AWS Directory Service risorse e operazioni Informazioni sulla proprietà delle risorse Gestione dell'accesso alle risorse Specifica degli elementi delle policy: operazioni, effetti, risorse ed entità Specifica delle condizioni in una policy

Panoramica della gestione delle autorizzazioni di accesso alle risorse AWS Directory Service

Ogni AWS risorsa è di proprietà di un AWS account. Di conseguenza, le autorizzazioni per creare o accedere alle risorse sono regolate da politiche di autorizzazione. Tuttavia, un amministratore di account, ovvero un utente con autorizzazioni di amministratore, può assegnare autorizzazioni alle risorse. Hanno anche la possibilità di associare criteri di autorizzazione alle IAM identità, come utenti, gruppi e ruoli, e alcuni servizi, ad esempio supportano AWS Lambda anche l'associazione di politiche di autorizzazione alle risorse.

Nota

Per informazioni sul ruolo di amministratore dell'account, consulta le IAM best practice nella Guida per l'utente. IAM

Argomenti

AWS Directory Service risorse e operazioni
Informazioni sulla proprietà delle risorse
Gestione dell'accesso alle risorse
Specifica degli elementi delle policy: operazioni, effetti, risorse ed entità
Specifica delle condizioni in una policy

AWS Directory Service risorse e operazioni

In AWS Directory Service, la risorsa principale è una directory. Poiché AWS Directory Service supporta le risorse relative agli snapshot delle directory, è possibile creare istantanee solo nel contesto di una directory esistente. Questa istantanea viene definita sottorisorsa.

A queste risorse sono associati Amazon Resource Names (ARNs) univoci, come illustrato nella tabella seguente.

Tipo di risorsa	ARNFormato
Directory	`arn:aws:ds:region:account-id:directory/external-directory-id`
Snapshot	`arn:aws:ds:region:account-id:snapshot/external-snapshot-id`

AWS Directory Service include due namespace di servizio in base al tipo di operazioni eseguite.

Lo spazio dei nomi del ds servizio fornisce una serie di operazioni per lavorare con le risorse appropriate. Per un elenco delle operazioni disponibili, consulta la sezione relativa alle operazioni del servizio di directory.
Lo spazio dei nomi del ds-data servizio fornisce una serie di operazioni agli oggetti di Active Directory. Per un elenco delle operazioni disponibili, vedere Directory Service Data API Reference.

Informazioni sulla proprietà delle risorse

Il proprietario della risorsa è l' AWS account che ha creato una risorsa. In altre parole, il proprietario della risorsa è l' AWS account dell'entità principale (l'account root, un IAM utente o un IAM ruolo) che autentica la richiesta che crea la risorsa. Negli esempi seguenti viene illustrato il funzionamento:

Se utilizzi le credenziali dell'account root del tuo AWS account per creare una AWS Directory Service risorsa, ad esempio una directory, l' AWS account è il proprietario di tale risorsa.
Se crei un IAM utente nel tuo AWS account e concedi le autorizzazioni per creare AWS Directory Service risorse a quell'utente, l'utente può anche creare AWS Directory Service risorse. Tuttavia, il tuo AWS account, a cui appartiene l'utente, possiede le risorse.
Se crei un IAM ruolo nel tuo AWS account con le autorizzazioni per creare AWS Directory Service risorse, chiunque possa assumere il ruolo può creare AWS Directory Service risorse. Il tuo AWS account, a cui appartiene il ruolo, possiede le AWS Directory Service risorse.

Gestione dell'accesso alle risorse

La policy delle autorizzazioni descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.

Nota

In questa sezione viene illustrato l'utilizzo IAM nel contesto di AWS Directory Service. Non fornisce informazioni dettagliate sul IAM servizio. Per la IAM documentazione completa, vedi Cos'èIAM? nella Guida IAM per l'utente. Per informazioni sulla sintassi e le descrizioni delle IAM politiche, vedere il riferimento alle IAM JSON politiche nella Guida per l'IAMutente.

