기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 디렉터리 서비스 데이터 조건 키
<a name="iam_dsdata-condition-keys"></a>

[디렉터리 서비스 데이터](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/welcome.html) 조건 키를 사용하여 사용자 및 그룹 수준 액세스에 특정 문을 추가합니다. 이를 통해 사용자는 어떤 주체가 어떤 리소스와 어떤 조건에서 작업을 수행할 수 있는지 결정할 수 있습니다.

*조건 요소* 또는 *조건 블록*을 사용하면 정책이 발효되는 조건을 지정할 수 있습니다. Condition 요소는 선택 사항입니다. 같음(=) 또는 작음(<)과 같은 조건 연산자를 사용하여 정책의 조건을 요청의 값과 일치시키는 조건식을 생성할 수 있습니다.

한 문에서 여러 조건 요소를 지정하거나 단일 조건 요소에서 여러 키를 지정하는 경우, AWS 는 논리적 AND 태스크를 사용함으로써 평가합니다. 단일 조건 키에 여러 값을 지정하는 경우는 논리적 OR 작업을 사용하여 조건을 AWS 평가합니다. 문의 권한을 부여하기 전에 모든 조건을 충족해야 합니다. 조건을 지정할 때 자리 표시자 변수를 사용할 수도 있습니다. 예를 들어, 사용자 이름으로 태그가 지정된 경우에만 리소스에 액세스할 수 있는 권한을 IAM 사용자에게 부여할 수 있습니다. 자세한 내용은 *IAM 사용자 가이드*에서 [여러 키 또는 값이 있는 상태](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html)를 참조하세요.

이러한 조건 키를 지원하는 작업 목록은 *서비스 승인* 참조의 [AWS 디렉터리 서비스 데이터에서 정의한 작업을](https://docs.aws.amazon.com/service-authorization/latest/reference/list_directoryservice-data.html) 참조하세요.

**참고**  
태그 기반 리소스 수준 권한에 대한 자세한 내용은 [IAM 정책에 태그 사용](IAM_Auth_Access_IdentityBased.md#using_tags_with_iam_policies)을 참조하세요.

## ds-data:SAMAccountName
<a name="dsdata_condition-SAMAccountName"></a>

[문자열 연산자](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)를 사용합니다.

이 키를 사용하여 IAM 역할이 특정 사용자 및 그룹에 대한 작업을 수행하도록 명시적으로 허용하거나 거부합니다.

**중요**  
`SAMAccountName` 또는 `MemberName`을 사용할 때는 `ds-data:Identifier`를 `SAMAccountName`으로 지정하는 것이 좋습니다. 이렇게 하면와 같이 AWS 디렉터리 서비스 데이터가 지원하는 향후 식별자가 기존 권한을 깨뜨리지 `SID`않습니다.

다음 정책은 IAM 보안 주체가 `joe` 사용자를 설명하거나 `joegroup` 그룹을 설명하는 것을 거부합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyDescribe",
      "Effect": "Deny",
      "Action": "ds-data:Describe*",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:SAMAccountName": [
            "{{joe}}",
            "{{joegroup}}"
          ],
          "ds-data:identifier": [
            "SAMAccountName"
          ]
        }
      }
    }
  ]
}
```

------

**참고**  
이 조건 키는 대/소문자를 구분하지 않습니다. `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` 또는 `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` 조건 연산자를 사용하여 문자 사례에 관계없이 문자열 값을 비교해야 합니다.

## ds-data:Identifier
<a name="dsdata_condition-identifier"></a>

[문자열 연산자](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)를 사용합니다.

이 키를 사용하여 IAM 정책 권한에 사용할 식별자를 정의합니다. 현재 `SAMAccountName`만 지원됩니다.

다음 정책은 IAM 보안 주체가 `joe` 사용자를 업데이트하도록 허용합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "UpdateJoe",
      "Effect": "Allow",
      "Action": "ds-data:UpdateUser",
      "Resource": "arn:aws:ds:{{us-east-1}}:{{111122223333}}:directory/{{d-012345678}}",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:SAMAccountName": [
            "{{joe}}"
          ],
          "ds-data:identifier": [
            "SAMAccountName"
          ]
        }
      }
    }
  ]
}
```

------

## ds-data:MemberName
<a name="dsdata_condition-MemberName"></a>

[문자열 연산자](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)를 사용합니다.

이 키를 사용하여 작업을 수행할 수 있는 멤버를 정의합니다.

**중요**  
`MemberName` 또는 `SAMAccountName`을 사용할 때는 `ds-data:Identifier`를 `SAMAccountName`으로 지정하는 것이 좋습니다. 이렇게 하면 `SID`와 같이 디렉터리 서비스 데이터가 지원하는 향후 식별자가 기존 권한을 깨지 않습니다.

다음 정책은 IAM 보안 주체가 모든 그룹의 `joe` 멤버에 대해 `AddGroupMember`를 수행하도록 허용합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
        "Sid": "AddJoe",
        "Effect": "Allow",
        "Action": "ds-data:AddGroupMember",
        "Resource": "arn:aws:ds:{{us-east-1}}:{{111122223333}}:directory/{{d-012345678}}",
        "Condition": {
            "StringEqualsIgnoreCase": {
                "ds-data:MemberName": "{{joe}}"
            }
        }
    }
  ]
}
```

------

**참고**  
이 조건 키는 대/소문자를 구분하지 않습니다. `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` 또는 `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` 조건 연산자를 사용하여 문자 사례에 관계없이 문자열 값을 비교해야 합니다.

## ds-data:MemberRealm
<a name="dsdata_condition-MemberRealm"></a>

[문자열 연산자](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)를 사용합니다.

이 키를 사용하여 정책의 `ds-data:MemberRealm` 값이 요청의 멤버 영역과 일치하는지 확인합니다.

**참고**  
이 조건 키는 대/소문자를 구분하지 않습니다. `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` 또는 `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` 조건 연산자를 사용하여 문자 사례에 관계없이 문자열 값을 비교해야 합니다.

다음 정책은 IAM 보안 주체가 `ONE.TRU1.AMAZON.COM` 영역에서 `bob` 멤버에 대한 `AddGroupMember`를 호출하도록 허용합니다.

**참고**  
다음 예제에서는 `ds-data:MemberName` 컨텍스트 키만 사용합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "addbob",
      "Effect": "Allow",
      "Action": "ds-data:AddGroupMember",
      "Resource": "arn:aws:ds:{{us-east-1}}:{{111122223333}}:directory/{{d-012345678}}",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:MemberName": "{{bob}}",
          "ds-data:MemberRealm": "{{one.tru1.amazon.com}}"
        }
      }
    }
  ]
}
```

------

## ds-data:Realm
<a name="dsdata_condition-Realm"></a>

[문자열 연산자](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)를 사용합니다.

이 키를 사용하여 IAM 보안 주체가 디렉터리 서비스 데이터 API에 요청을 수행하는 데 사용할 수 있는 영역과 정책의 `ds-data:Realm` 값이 일치하는지 확인합니다.

**참고**  
이 조건 키는 대/소문자를 구분하지 않습니다. `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` 또는 `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` 조건 연산자를 사용하여 문자 사례에 관계없이 문자열 값을 비교해야 합니다.

다음 정책은 IAM 보안 주체가 `one.tru1.amazon.com` 영역에서 `ListUsers`를 호출하는 것을 거부합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyTrustedList",
      "Effect": "Deny",
      "Action": "ds-data:ListUsers",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:Realm": [
            "{{one.tru1.amazon.com}}"
          ]
        }
      }
    }
  ]
}
```

------