As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Usando políticas baseadas em identidade (políticas do IAM) para Directory Service
Este tópico fornece exemplos de políticas baseadas em identidade em que um administrador de conta pode anexar políticas de permissões a identidades do IAM (usuários, grupos e funções). Esses exemplos demonstram as políticas do IAM em Directory Service. Você deve modificar e criar as próprias políticas para atender às suas necessidades e ao seu ambiente.
**Importante**
Recomendamos que você primeiro analise os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos seus Directory Service recursos. Para obter mais informações, consulte [Visão geral do gerenciamento de permissões de acesso aos seus Directory Service recursos](IAM_Auth_Access_Overview.md).
As seções neste tópico abrangem o seguinte:
+ [Permissões necessárias para usar o Directory Service console](#UsingWithDS_IAM_RequiredPermissions_Console)
+ [AWS políticas gerenciadas (predefinidas) para Directory Service](#IAM_Auth_Access_ManagedPolicies)
+ [Exemplos de política gerenciada pelo cliente](#IAMPolicyExamples_DS)
+ [Utilização de tags com políticas do IAM](#using_tags_with_iam_policies)
A seguir, um exemplo de uma política de permissões.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDsEc2IamGetRole",
"Effect": "Allow",
"Action": [
"ds:CreateDirectory",
"ec2:RevokeSecurityGroupIngress",
"ec2:CreateNetworkInterface",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:CreateSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DescribeSubnets",
"iam:GetRole"
],
"Resource": "*"
},
{
"Sid": "WarningAllowsCreatingRolesWithDirSvcPrefix",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::111122223333:role/DirSvc*"
},
{
"Sid": "AllowPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/Your-Role-Name",
"Condition": {
"StringEquals": {
"iam:PassedToService": "cloudwatch.amazonaws.com"
}
}
}
]
}
```
------
As três instruções na política concedem permissões da seguinte forma:
+ A primeira declaração concede permissão para criar um Directory Service diretório. Como o Directory Service não oferece suporte a permissões no nível de recurso, a política especifica um caractere curinga (\$1) como valor de `Resource`.
+ A segunda instrução concede permissões para acessar ações do IAM, permitindo que o Directory Service leia e crie perfis do IAM em seu nome. O caractere curinga (\$1) no final do valor de `Resource` significa que a instrução fornece permissões para as ações do IAM em qualquer função do IAM. Para limitar essa permissão a uma função específica, substitua o caractere curinga (\$1) no ARN do recurso pelo nome da função específica. Para obter mais informações, consulte [Ações do IAM](https://docs.aws.amazon.com/IAM/latest/APIReference/API_Operations.html).
+ A terceira declaração concede permissões a um conjunto específico de recursos no Amazon EC2 que são necessários Directory Service para permitir a criação, configuração e destruição de seus diretórios. Substitua o ARN do perfil pelo seu perfil. Para obter mais informações, consulte [Amazon EC2 Actions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_Operations.html).
Você não vê um elemento `Principal` na política, porque em uma política baseada em identidade, não é especificada a entidade principal que recebe a permissão. Quando você anexa a política a um usuário, o usuário torna-se o principal implícito. Quando você anexa uma política de permissão a um perfil do IAM, a entidade principal identificada na política de confiança do perfil obtém as permissões.
Para ver uma tabela mostrando todas as ações da Directory Service API e os recursos aos quais elas se aplicam, consulte[Directory Service Permissões de API: referência de ações, recursos e condições](UsingWithDS_IAM_ResourcePermissions.md).
## Permissões necessárias para usar o Directory Service console
Para que um usuário trabalhe com o Directory Service console, esse usuário deve ter as permissões listadas na política anterior ou as permissões concedidas pela função Directory Service Full Access Role ou Directory Service Read Only, descrita em[AWS políticas gerenciadas (predefinidas) para Directory Service](#IAM_Auth_Access_ManagedPolicies).
Se você criar uma política do IAM que seja mais restritiva que as permissões mínimas necessárias, o console do não funcionará como pretendido para os usuários com essa política do IAM.
