Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo di politiche basate sull'identità (politiche IAM) per Directory Service
In questo argomento vengono forniti esempi di policy basate su identità in cui un amministratore account può collegare policy di autorizzazione a identità IAM ovvero utenti, gruppi e ruoli. Questi esempi illustrano le politiche IAM in. Directory ServiceÈ necessario modificare e creare le proprie politiche in base alle proprie esigenze e al proprio ambiente.
**Importante**
Si consiglia di esaminare innanzitutto gli argomenti introduttivi che spiegano i concetti e le opzioni di base disponibili per gestire l'accesso alle risorse. Directory Service Per ulteriori informazioni, consulta [Panoramica della gestione delle autorizzazioni di accesso alle risorse Directory Service](IAM_Auth_Access_Overview.md).
In questa sezione vengono trattati gli argomenti seguenti:
+ [Autorizzazioni necessarie per utilizzare la console Directory Service](#UsingWithDS_IAM_RequiredPermissions_Console)
+ [AWS politiche gestite (predefinite) per Directory Service](#IAM_Auth_Access_ManagedPolicies)
+ [Esempi di policy gestite dal cliente](#IAMPolicyExamples_DS)
+ [Utilizzo dei tag con policy IAM](#using_tags_with_iam_policies)
Di seguito viene illustrato un esempio di policy di autorizzazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDsEc2IamGetRole",
"Effect": "Allow",
"Action": [
"ds:CreateDirectory",
"ec2:RevokeSecurityGroupIngress",
"ec2:CreateNetworkInterface",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:CreateSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DescribeSubnets",
"iam:GetRole"
],
"Resource": "*"
},
{
"Sid": "WarningAllowsCreatingRolesWithDirSvcPrefix",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::111122223333:role/DirSvc*"
},
{
"Sid": "AllowPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/Your-Role-Name",
"Condition": {
"StringEquals": {
"iam:PassedToService": "cloudwatch.amazonaws.com"
}
}
}
]
}
```
------
Le tre istruzioni contenute nella politica concedono le autorizzazioni seguenti:
+ La prima istruzione concede il permesso di creare una Directory Service directory. Poiché Directory Service non supporta le autorizzazioni a livello di risorsa, la policy specifica un carattere jolly (\$1) come valore. `Resource`
+ La seconda istruzione concede le autorizzazioni per accedere alle azioni IAM, in modo che Directory Service possano leggere e creare ruoli IAM per tuo conto. Il carattere jolly (\$1) alla fine del valore `Resource` indica che l'istruzione concede l'autorizzazione alle operazioni IAM su qualsiasi ruolo IAM. Per limitare questa autorizzazione a un determinato ruolo, sostituire il carattere jolly (\$1) nel nome ARN della risorsa con il nome del ruolo specifico. Per ulteriori informazioni, consulta la sezione relativa alle [operazioni IAM](https://docs.aws.amazon.com/IAM/latest/APIReference/API_Operations.html).
+ La terza istruzione concede le autorizzazioni a un insieme specifico di risorse in Amazon EC2 necessarie per Directory Service consentire la creazione, la configurazione e la distruzione delle relative directory. Sostituisci il ruolo ARN con il tuo ruolo. Per ulteriori informazioni, consulta [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_Operations.html) Actions.
Non vedi alcun `Principal` elemento nella policy, perché in una policy basata sull'identità non si specifica il principale che ottiene l'autorizzazione. Quando alleghi la policy a un utente, l'utente è il principale implicito. Quando si collega una policy di autorizzazione a un ruolo IAM;, l'entità identificata nella policy di attendibilità del ruolo ottiene le autorizzazioni.
Per una tabella che mostra tutte le azioni Directory Service API e le risorse a cui si applicano, consulta. [Directory Service Autorizzazioni API: riferimento alle azioni, alle risorse e alle condizioni](UsingWithDS_IAM_ResourcePermissions.md)
## Autorizzazioni necessarie per utilizzare la console Directory Service
Affinché un utente possa utilizzare la Directory Service console, deve disporre delle autorizzazioni elencate nella politica precedente o delle autorizzazioni concesse dal ruolo Directory Service Full Access Role o Directory Service Read Only, descritto in. [AWS politiche gestite (predefinite) per Directory Service](#IAM_Auth_Access_ManagedPolicies)
Se decidi di creare una policy IAM più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per gli utenti con tale policy IAM.
