本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理 AWS Directory Service 资源访问权限概述
每个 AWS 资源都归一个 AWS 账户所有。因此,创建或访问资源的权限受权限策略的约束。但是,账户管理员(即具有管理员权限的用户)可以为资源附加权限。还能够将权限策略附加到IAM身份,例如用户、群组和角色,还有一些服务,例如 AWS Lambda 还支持将权限策略附加到资源。
注意
有关账户管理员角色的信息,请参阅《IAM用户指南》中的IAM最佳实践。
AWS Directory Service 资源和运营
在中 AWS Directory Service,主要资源是一个目录。由于 AWS Directory Service 支持目录快照资源,因此只能在现有目录的上下文中创建快照。此快照被称为子资源。
这些资源具有与之关联的唯一 Amazon 资源名称 (ARNs),如下表所示。
资源类型 | ARN格式 |
---|---|
目录 |
|
快照 |
|
AWS Directory Service 根据您执行的操作类型,包括两个服务命名空间。
-
ds
服务命名空间提供了一组用于使用相应资源的操作。有关可用操作的列表,请参阅目录服务操作。 -
ds-data
服务命名空间为 Active Directory 对象提供了一组操作。有关可用操作的列表,请参阅 Directory Service 数据API参考。
了解资源所有权
资源所有者是创建资源的 AWS 账户。也就是说,资源所有者是对创建资源的请求进行身份验证的委托人实体(根账户、IAM用户或IAM角色)的账户。 AWS 以下示例说明了它的工作原理:
-
如果您使用账户的根账户证书创建 AWS Directory Service 资源(例如目录),则您的 AWS 账户就是该资源的所有者。 AWS
-
如果您在 AWS 账户中创建IAM用户并向该用户授予创建 AWS Directory Service 资源的权限,则该用户也可以创建 AWS Directory Service 资源。但是,该用户所属的您的 AWS 账户拥有这些资源。
-
如果您在 AWS 账户中创建具有创建 AWS Directory Service 资源权限的IAM角色,则任何能够担任该角色的人都可以创建 AWS Directory Service 资源。该角色所属的 AWS 账户拥有这些 AWS Directory Service 资源。
管理对 资源的访问
权限策略规定谁可以访问哪些内容。下一节介绍创建权限策略时的可用选项。
注意
本节讨论IAM在的上下文中使用 AWS Directory Service。它不提供有关IAM服务的详细信息。有关完整IAM文档,请参阅什么是IAM? 在《IAM用户指南》中。有关IAM策略语法和描述的信息,请参阅《IAM用户指南》中的IAMJSON策略参考。
附加到IAM身份的策略称为基于身份的策略(IAM策略),附加到资源的策略称为基于资源的策略。 AWS Directory Service 仅支持基于身份的策略(IAM策略)。
基于身份的策略(策略)IAM
您可以将策略附加到IAM身份。例如,您可以执行以下操作:
-
将@@ 权限策略附加到您账户中的用户或群组-账户管理员可以使用与特定用户关联的权限策略向该用户授予创建 AWS Directory Service 资源(例如新目录)的权限。
-
将@@ 权限策略附加到角色(授予跨账户权限)-您可以将基于身份的权限策略附加到IAM角色以授予跨账户权限。
有关使用委派权限IAM的更多信息,请参阅《IAM用户指南》中的访问管理。
以下权限策略对用户授予权限以运行以 Describe
开头的所有操作。这些操作显示有关 AWS Directory Service 资源的信息,例如目录或快照。请注意,Resource
元素中的通配符 (*) 表示允许对账户拥有的所有 AWS Directory Service 资源执行这些操作。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ds:Describe*", "Resource":"*" } ] }
有关将基于身份的策略与配合使用的更多信息 AWS Directory Service,请参阅。使用基于身份的策略(IAM策略) AWS Directory Service有关用户、群组、角色和权限的更多信息,请参阅《用户指南》中的身份(用户、群组和角色)。IAM
基于资源的策略
其他服务(如 Amazon S3)还支持基于资源的权限策略。例如,您可以将策略附加到 S3 存储桶,以管理对该存储桶的访问权限。 AWS Directory Service 不支持基于资源的策略。
指定策略元素:操作、效果、资源和主体
对于每种 AWS Directory Service 资源,该服务都定义了一组API操作。有关更多信息,请参阅 AWS Directory Service 资源和运营。有关可用API操作的列表,请参阅 Directory Service 操作。
要授予这些API操作的权限,请 AWS Directory Service 定义一组可以在策略中指定的操作。请注意,执行一项API操作可能需要多个操作的权限。
以下是基本的策略元素:
-
资源-在策略中,您可以使用 Amazon 资源名称 (ARN) 来标识该政策适用的资源。对于 AWS Directory Service 资源,您始终在IAM策略中使用通配符 (*)。有关更多信息,请参阅 AWS Directory Service 资源和运营。
-
操作 – 您可以使用操作关键字标识要允许或拒绝的资源操作。例如,
ds:DescribeDirectories
权限允许执行 AWS Directory ServiceDescribeDirectories
操作的用户权限。 -
效果 – 用于指定当用户请求特定操作时的效果。可以是允许或拒绝。如果没有显式授予(允许)对资源的访问权限,则隐式拒绝访问。您也可显式拒绝对资源的访问,这样可确保用户无法访问该资源,即使有其他策略授予了访问权限的情况下也是如此。
-
委托人 — 在基于身份的策略(IAM策略)中,策略所关联的用户是隐式委托人。对于基于资源的策略,您可以指定要获得权限的用户、账户、服务或其他实体(仅适用于基于资源的策略)。 AWS Directory Service 不支持基于资源的策略。
要了解有关IAM策略语法和描述的更多信息,请参阅IAM用户指南中的IAMJSON策略参考。
有关显示所有 AWS Directory Service API操作及其适用的资源的表格,请参阅AWS Directory Service API权限:操作、资源和条件参考。
在策略中指定条件
当您授予权限时,可使用访问策略语言来指定规定策略何时生效的条件。例如,您可能希望策略仅在特定日期后应用。有关使用策略语言指定条件的更多信息,请参阅《IAM用户指南》中的条件。
要表示条件,您可以使用预定义的条件键。没有特定于 AWS Directory Service的条件键。但是,您可以根据需要使用一些 AWS 条件键。有关 AWS 密钥的完整列表,请参阅《IAM用户指南》中的可用全局条件密钥。