Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di politiche basate sull'identità (politiche IAM) per Servizio di directory
In questo argomento vengono forniti esempi di policy basate su identità in cui un amministratore account può collegare policy di autorizzazione a identità IAM ovvero utenti, gruppi e ruoli. Questi esempi illustrano le politiche IAM in. Servizio di directoryÈ necessario modificare e creare le proprie politiche in base alle proprie esigenze e al proprio ambiente.
Importante
Si consiglia di esaminare innanzitutto gli argomenti introduttivi che spiegano i concetti e le opzioni di base disponibili per gestire l'accesso alle risorse. Servizio di directory Per ulteriori informazioni, consulta Panoramica sulla gestione delle autorizzazioni di accesso ai tuoi Servizio di directory risorse.
In questa sezione vengono trattati gli argomenti seguenti:
Di seguito viene illustrato un esempio di policy di autorizzazione.
Le tre istruzioni contenute nella politica concedono le autorizzazioni seguenti:
-
La prima istruzione concede il permesso di creare una Servizio di directory directory. Poiché Servizio di directory non supporta le autorizzazioni a livello di risorsa, la policy specifica un carattere jolly (*) come valore.
Resource -
La seconda istruzione concede le autorizzazioni per accedere alle azioni IAM, in modo che Servizio di directory possano leggere e creare ruoli IAM per tuo conto. Il carattere jolly (*) alla fine del valore
Resourceindica che l'istruzione concede l'autorizzazione alle operazioni IAM su qualsiasi ruolo IAM. Per limitare questa autorizzazione a un determinato ruolo, sostituire il carattere jolly (*) nel nome ARN della risorsa con il nome del ruolo specifico. Per ulteriori informazioni, consulta la sezione relativa alle operazioni IAM. -
La terza istruzione concede le autorizzazioni a un insieme specifico di risorse in Amazon EC2 necessarie per Servizio di directory consentire la creazione, la configurazione e la distruzione delle relative directory. Sostituisci il ruolo ARN con il tuo ruolo. Per ulteriori informazioni, consulta Amazon EC2 Actions.
Non vedi alcun Principal elemento nella policy, perché in una policy basata sull'identità non si specifica il principale che ottiene l'autorizzazione. Quando alleghi la policy a un utente, l'utente è il principale implicito. Quando si collega una policy di autorizzazione a un ruolo IAM;, l'entità identificata nella policy di attendibilità del ruolo ottiene le autorizzazioni.
Per una tabella che mostra tutte le azioni Servizio di directory API e le risorse a cui si applicano, consulta. Servizio di directory Autorizzazioni API: riferimento ad azioni, risorse e condizioni
Autorizzazioni necessarie per utilizzare il Servizio di directory console
Affinché un utente possa utilizzare la Servizio di directory console, deve disporre delle autorizzazioni elencate nella politica precedente o delle autorizzazioni concesse dal ruolo Directory Service Full Access Role o Directory Service Read Only, descritto in. AWS politiche gestite (predefinite) per Servizio di directory
Se decidi di creare una policy IAM più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per gli utenti con tale policy IAM.
AWS politiche gestite (predefinite) per Servizio di directory
AWS affronta molti casi d'uso comuni fornendo policy IAM predefinite o gestite create e amministrate da. AWS Le policy gestite concedono le autorizzazioni necessarie per i casi d'uso comuni, il che aiuta a decidere quali autorizzazioni sono necessarie. Per ulteriori informazioni, consulta AWS politiche gestite per Servizio di directory AWS.
Esempi di policy gestite dal cliente
In questa sezione, puoi trovare esempi di politiche utente che concedono autorizzazioni per varie azioni. Servizio di directory
Nota
Tutti gli esempi utilizzano la regione Stati Uniti occidentali (Oregon) (us-west-2) e contengono ID account fittizi.
Esempi
Esempio 1: consenti a un utente di eseguire qualsiasi azione Descrivi su qualsiasi Servizio di directory risorsa
La seguente politica di autorizzazioni concede a un utente le autorizzazioni per eseguire tutte le azioni che iniziano con Describe in un AWS Microsoft AD gestito con l'ID d-1234567890 di directory in. Account AWS
111122223333 Queste operazioni riportano informazioni su una risorsa Servizio di directory
, ad esempio una directory o una snapshot. Assicurati di modificare il Regione AWS
numero di account in base alla regione che desideri utilizzare e al tuo numero di account.
Esempio 2: consentire a un utente di creare una directory
La seguente policy di autorizzazione concede autorizzazioni per permettere all'utente di creare una directory e tutte le altre risorse correlate, quali snapshot e trust. Per farlo, sono necessarie anche le autorizzazioni per determinati servizi Amazon EC2.
Utilizzo dei tag con policy IAM
Puoi applicare autorizzazioni a livello di risorsa basate su tag nelle policy IAM che utilizzi per la maggior parte delle azioni API. Servizio di directory In questo modo è possibile controllare meglio le risorse che un utente può creare, modificare o utilizzare. Puoi utilizzare l'elemento Condition (denominato anche blocco Condition) con i seguenti valori e chiavi di contesto di condizione in una policy IAM per controllare l'accesso dell'utente (autorizzazione) in base ai tag della risorsa:
-
Utilizza
aws:ResourceTag/tag-key:tag-valueper concedere o negare agli utenti operazioni su risorse con specifici tag. -
Utilizza
aws:ResourceTag/tag-key:tag-valueper richiedere che un tag specifico venga utilizzato (o non utilizzato) durante la creazione di una richiesta API per creare o modificare una risorsa che abilita i tag. -
Utilizza
aws:TagKeys: [tag-key, ...] per richiedere che un set di tag specifico venga utilizzato (o non utilizzato) durante la creazione di una richiesta API per creare o modificare una risorsa che abilita i tag.
Nota
Le chiavi di contesto della condizione e i valori all'interno di una policy IAM si applicano solo alle operazioni Servizio di directory in cui un identificatore per una risorsa in grado di essere taggata è un parametro obbligatorio.
Controllo dell'accesso mediante i tag nella Guida per l'utente di IAM contiene ulteriori informazioni sull'utilizzo dei tag. La sezione relativa alla documentazione di riferimento sulle policy JSON IAM della guida ha una sintassi dettagliata, descrizioni ed esempi di elementi, variabili e logica di valutazione delle policy JSON in IAM.
La seguente politica sui tag consente di creare una Servizio di directory directory purché vengano utilizzati i seguenti tag:
-
Ambiente: produzione
-
Proprietario: Infrastructure Team
-
Centro di costo: 1234
La seguente politica sui tag consente l'aggiornamento e l'eliminazione Servizio di directory delle directory purché vengano utilizzati i seguenti tag:
-
Progetto: Atlas
-
Dipartimento: Ingegneria
-
Ambiente: messa in scena
La seguente politica di tag nega l'etichettatura delle risorse per i Servizio di directory casi in cui la risorsa ha uno dei seguenti tag:
-
Produzione
-
Sicurezza
-
Riservato
Per ulteriori informazioni sugli ARN, consulta Amazon Resource Names (ARNs) e AWS Service Namespaces.
Il seguente elenco di operazioni Servizio di directory API supporta le autorizzazioni a livello di risorsa basate su tag: