Directory - Amazon Cloud Directory
ObjectsPolicies

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Directory

Um diretório é um armazenamento de dados com base em esquema que contém tipos específicos de objetos organizados em uma estrutura multi-hierárquica (consulte Estrutura de diretório para obter mais detalhes). Por exemplo, um diretório de usuários pode oferecer uma visualização hierárquica com base na estrutura, no local e na afiliação de um projeto de relatórios. Da maneira semelhante, um diretório de dispositivos pode ter várias visualizações hierárquicas com base no fabricante, no proprietário atual e no local físico.

Um diretório define o limite lógico para o armazenamento de dados, completamente isolado de todos diretórios restantes no serviço. Também define os limites de uma solicitação individual. Uma transação ou consulta única é executada no contexto de um único diretório. Um diretório não pode ser criado sem um esquema e, normalmente, tem um esquema aplicado a ele. Contudo, você pode usar as operações da API do Cloud Directory para aplicar esquemas adicionais a um diretório. Para obter mais informações, consulteApplySchemanoGuia de referência da API do Amazon Cloud Directory.

Objects

Os objetos são uma entidade de dados estruturados em um diretório. Um objeto em um diretório tem o objetivo de capturar metadados (ou atributos) sobre uma entidade física ou lógica geralmente para fins de descoberta de informações e aplicação de políticas. Por exemplo, usuários, dispositivos, aplicativos, contas da AWS, instâncias do EC2 e buckets do Amazon S3 podem todos ser representados como diferentes tipos de objetos em um diretório.

A estrutura e o tipo de informações de um objeto são expressos como uma coleção de facetas. Você pode usar o Path ou o ObjectIdentifier para acessar objetos. Os objetos também podem ter atributos, que são uma unidade de metadados definida pelo usuário. Por exemplo, o objeto de usuário pode ter um atributo chamado email-address. Atributos sempre são associados a um objeto.

Policies

As políticas são um tipo especializado de objeto que são úteis para armazenar permissões ou recursos. As políticas oferecem a ação da API LookupPolicy. A ação da política de pesquisa usa uma referência a qualquer objeto como sua entrada inicial. Em seguida, ela percorre todo o diretório até a raiz. A ação coleta todos os objetos de política que encontra em cada caminho até a raiz. O Cloud Directory não interpreta nenhuma dessas políticas de nenhuma maneira. Em vez disso, os usuários do Cloud Directory interpretam políticas usando sua própria lógica de negócios especializada.

Por exemplo, imagine um sistema que armazene informações de funcionários. Os funcionários são agrupados em conjunto por função de cargo. Queremos estabelecer permissões diferentes para membros do grupo de recursos humanos e do grupo de contabilidade. Os membros do grupo de recursos humanos terão acesso às informações da folha de pagamento, e o grupo de contabilidade terá acesso às informações do razão. Para estabelecer essas permissões, anexamos objetos de política a cada um desses grupos. Na hora de avaliar as permissões de um usuário, podemos usar a ação da API LookupPolicy naquele objeto de usuário. OLookupPolicyA ação da API percorre a árvore do objeto da política especificada até a raiz. A ação para em cada nó e verifica se há alguma política anexada e a retorna.

Anexos de políticas

As políticas podem ser anexadas a outros objetos de duas maneiras: anexos pai-filho normais e anexos de políticas especiais. Usando anexos normais de pai-filho, uma política pode ser anexada a um nó pai. Isso é sempre útil para fornecer um mecanismo fácil para localizar políticas no diretório de dados. As políticas não podem ter filhos. As políticas anexadas via anexos pai-filho não serão retornadas durante chamadas da API LookupPolicy.

Os objetos de política também podem ser anexados a outros objetos por meio de anexos de política. Você pode gerenciar esses anexos de política usando as ações da API AttachPolicy e DetachPolicy. Os anexos de política permitem que os nós de política sejam localizados quando você usar a API LookupPolicy.

Especificação de esquema de política

Para começar a usar políticas, você deve primeiro adicionar uma faceta a seu esquema que ofereça suporte à criação de políticas. Para realizar isso, crie uma faceta configurando o objectType da faceta como POLICY. A criação de objetos usando uma faceta com o tipo POLICY garante que o objeto tenha recursos de política.

As facetas de políticas herdam dois atributos além de todos os atributos que você adiciona à definição:

  • policy_type (string, obrigatório) – esse é um identificador que você pode fornecer para distinguir entre diferentes usos de políticas. Se suas políticas se encaixam logicamente em categorias claras, incentivamos configurar o tipo de atributo das políticas adequadamente. A API LookupPolicy retorna o tipo de política das políticas anexadas (consulte PolicyAttachment). Isso permite a filtragem fácil do tipo específico de política que você está procurando. Também permite usar policy_type para decidir como o documento deve ser processado ou interpretado.

  • policy_document (Binário, obrigatório) – Você pode armazenar dados específicos do aplicativo nesse atributo, como concessões de permissão associadas à política. Se preferir, você também pode armazenar dados relacionados ao aplicativo em atributos normais em sua faceta.

Visão geral da API de política

Várias ações especializadas da API estão disponíveis para trabalhar com políticas. Para obter uma lista das operações disponíveis, consulteAções do Amazon Cloud Directory.

Para criar um objeto de política, use a ação da API CreateObject com uma faceta apropriada:

  • Para anexar ou desanexar uma política de um objeto, use as ações AttachPolicy e DetachPolicy respectivamente.

  • Para localizar políticas que estão anexadas a objetos na parte superior da árvore, use a ação da API LookupPolicy.

  • Para listar as políticas que estão anexadas a um objeto específico, use a ação da API ListObjectPolicies.

Para obter uma lista de operações e permissões necessárias para executar cada ação da API, consulte Permissões da Amazon Cloud Directory: Referência de ações, recursos e condições.