本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 Cloud Directory 使用基于身份的策略（IAM 策略）
<a name="iam_auth_access_accesscontrol_identitybased"></a>

本主题提供了基于身份的策略的示例，在这些策略中，账户管理员可以向 IAM 身份（即：用户、组和角色）附加权限策略。

 

**重要**  
我们建议您首先阅读以下介绍性主题，这些主题讲解了管理对 Cloud Directory 资源的访问权限的基本概念和选项。有关更多信息，请参阅 [管理您的 Cloud Directory 资源的访问权限概述](iam_auth_access_accesscontrol_overview.md)。

本主题的各个部分涵盖以下内容：
+ [使用 AWS Directory Service 控制台所需的权限](#iam_auth_access_usingwith_iam_requiredpermissions_console)
+ [Amazon Cloud Directory 的 AWS 托管（预定义）策略](#iam_auth_access_accesscontrol_managedpolicies)

## 使用 AWS Directory Service 控制台所需的权限
<a name="iam_auth_access_usingwith_iam_requiredpermissions_console"></a>

要使用户可以使用 AWS Directory Service 控制台，该用户必须拥有上面策略中列出的权限或是 Directory Service 完全访问角色或 Directory Service 只读角色所授予的权限，如[Amazon Cloud Directory 的 AWS 托管（预定义）策略](#iam_auth_access_accesscontrol_managedpolicies)。

如果创建比必需的最低权限更为严格的 IAM 策略，对于附加了该 IAM 策略的用户，控制台将无法按预期正常运行。

## Amazon Cloud Directory 的 AWS 托管（预定义）策略
<a name="iam_auth_access_accesscontrol_managedpolicies"></a>

AWS 通过提供由 AWS 创建和管理的独立 IAM 策略来解决许多常用案例。托管策略可授予常用案例的必要权限，因此，您可以免去调查都需要哪些权限的工作。有关更多信息，请参阅 [《IAM 用户指南》](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)中的 *AWS 托管策略*。

以下 AWS 托管策略 (可以将它们附加到您账户中的用户) 特定于 Amazon Cloud Directory：
+ **亚马逊云目录只读访问**— 向用户或组授予对所有 Amazon Cloud Directory 资源的只读访问权限。有关更多信息，请参阅 AWS 管理控制台中的[策略](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonCloudDirectoryReadOnlyAccess)页面。
+ **卓越亚马逊云目录完全访问**— 向用户或组授予对 Amazon Cloud Directory 的完全访问权限。有关更多信息，请参阅 AWS 管理控制台中的[策略](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonCloudDirectoryFullAccess)页面。

此外，还有其他 AWS 托管策略适用于其他 IAM 角色。这些策略会分配给与 Amazon Cloud Directory 中的用户关联的角色，要使这些用户有权访问其他 AWS 资源 (如 Amazon EC2)，需要这些策略。

还可创建自定义 IAM 策略来允许用户访问必需的 操作和资源。您可以将这些自定义策略附加到需要这些权限的 IAM 用户或组。