## AWS politiche gestite (predefinite) per Directory Service
AWS affronta molti casi d'uso comuni fornendo policy IAM predefinite o gestite create e amministrate da. AWS Le policy gestite concedono le autorizzazioni necessarie per i casi d'uso comuni, il che aiuta a decidere quali autorizzazioni sono necessarie. Per ulteriori informazioni, consulta [AWS politiche gestite per AWS Directory Service](security-iam-awsmanpol.md).
## Esempi di policy gestite dal cliente
In questa sezione, puoi trovare esempi di politiche utente che concedono autorizzazioni per varie azioni. Directory Service
**Nota**
Tutti gli esempi utilizzano la regione degli Stati Uniti occidentali (Oregon) (`us-west-2`) e contengono account fittizi. IDs
**Topics**
+ [Esempio 1: consentire a un utente di eseguire qualsiasi azione Descrivi su qualsiasi risorsa Directory Service](#IAMPolicyExamples_DS_perform_describe_action)
+ [Esempio 2: consentire a un utente di creare una directory](#IAMPolicyExamples_DS_create_directory)
### Esempio 1: consentire a un utente di eseguire qualsiasi azione Descrivi su qualsiasi risorsa Directory Service
La seguente politica di autorizzazioni concede a un utente le autorizzazioni per eseguire tutte le azioni che iniziano con `Describe` in un AWS Microsoft AD gestito con l'ID `d-1234567890` di directory in. Account AWS `111122223333` Queste operazioni riportano informazioni su una risorsa Directory Service , ad esempio una directory o una snapshot. Assicurati di modificare il Regione AWS numero di account in base alla regione che desideri utilizzare e al tuo numero di account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ds:Describe*",
"Resource": "arn:aws:ds:us-west-2:111122223333:directory/d-1234567890"
}
]
}
```
------
### Esempio 2: consentire a un utente di creare una directory
La seguente policy di autorizzazione concede autorizzazioni per permettere all'utente di creare una directory e tutte le altre risorse correlate, quali snapshot e trust. Per farlo, sono necessarie anche le autorizzazioni per determinati servizi Amazon EC2.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:CreateTags"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ds:CreateDirectory",
"ds:DescribeDirectories"
],
"Resource": "arn:aws:ds:*:111122223333:*"
}
]
}
```
------
## Utilizzo dei tag con policy IAM
Puoi applicare autorizzazioni a livello di risorsa basate su tag nelle policy IAM che utilizzi per la maggior parte delle azioni API. Directory Service In questo modo è possibile controllare meglio le risorse che un utente può creare, modificare o utilizzare. Puoi utilizzare l'elemento `Condition` (denominato anche blocco `Condition`) con i seguenti valori e chiavi di contesto di condizione in una policy IAM per controllare l'accesso dell'utente (autorizzazione) in base ai tag della risorsa:
+ Utilizza `aws`:`ResourceTag`/**tag-key**: **tag-value** per concedere o negare agli utenti operazioni su risorse con specifici tag.
+ Utilizza `aws`:`ResourceTag`/**tag-key**: **tag-value** per richiedere che un tag specifico venga utilizzato (o non utilizzato) durante la creazione di una richiesta API per creare o modificare una risorsa che abilita i tag.
+ Utilizza `aws`:`TagKeys`: [**tag-key**, ...] per richiedere che un set di tag specifico venga utilizzato (o non utilizzato) durante la creazione di una richiesta API per creare o modificare una risorsa che abilita i tag.
**Nota**
Le chiavi di contesto della condizione e i valori all'interno di una policy IAM si applicano solo alle operazioni Directory Service in cui un identificatore per una risorsa in grado di essere taggata è un parametro obbligatorio.
[Controllo dell'accesso mediante i tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) nella *Guida per l'utente di IAM* contiene ulteriori informazioni sull'utilizzo dei tag. La sezione relativa alla [documentazione di riferimento sulle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) della guida ha una sintassi dettagliata, descrizioni ed esempi di elementi, variabili e logica di valutazione delle policy JSON in IAM.