## AWS políticas gerenciadas (predefinidas) para Directory Service
AWS aborda muitos casos de uso comuns fornecendo políticas de IAM predefinidas ou gerenciadas que são criadas e administradas pela AWS. As políticas gerenciadas concedem as permissões necessárias para casos de uso comuns, o que o ajuda a decidir quais permissões você precisa. Para obter mais informações, consulte [AWS políticas gerenciadas para AWS Directory Service](security-iam-awsmanpol.md).
## Exemplos de política gerenciada pelo cliente
Nesta seção, você pode encontrar exemplos de políticas de usuário que concedem permissões para várias Directory Service ações.
**nota**
Todos os exemplos usam a região Oeste dos EUA (Oregon) (`us-west-2`) e contêm uma conta fictícia. IDs
**Topics**
+ [Exemplo 1: Permitir que um usuário execute qualquer ação de descrição em qualquer Directory Service recurso](#IAMPolicyExamples_DS_perform_describe_action)
+ [Exemplo 2: permitir que um usuário crie um diretório](#IAMPolicyExamples_DS_create_directory)
### Exemplo 1: Permitir que um usuário execute qualquer ação de descrição em qualquer Directory Service recurso
A política de permissões a seguir concede permissões a um usuário para executar todas as ações que começam `Describe` em um Microsoft AD AWS gerenciado com a ID do diretório `d-1234567890` no Conta da AWS `111122223333`. Essas ações mostram informações sobre um recurso do Directory Service , como um diretório ou um snapshot. Certifique-se de alterar Região da AWS e número da conta para a região que você deseja usar e o número da conta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ds:Describe*",
"Resource": "arn:aws:ds:us-west-2:111122223333:directory/d-1234567890"
}
]
}
```
------
### Exemplo 2: permitir que um usuário crie um diretório
A política de permissões a seguir concede permissões para permitir que um usuário crie um diretório e todos os outros recursos relacionados, como snapshots e confianças. Para fazer isso, permissões para determinados serviços do Amazon EC2 também são necessárias.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:CreateTags"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ds:CreateDirectory",
"ds:DescribeDirectories"
],
"Resource": "arn:aws:ds:*:111122223333:*"
}
]
}
```
------
## Utilização de tags com políticas do IAM
Você pode aplicar permissões em nível de recurso com base em tags nas políticas do IAM que você usa para a maioria das ações de API. Directory Service Isso oferece a você mais controle sobre quais recursos um usuário pode criar, modificar ou usar. Você pode usar o elemento `Condition` (também chamado bloco `Condition`) juntamente com os seguintes valores e chaves de contexto de condição em uma política do IAM para controlar o acesso do usuário (permissões) baseado em tags de um recurso:
+ Use `aws`:`ResourceTag`/**tag-key**: **tag-value** para permitir ou negar ações do usuário em recursos com tags específicas.
+ Use `aws`:`ResourceTag`/**tag-key**: **tag-value** para exigir que uma tag específica seja (ou não seja) usada ao fazer uma solicitação de API para criar ou modificar um recurso que permita tags.
+ Use `aws`:`TagKeys`: [**tag-key**, ...] para exigir que um conjunto específico de chaves de tag seja (ou não seja) usado ao fazer uma solicitação de API para criar ou modificar um recurso que permita tags.
**nota**
Os valores e as chaves de contexto de condição em uma política do IAM se aplicam somente às ações do Directory Service em que um identificador de um recurso que pode ser marcado com tags é um parâmetro obrigatório.
[Controlar o acesso usando tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) no *Guia do usuário do IAM* tem informações adicionais sobre o uso de tags. A seção [Referência de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) desse guia detalhou a sintaxe, as descrições e os exemplos dos elementos, variáveis e lógica de avaliação das políticas JSON no IAM.
