Panoramica della gestione delle autorizzazioni di accesso alle risorse AWS Directory Service - AWS Directory Service
AWS Directory Service risorse e operazioniInformazioni sulla proprietà delle risorseGestione dell'accesso alle risorse Specifica degli elementi delle policy: operazioni, effetti, risorse ed entitàSpecifica delle condizioni in una policy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Panoramica della gestione delle autorizzazioni di accesso alle risorse AWS Directory Service

Ogni AWS risorsa è di proprietà di un AWS account. Di conseguenza, le autorizzazioni per creare o accedere alle risorse sono regolate da politiche di autorizzazione. Tuttavia, un amministratore di account, ovvero un utente con autorizzazioni di amministratore, può assegnare autorizzazioni alle risorse. Hanno anche la possibilità di allegare politiche di autorizzazione alle identità IAM, come utenti, gruppi e ruoli, e alcuni servizi, ad esempio supportano AWS Lambda anche l'associazione di politiche di autorizzazione alle risorse.

Nota

Per informazioni sul ruolo di amministratore dell'account, consulta le best practice di IAM nella IAM User Guide.

AWS Directory Service risorse e operazioni

In AWS Directory Service, la risorsa principale è una directory. Poiché AWS Directory Service supporta le risorse relative agli snapshot delle directory, è possibile creare istantanee solo nel contesto di una directory esistente. Questa istantanea viene definita sottorisorsa.

A queste risorse sono associati Amazon Resource Names (ARNs) univoci, come illustrato nella tabella seguente.

Tipo di risorsa Formato ARN

Directory

arn:aws:ds:region:account-id:directory/external-directory-id

Snapshot

arn:aws:ds:region:account-id:snapshot/external-snapshot-id

AWS Directory Service include due namespace di servizio in base al tipo di operazioni eseguite.

  • Lo spazio dei nomi del ds servizio fornisce una serie di operazioni per lavorare con le risorse appropriate. Per un elenco delle operazioni disponibili, consulta la sezione relativa alle operazioni del servizio di directory.

  • Lo spazio dei nomi del ds-data servizio fornisce una serie di operazioni agli oggetti di Active Directory. Per un elenco delle operazioni disponibili, consulta Directory Service Data API Reference.

Informazioni sulla proprietà delle risorse

Il proprietario della risorsa è l' AWS account che ha creato una risorsa. Cioè, il proprietario della risorsa è l' AWS account dell'entità principale (l'account root, un utente IAM o un ruolo IAM) che autentica la richiesta che crea la risorsa. Negli esempi seguenti viene illustrato il funzionamento:

  • Se utilizzi le credenziali dell'account root del tuo AWS account per creare una AWS Directory Service risorsa, ad esempio una directory, l' AWS account è il proprietario di quella risorsa.

  • Se crei un utente IAM nel tuo AWS account e concedi le autorizzazioni per creare AWS Directory Service risorse a quell'utente, anche l'utente può creare AWS Directory Service risorse. Tuttavia, il tuo AWS account, a cui appartiene l'utente, possiede le risorse.

  • Se crei un ruolo IAM nel tuo AWS account con le autorizzazioni per creare AWS Directory Service risorse, chiunque possa assumere il ruolo può creare AWS Directory Service risorse. Il tuo AWS account, a cui appartiene il ruolo, possiede le AWS Directory Service risorse.

Gestione dell'accesso alle risorse

La policy delle autorizzazioni descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.

Nota

Questa sezione illustra l'utilizzo di IAM nel contesto di AWS Directory Service. Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione di IAM completa, consulta la pagina Che cos'è IAM? nella Guida per l'utente di IAM. Per informazioni sulla sintassi delle policy IAM e le rispettive descrizioni, consulta Documentazioni di riferimento alle policy JSON IAM nella Guida per l'utente di IAM.

Le politiche collegate a un'identità IAM sono denominate politiche basate sull'identità (politiche IAM) e le politiche allegate a una risorsa sono denominate politiche basate sulle risorse. AWS Directory Service supporta solo politiche basate sull'identità (politiche IAM).

Policy basate su identità (policy IAM)

Puoi collegare le policy alle identità IAM. Ad esempio, puoi eseguire le operazioni seguenti:

  • Allega una politica di autorizzazioni a un utente o a un gruppo del tuo account: un amministratore dell'account può utilizzare una politica di autorizzazioni associata a un particolare utente per concedere a quell'utente le autorizzazioni per creare una AWS Directory Service risorsa, ad esempio una nuova directory.