Le politiche associate a un'IAMidentità sono denominate politiche basate sull'identità (IAMpolitiche) e le politiche allegate a una risorsa sono denominate politiche basate sulle risorse. AWS Directory Service supporta solo politiche (politiche) basate sull'identità. IAM

Argomenti

Politiche basate sull'identità (politiche) IAM
Policy basate su risorse

Politiche basate sull'identità (politiche) IAM

È possibile allegare politiche alle identità. IAM Ad esempio, puoi eseguire le operazioni seguenti:

Allega una politica di autorizzazioni a un utente o a un gruppo del tuo account: un amministratore dell'account può utilizzare una politica di autorizzazioni associata a un particolare utente per concedere a quell'utente le autorizzazioni per creare una AWS Directory Service risorsa, ad esempio una nuova directory.
Associare una politica di autorizzazioni a un ruolo (concedere autorizzazioni per più account): puoi allegare una politica di autorizzazioni basata sull'identità a un ruolo per concedere autorizzazioni per più account. IAM

Per ulteriori informazioni sull'utilizzo per delegare le autorizzazioni, consulta Gestione degli IAM accessi nella Guida per l'utente. IAM

La seguente policy di autorizzazione concede a un utente le autorizzazioni per eseguire tutte le operazioni che iniziano con Describe. Queste azioni mostrano informazioni su una AWS Directory Service risorsa, ad esempio una directory o un'istantanea. Nota che il carattere jolly (*) nell'Resourceelemento indica che le azioni sono consentite per tutte le AWS Directory Service risorse di proprietà dell'account.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ds:Describe*",
         "Resource":"*"
      }
   ]
}

Per ulteriori informazioni sull'utilizzo di politiche basate sull'identità con, vedere. AWS Directory ServiceUtilizzo di politiche (politiche) basate sull'identità per IAM AWS Directory Service Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta Identità (utenti, gruppi e ruoli) nella Guida per l'utente. IAM

Policy basate su risorse

Anche altri servizi, ad esempio Amazon S3, supportano policy di autorizzazioni basate su risorse. Ad esempio, puoi allegare una policy a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket. AWS Directory Service non supporta politiche basate sulle risorse.

Specifica degli elementi delle policy: operazioni, effetti, risorse ed entità

Per ogni AWS Directory Service risorsa, il servizio definisce una serie di operazioni. API Per ulteriori informazioni, consulta AWS Directory Service risorse e operazioni. Per un elenco delle API operazioni disponibili, vedere Directory Service Actions.

Per concedere le autorizzazioni per queste API operazioni, AWS Directory Service definisce una serie di azioni che è possibile specificare in una politica. Tieni presente che l'esecuzione di un'APIoperazione può richiedere autorizzazioni per più di un'azione.

Di seguito sono elencati gli elementi di base di una policy:

Risorsa: in una policy, utilizzi un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy. Per AWS Directory Service le risorse, usi sempre il carattere jolly (*) nelle IAM politiche. Per ulteriori informazioni, consulta AWS Directory Service risorse e operazioni.
Operazione: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Ad esempio, l'autorizzazione ds:DescribeDirectories concede all'utente le autorizzazioni per eseguire l'operazione AWS Directory Service DescribeDirectories.
Effetto: specifica l'effetto quando l'utente richiede l'operazione specifica. Può trattarsi di un'autorizzazione o di un rifiuto. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.
Principio: nelle politiche (IAMpolitiche) basate sull'identità, l'utente a cui è associata la politica è il principale implicito. Per le politiche basate sulle risorse, si specifica l'utente, l'account, il servizio o l'altra entità a cui si desidera ricevere le autorizzazioni (si applica solo alle politiche basate sulle risorse). AWS Directory Service non supporta politiche basate sulle risorse.

Per ulteriori informazioni sulla sintassi e sulle descrizioni delle IAM politiche, consulta il riferimento alle IAM JSON politiche nella Guida per l'utente. IAM

Per una tabella che mostra tutte le AWS Directory Service API azioni e le risorse a cui si applicano, vedereAWS Directory Service APIautorizzazioni: riferimento alle azioni, alle risorse e alle condizioni.

Specifica delle condizioni in una policy

Quando concedi le autorizzazioni, puoi utilizzare la sintassi della policy di accesso per specificare le condizioni in base a cui la policy deve essere applicata. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni sulla specificazione delle condizioni in un linguaggio di policy, vedere Condition nella Guida per l'IAMutente.

Per esprimere le condizioni è necessario utilizzare chiavi di condizione predefinite. Non esistono chiavi di condizione specifiche per AWS Directory Service. Tuttavia, esistono chiavi di AWS condizione che è possibile utilizzare a seconda delle esigenze. Per un elenco completo delle AWS chiavi, consulta la sezione Chiavi di condizione globali disponibili nella Guida IAM per l'utente.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestione dell'identità e degli accessi

AWS politiche gestite per AWS Directory Service