Usando políticas baseadas em identidade (IAMpolíticas) para AWS Directory Service - AWS Directory Service
Permissões necessárias para usar o AWS Directory Service consoleAWS políticas gerenciadas (predefinidas) para AWS Directory ServiceExemplos de política gerenciada pelo clienteUsar tags com as políticas do IAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando políticas baseadas em identidade (IAMpolíticas) para AWS Directory Service

Este tópico fornece exemplos de políticas baseadas em identidade nas quais um administrador de conta pode anexar políticas de permissões a IAM identidades (usuários, grupos e funções).

Importante

Recomendamos que você primeiro analise os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos seus AWS Directory Service recursos. Para obter mais informações, consulte Visão geral do gerenciamento de permissões de acesso aos seus AWS Directory Service recursos.

As seções neste tópico abrangem o seguinte:

A seguir, um exemplo de uma política de permissões.

{
   "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDsEc2IamGetRole",
            "Effect": "Allow",
            "Action": [
                "ds:CreateDirectory",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:CreateSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSubnets",
                "iam:GetRole"
            ],
            "Resource": "*"
        },
        {
            "Sid": "WarningAllowsCreatingRolesWithDirSvcPrefix",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::111122223333:role/DirSvc*"
        },
        {
            "Sid": "AllowPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "cloudwatch.amazonaws.com"
                }
            }
        }
    ]
}

As três declarações na política concedem permissões da seguinte forma:

  • A primeira declaração concede permissão para criar um AWS Directory Service diretório. Como AWS Directory Service não oferece suporte a permissões no nível do recurso, a política especifica um caractere curinga (*) como valor. Resource

  • A segunda declaração concede permissões para acessar IAM ações, para que AWS Directory Service você possa ler e criar IAM funções em seu nome. O caractere curinga (*) no final do Resource valor significa que a declaração permite a permissão para as IAM ações em qualquer IAM função. Para limitar essa permissão a uma função específica, substitua o caractere curinga (*) no recurso ARN pelo nome da função específica. Para obter mais informações, consulte IAMAções.

  • A terceira declaração concede permissões a um conjunto específico de recursos na Amazon EC2 que são necessários AWS Directory Service para permitir a criação, configuração e destruição de seus diretórios. O caractere curinga (*) no final do Resource valor significa que a declaração permite a permissão para as EC2 ações em qualquer EC2 recurso ou sub-recurso. Para limitar essa permissão a uma função específica, substitua o caractere curinga (*) no recurso pelo recurso ARN ou sub-recurso específico. Para obter mais informações, consulte Amazon EC2 Actions.

Você não vê um Principal elemento na política, porque em uma política baseada em identidade você não especifica o diretor que recebe a permissão. Quando você anexa a política a um usuário, o usuário torna-se o principal implícito. Quando você anexa uma política de permissão a uma IAM função, o principal identificado na política de confiança da função obtém as permissões

Para ver uma tabela mostrando todas as AWS Directory Service API ações e os recursos aos quais elas se aplicam, consulteAWS Directory Service APIpermissões: referência de ações, recursos e condições.

Permissões necessárias para usar o AWS Directory Service console

Para que um usuário trabalhe com o AWS Directory Service console, esse usuário deve ter as permissões listadas na política anterior ou as permissões concedidas pela função Directory Service Full Access Role ou Directory Service Read Only, descrita emAWS políticas gerenciadas (predefinidas) para AWS Directory Service.

Se você criar uma IAM política que seja mais restritiva do que as permissões mínimas exigidas, o console não funcionará conforme o esperado para os usuários com essa IAM política.

AWS políticas gerenciadas (predefinidas) para AWS Directory Service

AWS aborda muitos casos de uso comuns fornecendo IAM políticas predefinidas ou gerenciadas que são criadas e administradas pela AWS. As políticas gerenciadas concedem as permissões necessárias para casos de uso comuns, o que ajuda você a decidir quais permissões você precisa. Para obter mais informações, consulte AWS políticas gerenciadas para AWS Directory Service.

Exemplos de política gerenciada pelo cliente

Nesta seção, você pode encontrar exemplos de políticas de usuário que concedem permissões para várias AWS Directory Service ações.

nota

Todos os exemplos usam a região Oeste dos EUA (Oregon) (us-west-2) e contêm uma conta fictícia. IDs

Exemplo 1: Permitir que um usuário execute qualquer ação de descrição em qualquer AWS Directory Service recurso

A seguinte política de permissões concede permissões a um usuário para executar todas as ações que começam com Describe. Essas ações mostram informações sobre um AWS Directory Service recurso, como um diretório ou um instantâneo. Observe que o caractere curinga (*) no Resource elemento indica que as ações são permitidas para todos os AWS Directory Service recursos pertencentes à conta. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ds:Describe*",
         "Resource":"*"
      }
   ]
}

Exemplo 2: permitir que um usuário crie um diretório

A política de permissões a seguir concede permissões para permitir que um usuário crie um diretório e todos os outros recursos relacionados, como snapshots e confianças. Para fazer isso, permissões para determinados EC2 serviços da Amazon também são necessárias.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action": [
                "ds:Create*",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
                  ],
         "Resource":"*"
         ]
      }
   ]
}

Usar tags com as políticas do IAM

Você pode aplicar permissões em nível de recurso com base em tags nas IAM políticas que você usa para a maioria das ações. AWS Directory Service API Isso oferece a você mais controle sobre quais recursos um usuário pode criar, modificar ou usar. Você usa o Condition elemento (também chamado de Condition bloco) com as seguintes chaves e valores de contexto de condição em uma IAM política para controlar o acesso do usuário (permissões) com base nas tags de um recurso:

  • Use aws:ResourceTag/tag-key: tag-value para permitir ou negar ações do usuário em recursos com tags específicas.

  • Useaws:ResourceTag/tag-key: tag-value para exigir que uma tag específica seja usada (ou não usada) ao fazer uma API solicitação para criar ou modificar um recurso que permita tags.

  • Useaws:TagKeys: [tag-key,...] para exigir que um conjunto específico de chaves de tag seja usado (ou não usado) ao fazer uma API solicitação para criar ou modificar um recurso que permita tags.

nota

As chaves e valores de contexto da condição em uma IAM política se aplicam somente às AWS Directory Service ações em que um identificador de um recurso capaz de ser marcado é um parâmetro obrigatório.

O controle do acesso usando tags no Guia IAM do usuário tem informações adicionais sobre o uso de tags. A seção de referência de IAM JSON políticas desse guia tem sintaxe detalhada, descrições e exemplos dos elementos, variáveis e lógica de avaliação das JSON políticas emIAM.

O seguinte exemplo de política de tags permite todas as chamadas de ds, desde que ela contenha o par de valor da tag "fooKey" ou "fooValue".

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"VisualEditor0",
         "Effect":"Allow",
         "Action":[
            "ds:*"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/fooKey":"fooValue"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:*"
         ],
         "Resource":"*"
      }
   ]
}

O seguinte exemplo de política permite todas as chamadas ds, contanto que o recurso contenha o ID do diretório "d-1234567890".

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"VisualEditor0",
         "Effect":"Allow",
         "Action":[
            "ds:*"
         ],
         "Resource":"arn:aws:ds:us-east-1:123456789012:directory/d-1234567890"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:*"
         ],
         "Resource":"*"
      }
   ]
}

Para obter mais informações sobreARNs, consulte Amazon Resource Names (ARNs) e AWS Service Namespaces.

A lista de AWS Directory Service API operações a seguir oferece suporte a permissões em nível de recurso baseadas em tags: