Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Panoramica della gestione delle autorizzazioni di accesso alle risorse AWS Directory Service
Ogni AWS risorsa è di proprietà di un AWS account. Di conseguenza, le autorizzazioni per creare o accedere alle risorse sono regolate da politiche di autorizzazione. Tuttavia, un amministratore di account, ovvero un utente con autorizzazioni di amministratore, può assegnare autorizzazioni alle risorse. Hanno anche la possibilità di associare criteri di autorizzazione alle IAM identità, come utenti, gruppi e ruoli, e alcuni servizi, ad esempio supportano AWS Lambda anche l'associazione di politiche di autorizzazione alle risorse.
Nota
Per informazioni sul ruolo di amministratore dell'account, consulta le IAM best practice nella Guida per l'utente. IAM
Argomenti
AWS Directory Service risorse e operazioni
In AWS Directory Service, la risorsa principale è una directory. Poiché AWS Directory Service supporta le risorse relative agli snapshot delle directory, è possibile creare istantanee solo nel contesto di una directory esistente. Questa istantanea viene definita sottorisorsa.
A queste risorse sono associati Amazon Resource Names (ARNs) univoci, come illustrato nella tabella seguente.
Tipo di risorsa | ARNFormato |
---|---|
Directory |
|
Snapshot |
|
AWS Directory Service include due namespace di servizio in base al tipo di operazioni eseguite.
-
Lo spazio dei nomi del
ds
servizio fornisce una serie di operazioni per lavorare con le risorse appropriate. Per un elenco delle operazioni disponibili, consulta la sezione relativa alle operazioni del servizio di directory. -
Lo spazio dei nomi del
ds-data
servizio fornisce una serie di operazioni agli oggetti di Active Directory. Per un elenco delle operazioni disponibili, vedere Directory Service Data API Reference.
Informazioni sulla proprietà delle risorse
Il proprietario della risorsa è l' AWS account che ha creato una risorsa. In altre parole, il proprietario della risorsa è l' AWS account dell'entità principale (l'account root, un IAM utente o un IAM ruolo) che autentica la richiesta che crea la risorsa. Negli esempi seguenti viene illustrato il funzionamento:
-
Se utilizzi le credenziali dell'account root del tuo AWS account per creare una AWS Directory Service risorsa, ad esempio una directory, l' AWS account è il proprietario di tale risorsa.
-
Se crei un IAM utente nel tuo AWS account e concedi le autorizzazioni per creare AWS Directory Service risorse a quell'utente, l'utente può anche creare AWS Directory Service risorse. Tuttavia, il tuo AWS account, a cui appartiene l'utente, possiede le risorse.
-
Se crei un IAM ruolo nel tuo AWS account con le autorizzazioni per creare AWS Directory Service risorse, chiunque possa assumere il ruolo può creare AWS Directory Service risorse. Il tuo AWS account, a cui appartiene il ruolo, possiede le AWS Directory Service risorse.
Gestione dell'accesso alle risorse
La policy delle autorizzazioni descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.
Nota
Questa sezione illustra l'utilizzo IAM nel contesto di AWS Directory Service. Non fornisce informazioni dettagliate sul servizio IAM. Per la IAM documentazione completa, vedi Cos'èIAM? nella Guida IAM per l'utente. Per informazioni sulla sintassi e le descrizioni delle IAM politiche, vedere il riferimento alle IAM JSON politiche nella Guida per l'IAMutente.
Le politiche associate a un'IAMidentità sono denominate politiche basate sull'identità (IAMpolitiche) e le politiche allegate a una risorsa sono denominate politiche basate sulle risorse. AWS Directory Service supporta solo politiche (politiche) basate sull'identità. IAM
Politiche basate sull'identità (politiche) IAM
Puoi collegare le policy alle identità IAM. Ad esempio, puoi eseguire le operazioni seguenti:
-
Associa una politica di autorizzazioni a un utente o a un gruppo del tuo account: un amministratore dell'account può utilizzare una politica di autorizzazioni associata a un particolare utente per concedere a quell'utente le autorizzazioni per creare una AWS Directory Service risorsa, ad esempio una nuova directory.
