daya tertentu. Untuk informasi selengkapnya, lihat EC2 Tindakan Amazon.
Anda tidak melihat Principal
elemen dalam kebijakan, karena dalam kebijakan berbasis identitas Anda tidak menentukan kepala sekolah yang mendapatkan izin. Saat Anda melampirkan kebijakan ke pengguna, pengguna adalah prinsipal implisit. Saat Anda melampirkan kebijakan izin ke peran IAM, prinsipal yang diidentifikasi dalam kebijakan kepercayaan peran akan mendapatkan izin
Untuk tabel yang menunjukkan semua tindakan AWS Directory Service API dan sumber daya yang diterapkan, lihatAWS Directory Service Izin API: Referensi tindakan, sumber daya, dan kondisi.
Izin yang diperlukan untuk menggunakan konsol AWS Directory Service
Agar pengguna dapat bekerja dengan AWS Directory Service konsol, pengguna tersebut harus memiliki izin yang tercantum dalam kebijakan sebelumnya atau izin yang diberikan oleh peran Directory Service Full Access Role atau Directory Service Read Only, yang dijelaskan dalam. AWS kebijakan terkelola (standar) untuk AWS Directory Service
Jika Anda membuat kebijakan IAM yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya bagi pengguna dengan kebijakan IAM tersebut.
AWS kebijakan terkelola (standar) untuk AWS Directory Service
AWS menangani banyak kasus penggunaan umum dengan menyediakan kebijakan IAM yang telah ditentukan, atau dikelola, yang dibuat dan dikelola oleh. AWS Kebijakan terkelola memberikan izin yang diperlukan untuk kasus penggunaan umum, yang membantu Anda memutuskan izin apa yang Anda perlukan. Untuk informasi selengkapnya, lihat AWS kebijakan terkelola untuk AWS Directory Service.
Contoh kebijakan yang dikelola pelanggan
Di bagian ini, Anda dapat menemukan contoh kebijakan pengguna yang memberikan izin untuk berbagai AWS Directory Service tindakan.
catatan
Semua contoh menggunakan Wilayah Barat AS (Oregon) (us-west-2
) dan berisi akun fiktif. IDs
Contoh
Contoh 1: Izinkan pengguna melakukan tindakan Deskripsikan apa pun pada AWS Directory Service sumber daya apa pun
Kebijakan izin berikut memberikan izin kepada pengguna untuk menjalankan semua tindakan yang dimulai dengan Describe
. Tindakan ini menampilkan informasi tentang AWS Directory Service sumber daya, seperti direktori atau snapshot. Perhatikan bahwa karakter wildcard (*) dalam Resource
elemen menunjukkan bahwa tindakan diizinkan untuk semua AWS Directory Service sumber daya yang dimiliki oleh akun.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ds:Describe*", "Resource":"*" } ] }
Contoh 2: Mengizinkan pengguna untuk membuat direktori
Kebijakan izin berikut memberikan izin untuk memungkinkan pengguna untuk membuat direktori dan semua sumber daya terkait lainnya, seperti snapshot dan trust. Untuk melakukannya, izin untuk EC2 layanan Amazon tertentu juga diperlukan.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ "ds:Create*", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:CreateSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:DeleteSecurityGroup", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress" ], "Resource":"*" ] } ] }
Menggunakan tanda dengan kebijakan IAM
Anda dapat menerapkan izin tingkat sumber daya berbasis tag dalam kebijakan IAM yang Anda gunakan untuk sebagian besar tindakan API. AWS Directory Service Hal ini memberi Anda kontrol yang lebih baik atas sumber daya yang dapat dibuat, dimodifikasi, atau digunakan oleh pengguna. Anda menggunakan elemen Condition
(juga disebut blok Condition
) dengan kunci konteks syarat berikut dan nilai-nilai dalam kebijakan IAM untuk mengontrol akses pengguna (izin) berdasarkan tanda sumber daya:
-
Gunakan
aws
:ResourceTag
/tag-key
:tag-value
untuk mengizinkan atau menolak tindakan pengguna pada sumber daya dengan tanda tertentu. -
Gunakan
aws
:ResourceTag
/tag-key
:tag-value
untuk mengharuskan penggunaan (atau tidak mengharuskan penggunaan) tanda tertentu saat membuat permintaan API untuk membuat atau memodifikasi sumber daya yang mengizinkan tanda. -
Gunakan
aws
:TagKeys
: [tag-key
, …] untuk mengharuskan penggunaan (atau tidak mengharuskan penggunaan) serangkaian kunci tanda tertentu saat membuat permintaan API untuk membuat atau memodifikasi sumber daya yang mengizinkan tanda.
catatan
Kunci dan nilai konteks syarat dalam kebijakan IAM hanya berlaku untuk tindakan AWS Directory Service tersebut di mana pengidentifikasi untuk sumber daya yang dapat ditandai adalah parameter yang diperlukan.
Mengontrol akses menggunakan tanda di Panduan Pengguna IAM memiliki informasi tambahan tentang cara menggunakan tanda. Bagian Referensi kebijakan JSON IAM dari panduan tersebut menyajikan sintaks terperinci, deskripsi, dan contoh elemen, variabel, dan logika evaluasi kebijakan JSON di IAM.
Contoh kebijakan tanda berikut memungkinkan semua panggilan ds
selama itu berisi pasangan nilai kunci tanda "fooKey
":"fooValue
".
{ "Version":"2012-10-17", "Statement":[ { "Sid":"VisualEditor0", "Effect":"Allow", "Action":[ "ds:*" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:ResourceTag/fooKey":"fooValue" } } }, { "Effect":"Allow", "Action":[ "ec2:*" ], "Resource":"*" } ] }
Contoh kebijakan sumber daya berikut memungkinkan semua panggilan ds
selama sumber daya berisi ID direktori "d-1234567890
".
{ "Version":"2012-10-17", "Statement":[ { "Sid":"VisualEditor0", "Effect":"Allow", "Action":[ "ds:*" ], "Resource":"arn:aws:ds:us-east-1:123456789012:directory/d-1234567890" }, { "Effect":"Allow", "Action":[ "ec2:*" ], "Resource":"*" } ] }
Untuk informasi selengkapnya ARNs, lihat Amazon Resource Names (ARNs) dan Ruang Nama AWS Layanan.
Daftar operasi AWS Directory Service API berikut mendukung izin tingkat sumber daya berbasis tag: