Visão geral do gerenciamento de permissões de acesso aos recursos do AWS Directory Service - AWS Directory Service

Visão geral do gerenciamento de permissões de acesso aos recursos do AWS Directory Service

Todo recurso da AWS é de propriedade de uma conta da AWS. Como resultado, as permissões para criar ou acessar os recursos são controladas pelas políticas de permissões. No entanto, um administrador da conta, que é um usuário com permissões de administrador, pode anexar permissões aos recursos. Eles também têm a capacidade de anexar políticas de permissões a identidades do IAM, como usuários, grupos e perfis, e alguns serviços, como o AWS Lambda, também oferecem suporte à anexação de políticas de permissões a recursos.

nota

Para obter informações sobre o perfil de administrador da conta, consulte as práticas recomendadas do IAM no Guia do usuário do IAM.

Recursos e operações do AWS Directory Service

No AWS Directory Service, o recurso principal é um diretório. Como o AWS Directory Service oferece suporte a recursos de snapshot de diretórios, você pode criar snapshots somente no contexto de um diretório existente. Este snapshot é referido como um sub-recurso.

Esses recursos têm nomes de recurso da Amazon (ARNs) exclusivos associados, conforme mostrado na tabela a seguir.

Tipo de recurso Formato de Nome de região da Amazon (ARN)

Diretório

arn:aws:ds:region:account-id:directory/external-directory-id

Snapshot

arn:aws:ds:region:account-id:snapshot/external-snapshot-id

O AWS Directory Service inclui dois namespaces de serviço com base no tipo de operação que você executa.

  • O namespace do serviço ds fornece um conjunto de operações para trabalhar com os recursos apropriados. Para obter uma lista das operações disponíveis, consulte Ações do Directory Service.

  • O namespace de serviço do ds-data fornece um conjunto de operações para objetos do Active Directory. Para obter uma lista das operações disponíveis, consulte a Referência de APIs do Directory Service Data.

Informações sobre propriedade de recursos

Um proprietário do recurso é a conta da AWS que criou um recurso. Ou seja, o proprietário do recurso é a conta da AWS da entidade principal (a conta raiz, um usuário do IAM ou uma função do IAM) que autentica a solicitação que cria o recurso. Os seguintes exemplos mostram como isso funciona:

  • Se você usar as credenciais da conta raiz de sua conta da AWS para criar um recurso do AWS Directory Service, por exemplo, um diretório, sua conta da AWS será a proprietária desse recurso.

  • Se você criar um usuário do IAM na sua conta da AWS e conceder permissões para criar recursos do AWS Directory Service para esse usuário, o usuário também poderá criar um recursos do AWS Directory Service. No entanto, sua conta da AWS, à qual o usuário pertence, é a proprietária dos recursos.

  • Se você criar um perfil do IAM na sua conta da AWS com permissões para criar recursos do AWS Directory Service, qualquer pessoa que puder assumir o perfil poderá criar recursos do AWS Directory Service. A conta da AWS, à qual a função pertence, é a proprietária dos recursos do AWS Directory Service.

Gerenciamento de acesso aos recursos

A política de permissões descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação de políticas de permissões.

nota

Esta seção discute o uso do IAM no contexto do AWS Directory Service. Não são fornecidas informações detalhadas sobre o serviço IAM. Para ver a documentação completa do IAM, consulte O que é o IAM? no Guia do usuário do IAM. Para obter informações sobre a sintaxe e as descrições da política do IAM, consulte a Referência da política JSON do IAM no Guia do usuário do IAM.

As políticas associadas a uma identidade do IAM são conhecidas como políticas baseadas em identidade (políticas do IAM), e as políticas associadas a um recurso são conhecidas como políticas baseadas em recurso. O AWS Directory Service aceita apenas políticas baseadas em identidade (políticas do IAM).

Políticas baseadas em identidade (políticas do IAM)

Você pode anexar políticas a identidades do IAM. Por exemplo, você pode fazer o seguinte:

  • Anexar uma política de permissões a um usuário ou a um grupo em sua conta – um administrador da conta pode usar uma política de permissões associada a determinado usuário para conceder permissões para que esse usuário crie um recurso do AWS Directory Service, como um novo diretório.

  • Anexar uma política de permissões a uma função: você pode anexar uma política de permissões baseada em identidade a um perfil do IAM para conceder permissões entre contas.

    Para obter mais informações sobre o uso do IAM para delegar permissões, consulte Access management no IAM User Guide.

A seguinte política de permissões concede permissões a um usuário para executar todas as ações que começam com Describe. Essas ações mostram informações sobre um recurso do AWS Directory Service, como um diretório ou um snapshot. Observe que o caractere curinga (*) no elemento Resource indica que as ações são permitidas para todos os recursos do AWS Directory Service que pertencem à conta.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ds:Describe*", "Resource":"*" } ] }

Para mais informações sobre como usar políticas baseadas em identidade com o AWS Directory Service, consulte Uso de políticas baseadas em identidade (políticas do IAM) para o AWS Directory Service. Para obter mais informações sobre usuários, grupos, funções e permissões, consulte Identities (users, groups, and roles) no Guia do usuário do IAM.

Políticas baseadas no recurso

Outros serviços, como o Amazon S3, também aceitam políticas de permissões baseadas em recurso. Por exemplo, você pode anexar uma política a um bucket do S3 para gerenciar permissões de acesso a esse bucket. O AWS Directory Service não aceita políticas baseadas em recurso.

Especificar elementos da política: ações, efeitos, recursos e entidades principais

Para cada recurso do AWS Directory Service, o serviço define um conjunto de operações da API. Para ter mais informações, consulte Recursos e operações do AWS Directory Service. Para obter uma lista das operações de API, consulte Ações do Directory Service.

Para conceder permissões a essas operações da API, o AWS Directory Service define um conjunto de ações que podem ser especificadas em uma política. Observe que a execução de uma operação de API pode exigir permissões para mais de uma ação.

Estes são os elementos de política básicos:

  • Recurso: em uma política, você usa um Amazon Resource Name (ARN – Nome de recurso da Amazon) para identificar o recurso a que a política se aplica. Para os recursos do AWS Directory Service, você sempre usa o caractere curinga (*) nas políticas do IAM. Para ter mais informações, consulte Recursos e operações do AWS Directory Service.

  • Ação: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar. Por exemplo, a permissão ds:DescribeDirectories permite que o usuário execute a operação DescribeDirectories do AWS Directory Service.

  • Efeito: você especifica o efeito quando o usuário solicita a ação específica. E pode ser permitir ou negar. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.

  • Principal: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é implicitamente a entidade principal. Para as políticas baseadas em recurso, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (aplica-se somente a políticas baseadas em recurso). O AWS Directory Service não aceita politicas baseadas em recurso.

Para saber mais sobre a sintaxe e as descrições de políticas do IAM, consulte a Referência da política JSON do IAM no Guia do usuário do IAM.

Para obter uma tabela que mostra todas as ações da API do AWS Directory Service e os recursos a que elas se aplicam, consulte Permissões da API do AWS Directory Service: referência de ações, recursos e condições.

Especificar condições em uma política

Ao conceder permissões, você pode usar a linguagem da política de acesso para especificar as condições quando uma política deve entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte Condition no Guia do usuário do IAM.

Para expressar condições, você usa chaves de condição predefinidas. Não existem chaves de condição específicas do AWS Directory Service. No entanto, existem chaves de condição da AWS que você pode usar como desejar. Para obter uma lista completa de chaves de toda a AWS, consulte Available global condition keys no Guia do usuário do IAM.