-
Collega una policy di autorizzazione a un ruolo (assegnazione di autorizzazioni tra account). Per concedere autorizzazioni multi-account, puoi collegare una policy di autorizzazione basata su identità a un ruolo IAM.
Per ulteriori informazioni sull'utilizzo per IAM delegare le autorizzazioni, consulta Gestione degli accessi nella Guida per l'utente. IAM
La seguente policy di autorizzazione concede a un utente le autorizzazioni per eseguire tutte le operazioni che iniziano con Describe
. Queste azioni mostrano informazioni su una AWS Directory Service risorsa, ad esempio una directory o un'istantanea. Nota che il carattere jolly (*) nell'Resource
elemento indica che le azioni sono consentite per tutte le AWS Directory Service risorse di proprietà dell'account.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ds:Describe*", "Resource":"*" } ] }
Per ulteriori informazioni sull'utilizzo di politiche basate sull'identità con, vedere. AWS Directory ServiceUtilizzo di politiche (politiche) basate sull'identità per IAM AWS Directory Service Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta Identità (utenti, gruppi e ruoli) nella Guida per l'utente. IAM
Policy basate su risorse
Anche altri servizi, ad esempio Amazon S3, supportano policy di autorizzazioni basate su risorse. Ad esempio, puoi allegare una policy a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket. AWS Directory Service non supporta politiche basate sulle risorse.
Specifica degli elementi delle policy: operazioni, effetti, risorse ed entità
Per ogni AWS Directory Service risorsa, il servizio definisce una serie di operazioni. API Per ulteriori informazioni, consulta AWS Directory Service risorse e operazioni. Per un elenco delle API operazioni disponibili, vedere Directory Service Actions.
Per concedere le autorizzazioni per queste API operazioni, AWS Directory Service definisce una serie di azioni che è possibile specificare in una politica. Tieni presente che l'esecuzione di un'APIoperazione può richiedere autorizzazioni per più di un'azione.
Di seguito sono elencati gli elementi di base di una policy:
-
Risorsa: in una policy, utilizzi un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy. Per AWS Directory Service le risorse, usi sempre il carattere jolly (*) nelle IAM politiche. Per ulteriori informazioni, consulta AWS Directory Service risorse e operazioni.
-
Operazione: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Ad esempio, l'autorizzazione
ds:DescribeDirectories
concede all'utente le autorizzazioni per eseguire l'operazione AWS Directory ServiceDescribeDirectories
. -
Effetto: specifica l'effetto quando l'utente richiede l'operazione specifica. Può trattarsi di un'autorizzazione o di un rifiuto. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.
-
Entità - nelle policy basate su identità (policy IAM), l'utente a cui la policy è collegata è l'entità implicita. Per le politiche basate sulle risorse, si specifica l'utente, l'account, il servizio o l'altra entità a cui si desidera ricevere le autorizzazioni (si applica solo alle politiche basate sulle risorse). AWS Directory Service non supporta politiche basate sulle risorse.
Per ulteriori informazioni sulla sintassi e sulle descrizioni delle IAM politiche, consulta il riferimento alle IAM JSON politiche nella Guida per l'utente. IAM
Per una tabella che mostra tutte le AWS Directory Service API azioni e le risorse a cui si applicano, vedereAWS Directory Service APIautorizzazioni: riferimento alle azioni, alle risorse e alle condizioni.
Specifica delle condizioni in una policy
Quando concedi le autorizzazioni, puoi utilizzare la sintassi della policy di accesso per specificare le condizioni in base a cui la policy deve essere applicata. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni sulla specificazione delle condizioni in un linguaggio di policy, vedere Condition nella Guida per l'IAMutente.
Per esprimere le condizioni è necessario utilizzare chiavi di condizione predefinite. Non esistono chiavi di condizione specifiche per AWS Directory Service. Tuttavia, esistono chiavi di AWS condizione che è possibile utilizzare a seconda delle esigenze. Per un elenco completo delle AWS chiavi, consulta la sezione Chiavi di condizione globali disponibili nella Guida IAM per l'utente.