为 Cloud Directory 使用基于身份的策略(IAM 策略) - Amazon Cloud Directory
使用 AWS Directory Service 控制台所需的权限Amazon Cloud Directory 的 AWS 托管(预定义)策略

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Cloud Directory 使用基于身份的策略(IAM 策略)

本主题提供了基于身份的策略的示例,在这些策略中,账户管理员可以向 IAM 身份(即:用户、组和角色)附加权限策略。

重要

我们建议您首先阅读以下介绍性主题,这些主题讲解了管理对 Cloud Directory 资源的访问权限的基本概念和选项。有关更多信息,请参阅 管理您的 Cloud Directory 资源的访问权限概述

本主题的各个部分涵盖以下内容:

使用 AWS Directory Service 控制台所需的权限

要使用户可以使用 AWS Directory Service 控制台,该用户必须拥有上面策略中列出的权限或是 Directory Service 完全访问角色或 Directory Service 只读角色所授予的权限,如Amazon Cloud Directory 的 AWS 托管(预定义)策略

如果创建比必需的最低权限更为严格的 IAM 策略,对于附加了该 IAM 策略的用户,控制台将无法按预期正常运行。

Amazon Cloud Directory 的 AWS 托管(预定义)策略

AWS 通过提供由 AWS 创建和管理的独立 IAM 策略来解决许多常用案例。托管策略可授予常用案例的必要权限,因此,您可以免去调查都需要哪些权限的工作。有关更多信息,请参阅 《IAM 用户指南》中的 AWS 托管策略

以下 AWS 托管策略 (可以将它们附加到您账户中的用户) 特定于 Amazon Cloud Directory:

  • 亚马逊云目录只读访问— 向用户或组授予对所有 Amazon Cloud Directory 资源的只读访问权限。有关更多信息,请参阅 AWS 管理控制台中的策略页面。

  • 卓越亚马逊云目录完全访问— 向用户或组授予对 Amazon Cloud Directory 的完全访问权限。有关更多信息,请参阅 AWS 管理控制台中的策略页面。

此外,还有其他 AWS 托管策略适用于其他 IAM 角色。这些策略会分配给与 Amazon Cloud Directory 中的用户关联的角色,要使这些用户有权访问其他 AWS 资源 (如 Amazon EC2),需要这些策略。

还可创建自定义 IAM 策略来允许用户访问必需的 操作和资源。您可以将这些自定义策略附加到需要这些权限的 IAM 用户或组。