La seguente politica sui tag consente di creare una Directory Service directory purché vengano utilizzati i seguenti tag:
+ Ambiente: produzione
+ Proprietario: Infrastructure Team
+ Centro di costo: 1234
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:CreateDirectory"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Environment": "Production",
"aws:RequestTag/Owner": "Infrastructure-Team",
"aws:RequestTag/CostCenter": "12345"
}
}
}
]
}
```
------
La seguente politica sui tag consente l'aggiornamento e l'eliminazione Directory Service delle directory purché vengano utilizzati i seguenti tag:
+ Progetto: Atlas
+ Dipartimento: Ingegneria
+ Ambiente: messa in scena
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:DeleteDirectory",
"ds:UpdateDirectory"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "Atlas",
"aws:ResourceTag/Department": "Engineering",
"aws:ResourceTag/Environment": "Staging"
}
}
}
]
}
```
------
La seguente politica di tag nega l'etichettatura delle risorse per i Directory Service casi in cui la risorsa ha uno dei seguenti tag:
+ Produzione
+ Sicurezza
+ Riservato
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ds:AddTagsToResource"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": ["Production", "Security", "Confidential"]
}
}
}
]
}
```
------
Per ulteriori informazioni ARNs, consulta [Amazon Resource Names (ARNs) e AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Il seguente elenco di operazioni Directory Service API supporta le autorizzazioni a livello di risorsa basate su tag:
+ [AcceptSharedDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_AcceptSharedDirectory.html)
+ [AddIpRoutes](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_AddIpRoutes.html)
+ [AddTagsToResource](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_AddTagsToResource.html)
+ [CancelSchemaExtension](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CancelSchemaExtension.html)
+ [CreateAlias](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateAlias.html)
+ [CreateComputer](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateComputer.html)
+ [CreateConditionalForwarder](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateConditionalForwarder.html)
+ [CreateSnapshot](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateSnapshot.html)
+ [CreateLogSubscription](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateLogSubscription.html)
+ [CreateTrust](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateTrust.html)
+ [DeleteConditionalForwarder](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteConditionalForwarder.html)
+ [DeleteDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteDirectory.html)
+ [DeleteLogSubscription](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteLogSubscription.html)
+ [DeleteSnapshot](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteSnapshot.html)
+ [DeleteTrust](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteTrust.html)
+ [DeregisterEventTopic](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeregisterEventTopic.html)
+ [DescribeConditionalForwarders](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeConditionalForwarders.html)
+ [DescribeDomainControllers](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeDomainControllers.html)
+ [DescribeEventTopics](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeEventTopics.html)
+ [DescribeSharedDirectories](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeSharedDirectories.html)
+ [DescribeSnapshots](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeSnapshots.html)
+ [DescribeTrusts](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeTrusts.html)
+ [DisableRadius](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DisableRadius.html)
+ [DisableSso](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DisableSso.html)
+ [EnableRadius](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_EnableRadius.html)
+ [EnableSso](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_EnableSso.html)
+ [GetSnapshotLimits](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_GetSnapshotLimits.html)
+ [ListIpRoutes](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ListIpRoutes.html)
+ [ListSchemaExtensions](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ListSchemaExtensions.html)
+ [ListTagsForResource](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ListTagsForResource.html)
+ [RegisterEventTopic](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RegisterEventTopic.html)
+ [RejectSharedDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RejectSharedDirectory.html)
+ [RemoveIpRoutes](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RemoveIpRoutes.html)
+ [RemoveTagsFromResource](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RemoveTagsFromResource.html)
+ [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)
+ [RestoreFromSnapshot](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RestoreFromSnapshot.html)
+ [ShareDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ShareDirectory.html)
+ [StartSchemaExtension](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_StartSchemaExtension.html)
+ [UnshareDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UnshareDirectory.html)
+ [UpdateConditionalForwarder](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateConditionalForwarder.html)
+ [UpdateNumberOfDomainControllers](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateNumberOfDomainControllers.html)
+ [UpdateRadius](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateRadius.html)
+ [UpdateTrust](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateTrust.html)
+ [VerifyTrust](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_VerifyTrust.html)