Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Chiavi delle condizioni di Directory Service Data
<a name="iam_dsdata-condition-keys"></a>

Utilizza le chiavi di condizione [Directory Service Data](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/welcome.html) per aggiungere istruzioni specifiche agli utenti e all'accesso a livello di gruppo. Ciò consente agli utenti di decidere quali responsabili possono eseguire azioni su quali risorse e in quali condizioni. 

L'*elemento Condition*, o *blocco Condition*, consente di specificare le condizioni in cui un'istruzione è valida. L'elemento condizione è facoltativo. È possibile creare espressioni condizionali che utilizzano operatori di condizione, ad esempio equals (=) o less than (<), per abbinare la condizione nella politica ai valori della richiesta. 

Se specificate più elementi Condition in un'istruzione o più chiavi in un singolo elemento Condition, li AWS valuta utilizzando un'operazione AND logica. Se specificate più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione OR logica. Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell’istruzione vengano concesse. È possibile anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, puoi concedere a un utente IAM l'autorizzazione ad accedere a una risorsa solo se è contrassegnata con il suo nome utente. Per informazioni, consulta [Condizione con più chiavi o valori](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html) nella *Guida per l'utente IAM*. 

Per un elenco delle azioni che supportano queste chiavi di condizione, vedere [Actions defined by AWS Directory Service Data](https://docs.aws.amazon.com/service-authorization/latest/reference/list_directoryservice-data.html) nel *Service Authorization Reference*. 

**Nota**  
Per informazioni sulle autorizzazioni a livello di risorsa basate su tag, consulta. [Utilizzo dei tag con policy IAM](IAM_Auth_Access_IdentityBased.md#using_tags_with_iam_policies) 

## SAMAccountds-data: Nome
<a name="dsdata_condition-SAMAccountName"></a>

Funziona con gli operatori [String](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). 

Usa questa chiave per consentire o negare esplicitamente a un ruolo IAM di eseguire azioni su utenti e gruppi specifici.

**Importante**  
Quando usi `SAMAccountName` o`MemberName`, ti consigliamo di specificare `ds-data:Identifier` come. `SAMAccountName` In questo modo si evita che i futuri identificatori supportati da AWS Directory Service Data, ad esempio`SID`, violino le autorizzazioni esistenti.

La seguente policy impedisce al preside IAM di descrivere l'utente `joe` o il gruppo. `joegroup`

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyDescribe",
      "Effect": "Deny",
      "Action": "ds-data:Describe*",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:SAMAccountName": [
            "{{joe}}",
            "{{joegroup}}"
          ],
          "ds-data:identifier": [
            "SAMAccountName"
          ]
        }
      }
    }
  ]
}
```

------

**Nota**  
Questa condizione non fa distinzione tra maiuscole e minuscole. È necessario utilizzare `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` o `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` condizionare gli operatori per confrontare i valori delle stringhe indipendentemente dalle lettere maiuscole. 

## DS-Data: identificatore
<a name="dsdata_condition-identifier"></a>

[Funziona con gli operatori String.](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String) 

Usa questa chiave per definire quale identificatore utilizzare nelle autorizzazioni della policy IAM. Attualmente è supportato solo `SAMAccountName`.

La seguente policy consente al principale IAM di aggiornare l'utente. `joe`

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "UpdateJoe",
      "Effect": "Allow",
      "Action": "ds-data:UpdateUser",
      "Resource": "arn:aws:ds:{{us-east-1}}:{{111122223333}}:directory/{{d-012345678}}",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:SAMAccountName": [
            "{{joe}}"
          ],
          "ds-data:identifier": [
            "SAMAccountName"
          ]
        }
      }
    }
  ]
}
```

------

## ds-data: MemberName
<a name="dsdata_condition-MemberName"></a>

Funziona con gli operatori [String](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). 

Utilizzate questa chiave per definire i membri su cui possono essere eseguite operazioni.

**Importante**  
Quando si utilizza `MemberName` o`SAMAccountName`, si consiglia di specificare `ds-data:Identifier` come`SAMAccountName`. In questo modo si evita che i futuri identificatori supportati da Directory Service Data, ad esempio`SID`, violino le autorizzazioni esistenti. 

La seguente policy consente al principale IAM di eseguire operazioni `AddGroupMember` su un membro di qualsiasi `joe` gruppo.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
        "Sid": "AddJoe",
        "Effect": "Allow",
        "Action": "ds-data:AddGroupMember",
        "Resource": "arn:aws:ds:{{us-east-1}}:{{111122223333}}:directory/{{d-012345678}}",
        "Condition": {
            "StringEqualsIgnoreCase": {
                "ds-data:MemberName": "{{joe}}"
            }
        }
    }
  ]
}
```

------

**Nota**  
Questa chiave condizionale non fa distinzione tra maiuscole e minuscole. È necessario utilizzare `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` o `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` condizionare gli operatori per confrontare i valori delle stringhe, indipendentemente dalle lettere maiuscole. 

## ds-data: MemberRealm
<a name="dsdata_condition-MemberRealm"></a>

Funziona con gli operatori [String](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). 

Usa questa chiave per verificare se il `ds-data:MemberRealm` valore nella politica corrisponde all'area del membro nella richiesta.

**Nota**  
Questa chiave condizionale non fa distinzione tra maiuscole e minuscole. È necessario utilizzare `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` o `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` condizionare gli operatori per confrontare i valori delle stringhe, indipendentemente dalle lettere maiuscole. 

La seguente policy consente al preside IAM di `AddGroupMember` richiedere un membro `bob` in realm. `ONE.TRU1.AMAZON.COM`

**Nota**  
L'esempio seguente utilizza solo la chiave di `ds-data:MemberName` contesto. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "addbob",
      "Effect": "Allow",
      "Action": "ds-data:AddGroupMember",
      "Resource": "arn:aws:ds:{{us-east-1}}:{{111122223333}}:directory/{{d-012345678}}",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:MemberName": "{{bob}}",
          "ds-data:MemberRealm": "{{one.tru1.amazon.com}}"
        }
      }
    }
  ]
}
```

------

## DS-Data: Realm
<a name="dsdata_condition-Realm"></a>

[Funziona con gli operatori String.](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)

Usa questa chiave per verificare se il `ds-data:Realm` valore della policy corrisponde al realm che un principale IAM può utilizzare per effettuare richieste ai Directory Service Data APIs.

**Nota**  
Questa chiave condizionale non fa distinzione tra maiuscole e minuscole. È necessario utilizzare `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` o `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` condizionare gli operatori per confrontare i valori delle stringhe indipendentemente dalle lettere maiuscole. 

La seguente politica impedisce al preside IAM di fare riferimento `ListUsers` al `one.tru1.amazon.com` realm.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyTrustedList",
      "Effect": "Deny",
      "Action": "ds-data:ListUsers",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:Realm": [
            "{{one.tru1.amazon.com}}"
          ]
        }
      }
    }
  ]
}
```

------