  • Collega una policy di autorizzazione a un ruolo (assegnazione di autorizzazioni tra account): per concedere autorizzazioni tra più account, è possibile collegare una policy di autorizzazione basata su identità a un ruolo IAM.

    Per ulteriori informazioni sull'uso di IAM per delegare le autorizzazioni, consultare Gestione degli accessi nella Guida per l'utente di IAM.

La seguente policy di autorizzazione concede a un utente le autorizzazioni per eseguire tutte le operazioni che iniziano con Describe. Queste azioni mostrano informazioni su una AWS Directory Service risorsa, ad esempio una directory o un'istantanea. Nota che il carattere jolly (*) nell'Resourceelemento indica che le azioni sono consentite per tutte le AWS Directory Service risorse di proprietà dell'account. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ds:Describe*",
         "Resource":"*"
      }
   ]
}

Per ulteriori informazioni sull'utilizzo di politiche basate sull'identità con, vedere. AWS Directory ServiceUtilizzo di politiche basate sull'identità (politiche IAM) per AWS Directory Service Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consultare Identità (utenti, gruppi e ruoli) nella Guida per l'utente di IAM.

Policy basate sulle risorse

Anche altri servizi, ad esempio Amazon S3, supportano policy di autorizzazioni basate su risorse. Ad esempio, puoi allegare una policy a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket. AWS Directory Service non supporta politiche basate sulle risorse.

Specifica degli elementi delle policy: operazioni, effetti, risorse ed entità

Per ogni AWS Directory Service risorsa, il servizio definisce una serie di operazioni API. Per ulteriori informazioni, consulta AWS Directory Service risorse e operazioni. Per un elenco delle operazioni dell'API disponibili, consulta la sezione relativa alle operazioni del servizio di directory.

Per concedere le autorizzazioni per queste operazioni API, AWS Directory Service definisce una serie di azioni che è possibile specificare in una politica. Si noti che l'esecuzione di un'operazione API può richiedere le autorizzazioni per più di un'azione.

Di seguito sono elencati gli elementi di base di una policy:

  • Risorsa: in una policy si utilizza il nome della risorsa Amazon (ARN) per identificare la risorsa a cui si applica la policy stessa. Per AWS Directory Service le risorse, usi sempre il carattere jolly (*) nelle policy IAM. Per ulteriori informazioni, consulta AWS Directory Service risorse e operazioni.

  • Operazione: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Ad esempio, l'autorizzazione ds:DescribeDirectories concede all'utente le autorizzazioni per eseguire l'operazione AWS Directory Service DescribeDirectories.

  • Effetto: specifica l'effetto quando l'utente richiede l'operazione specifica. Può trattarsi di un'autorizzazione o di un rifiuto. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.

  • Principale: nelle policy basate su identità (policy IAM), l'utente a cui la policy è collegata è il principale implicito. Per le politiche basate sulle risorse, specifichi l'utente, l'account, il servizio o l'altra entità a cui desideri che riceva le autorizzazioni (si applica solo alle politiche basate sulle risorse). AWS Directory Service non supporta politiche basate sulle risorse.

Per informazioni sulla sintassi delle policy IAM e le rispettive descrizioni, consulta Documentazioni di riferimento alle policy JSON IAM nella Guida per l'utente di IAM.

Per una tabella che mostra tutte le azioni AWS Directory Service API e le risorse a cui si applicano, consulta. AWS Directory Service Autorizzazioni API: riferimento ad azioni, risorse e condizioni

Specifica delle condizioni in una policy

Quando concedi le autorizzazioni, puoi utilizzare la sintassi della policy di accesso per specificare le condizioni in base a cui la policy deve essere applicata. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni su come specificare le condizioni in un linguaggio di policy, consulta la sezione Condizione nella Guida per l'utente di IAM.

Per esprimere le condizioni è necessario utilizzare chiavi di condizione predefinite. Non esistono chiavi di condizione specifiche per AWS Directory Service. Tuttavia, esistono chiavi di AWS condizione che è possibile utilizzare in modo appropriato. Per un elenco completo delle AWS chiavi, consulta Available global condition keys nella IAM User Guide.