A política de tags a seguir permite criar um Directory Service diretório, desde que as seguintes tags sejam usadas:
+ Ambiente: produção
+ Proprietário: equipe de infraestrutura
+ Centro de custos: 1234
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:CreateDirectory"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Environment": "Production",
"aws:RequestTag/Owner": "Infrastructure-Team",
"aws:RequestTag/CostCenter": "12345"
}
}
}
]
}
```
------
A política de tags a seguir permite atualizar e excluir Directory Service diretórios, desde que as seguintes tags sejam usadas:
+ Projeto: Atlas
+ Departamento: engenharia
+ Ambiente: preparação
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:DeleteDirectory",
"ds:UpdateDirectory"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "Atlas",
"aws:ResourceTag/Department": "Engineering",
"aws:ResourceTag/Environment": "Staging"
}
}
}
]
}
```
------
A política de tags a seguir nega a marcação de recursos Directory Service quando o recurso tem uma das seguintes tags:
+ Produção
+ Segurança
+ Confidencial
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ds:AddTagsToResource"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": ["Production", "Security", "Confidential"]
}
}
}
]
}
```
------
Para obter mais informações sobre ARNs, consulte [Amazon Resource Names (ARNs) e AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
A lista de operações de Directory Service API a seguir oferece suporte a permissões em nível de recurso baseadas em tags:
+ [AcceptSharedDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_AcceptSharedDirectory.html)
+ [AddIpRoutes](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_AddIpRoutes.html)
+ [AddTagsToResource](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_AddTagsToResource.html)
+ [CancelSchemaExtension](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CancelSchemaExtension.html)
+ [CreateAlias](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateAlias.html)
+ [CreateComputer](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateComputer.html)
+ [CreateConditionalForwarder](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateConditionalForwarder.html)
+ [CreateSnapshot](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateSnapshot.html)
+ [CreateLogSubscription](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateLogSubscription.html)
+ [CreateTrust](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_CreateTrust.html)
+ [DeleteConditionalForwarder](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteConditionalForwarder.html)
+ [DeleteDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteDirectory.html)
+ [DeleteLogSubscription](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteLogSubscription.html)
+ [DeleteSnapshot](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteSnapshot.html)
+ [DeleteTrust](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeleteTrust.html)
+ [DeregisterEventTopic](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DeregisterEventTopic.html)
+ [DescribeConditionalForwarders](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeConditionalForwarders.html)
+ [DescribeDomainControllers](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeDomainControllers.html)
+ [DescribeEventTopics](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeEventTopics.html)
+ [DescribeSharedDirectories](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeSharedDirectories.html)
+ [DescribeSnapshots](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeSnapshots.html)
+ [DescribeTrusts](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DescribeTrusts.html)
+ [DisableRadius](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DisableRadius.html)
+ [DisableSso](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_DisableSso.html)
+ [EnableRadius](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_EnableRadius.html)
+ [EnableSso](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_EnableSso.html)
+ [GetSnapshotLimits](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_GetSnapshotLimits.html)
+ [ListIpRoutes](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ListIpRoutes.html)
+ [ListSchemaExtensions](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ListSchemaExtensions.html)
+ [ListTagsForResource](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ListTagsForResource.html)
+ [RegisterEventTopic](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RegisterEventTopic.html)
+ [RejectSharedDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RejectSharedDirectory.html)
+ [RemoveIpRoutes](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RemoveIpRoutes.html)
+ [RemoveTagsFromResource](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RemoveTagsFromResource.html)
+ [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html)
+ [RestoreFromSnapshot](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_RestoreFromSnapshot.html)
+ [ShareDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ShareDirectory.html)
+ [StartSchemaExtension](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_StartSchemaExtension.html)
+ [UnshareDirectory](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UnshareDirectory.html)
+ [UpdateConditionalForwarder](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateConditionalForwarder.html)
+ [UpdateNumberOfDomainControllers](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateNumberOfDomainControllers.html)
+ [UpdateRadius](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateRadius.html)
+ [UpdateTrust](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_UpdateTrust.html)
+ [VerifyTrust](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_VerifyTrust.html)