Chiavi delle condizioni di Directory Service Data - AWS Directory Service
ds-data: SAMAccountNameDS-Data: identificatoreds-dati: MemberNameds-dati: MemberRealmDS-Data: Realm

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Chiavi delle condizioni di Directory Service Data

Utilizza le chiavi di condizione Directory Service Data per aggiungere istruzioni specifiche agli utenti e all'accesso a livello di gruppo. Ciò consente agli utenti di decidere quali responsabili possono eseguire azioni su quali risorse e in quali condizioni.

L'elemento Condition, o blocco Condition, consente di specificare le condizioni in cui un'istruzione è valida. L'elemento condizione è facoltativo. È possibile creare espressioni condizionali che utilizzano operatori di condizione, ad esempio equals (=) o less than (<), per abbinare la condizione nella politica ai valori della richiesta.

Se specificate più elementi Condition in un'istruzione o più chiavi in un singolo elemento Condition, li AWS valuta utilizzando un'operazione logica. AND Se specificate più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione OR logica. Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse. Puoi anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, puoi concedere a un IAM utente l'autorizzazione ad accedere a una risorsa solo se è contrassegnata con il suo nome utente. Per informazioni, consulta Condizione con più chiavi o valori nella Guida IAM per l'utente.

Per un elenco delle azioni che supportano queste chiavi di condizione, vedere Actions defined by AWS Directory Service Data nel Service Authorization Reference.

Nota

Per informazioni sulle autorizzazioni a livello di risorsa basate su tag, consulta. Utilizzo dei tag con policy IAM

ds-data: SAMAccountName

Funziona con gli operatori String.

Verifica che la politica con quanto specificato SAMAccountName corrisponda all'input utilizzato nella richiesta. È possibile fornire un solo nome di SAM account in ogni richiesta.

Nota

Questa condizione non fa distinzione tra maiuscole e minuscole. È necessario utilizzare StringEqualsIgnoreCase o StringNotEqualsIgnoreCase condizionare gli operatori per confrontare i valori delle stringhe indipendentemente dalle lettere maiuscole.

Consente a un utente o a un gruppo di cercare oggetti AD

La seguente politica consente all'utente jstiles o test-group a qualsiasi membro di cercare utenti, membri e gruppi nel dominio Microsoft AD AWS gestito.

Importante

Quando si utilizza SAMAccountName oMemberName, si consiglia di specificare ds-data:Identifier comeSAMAccountName. In questo modo si evita che i futuri identificatori supportati da AWS Directory Service Data, ad esempioSID, violino le autorizzazioni esistenti. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "SearchOnTrustedDomain",
      "Effect": "Allow",
      "Action": "ds-data:Search*",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:SAMAccountName": [
            "jstiles",
            "test-group"
          ],
        "StringEqualsIgnoreCase": {
            "ds-data:identifier": [
              "SAMAccountName"
            ]
          }
        }
      }
    }
  ]
}

DS-Data: identificatore

Funziona con gli operatori String.

Speciifica il tipo di identificatore utilizzato nella richiesta. Ti consigliamo di specificare sempre la chiave della condizione Identifier, SAMAccountName in modo che eventuali identificatori futuri supportati in Directory Service Data non compromettano le autorizzazioni esistenti.

Nota

Attualmente, SAMAccountName è l'unico valore consentito. Tuttavia, in futuro potrebbero essere consentiti più valori.

Consente a un utente o a un gruppo di aggiornare gli utenti tramite realm

La seguente politica consente all'utente jstiles o a qualsiasi membro di test-group aggiornare le informazioni utente nel example-domain.com realm. La chiave identificativa garantisce che SAMAccountName sia il tipo di ID passato nel contesto della richiesta. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "UpdateUsersonDomain",
      "Effect": "Allow",
      "Action": "ds-data:UpdateUser",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "ds-data:SAMAccountName": [
            "jstiles",
            "test-group"
          ],
        "StringEquals": {
            "ds-data:Identifier": [
              "SAMAccountName"
            ],
        "StringEquals": {
              "ds-data:Realm": [
                "example-domain.com"
              ]
            }
          }
        }
      }
    }
  ]
}

ds-dati: MemberName

Funziona con gli operatori String.

Verifica che la politica con quanto specificato MemberName corrisponda al nome del membro utilizzato nella richiesta.

Nota

Questa chiave condizionale non fa distinzione tra maiuscole e minuscole. È necessario utilizzare StringEqualsIgnoreCase o StringNotEqualsIgnoreCase condizionare gli operatori per confrontare i valori delle stringhe, indipendentemente dalle lettere maiuscole.

Consente di aggiungere membri a un gruppo

La seguente politica consente a un utente o a un ruolo di aggiungere un membro a un gruppo nella directory specificata se l'MemberNameaggiunta al gruppo inizia conregion-1.

Importante

Quando si utilizza MemberName oSAMAccountName, si consiglia di specificare ds-data:Identifier comeSAMAccountName. In questo modo si evita che i futuri identificatori supportati da Directory Service Data, ad esempioSID, violino le autorizzazioni esistenti. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "UpdateGroupsWithRegionalMembers",
      "Effect": "Allow",
      "Action": "ds-data:UpdateGroup",
      "Resource": "arn:aws:ds::123456789012:directory/d-012345678",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:MemberName": [
            "region-1-*"
          ]
        }
      }
    }
  ]
}

ds-dati: MemberRealm

Funziona con gli operatori String.

Verifica che la MemberRealm policy corrisponda all'area del membro utilizzata nella richiesta.

Nota

Questa chiave condizionale non fa distinzione tra maiuscole e minuscole. È necessario utilizzare StringEqualsIgnoreCase o StringNotEqualsIgnoreCase condizionare gli operatori per confrontare i valori delle stringhe, indipendentemente dalle lettere maiuscole.

Consente di aggiungere membri a un gruppo in un realm

La seguente politica consente a un utente o a un ruolo di aggiungere un membro a un gruppo in un realm affidabile interdominio.

Nota

L'esempio seguente utilizza solo la chiave di ds-data:MemberName contesto. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "UpdateMembersInRealm",
      "Effect": "Allow",
      "Action": "ds-data:UpdateGroup",
      "Resource": "arn:aws:ds::123456789012:directory/d-012345678",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:MemberRealm": [
            "region-1-*"
          ]
        }
      }
    }
  ]
}

DS-Data: Realm

Funziona con gli operatori String.

Verifica che la Realm policy corrisponda al realm utilizzato nella richiesta.

Nota

Questa chiave condizionale non fa distinzione tra maiuscole e minuscole. È necessario utilizzare StringEqualsIgnoreCase o StringNotEqualsIgnoreCase condizionare gli operatori per confrontare i valori delle stringhe indipendentemente dalle lettere maiuscole.

Consente di aggiungere gruppi a un realm

La seguente politica consente a un utente o a un ruolo di creare gruppi nel realm specificato.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "UpdateGroupsInRealm",
      "Effect": "Allow",
      "Action": "ds-data:CreateGroup",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:Realm": [
            "example-domain.com"
          ]
        }
      }
    }
  ]
}