管理 AWS Directory Service 资源访问权限概述 - AWS Directory Service
AWS Directory Service 资源和运营了解资源所有权管理对 资源的访问指定策略元素:操作、效果、资源和主体在策略中指定条件

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理 AWS Directory Service 资源访问权限概述

每个 AWS 资源都归一个 AWS 账户所有。因此,创建或访问资源的权限受权限策略的约束。但是,账户管理员(即具有管理员权限的用户)可以为资源附加权限。还能够将权限策略附加到IAM身份,例如用户、群组和角色,还有一些服务,例如 AWS Lambda 还支持将权限策略附加到资源。

注意

有关账户管理员角色的信息,请参阅《IAM用户指南》中的IAM最佳实践

AWS Directory Service 资源和运营

在中 AWS Directory Service,主要资源是一个目录。由于 AWS Directory Service 支持目录快照资源,因此只能在现有目录的上下文中创建快照。此快照被称为子资源

这些资源具有与之关联的唯一 Amazon 资源名称 (ARNs),如下表所示。

资源类型 ARN格式

目录

arn:aws:ds:region:account-id:directory/external-directory-id

快照

arn:aws:ds:region:account-id:snapshot/external-snapshot-id

AWS Directory Service 根据您执行的操作类型,包括两个服务命名空间。

  • ds服务命名空间提供了一组用于使用相应资源的操作。有关可用操作的列表,请参阅目录服务操作

  • ds-data服务命名空间为 Active Directory 对象提供了一组操作。有关可用操作的列表,请参阅 Directory Service 数据API参考

了解资源所有权

资源所有者是创建资源的 AWS 账户。也就是说,资源所有者是对创建资源的请求进行身份验证的委托人实体(根账户、IAM用户或IAM角色)的账户。 AWS 以下示例说明了它的工作原理:

  • 如果您使用账户的根账户证书创建 AWS Directory Service 资源(例如目录),则您的 AWS 账户就是该资源的所有者。 AWS

  • 如果您在 AWS 账户中创建IAM用户并向该用户授予创建 AWS Directory Service 资源的权限,则该用户也可以创建 AWS Directory Service 资源。但是,该用户所属的您的 AWS 账户拥有这些资源。

  • 如果您在 AWS 账户中创建具有创建 AWS Directory Service 资源权限的IAM角色,则任何能够担任该角色的人都可以创建 AWS Directory Service 资源。该角色所属的 AWS 账户拥有这些 AWS Directory Service 资源。

管理对 资源的访问

权限策略规定谁可以访问哪些内容。下一节介绍创建权限策略时的可用选项。

注意

本节讨论IAM在的上下文中使用 AWS Directory Service。它不提供有关IAM服务的详细信息。有关完整IAM文档,请参阅什么是IAM? 在《IAM用户指南》中。有关IAM策略语法和描述的信息,请参阅《IAM用户指南》中的IAMJSON策略参考

附加到IAM身份的策略称为基于身份的策略(IAM策略),附加到资源的策略称为基于资源的策略。 AWS Directory Service 仅支持基于身份的策略(IAM策略)。

基于身份的策略(策略)IAM

您可以将策略附加到IAM身份。例如,您可以执行以下操作:

  • 将@@ 权限策略附加到您账户中的用户或群组-账户管理员可以使用与特定用户关联的权限策略向该用户授予创建 AWS Directory Service 资源(例如新目录)的权限。

  • 将@@ 权限策略附加到角色(授予跨账户权限)-您可以将基于身份的权限策略附加到IAM角色以授予跨账户权限。

    有关使用委派权限IAM的更多信息,请参阅《IAM用户指南》中的访问管理

以下权限策略对用户授予权限以运行以 Describe 开头的所有操作。这些操作显示有关 AWS Directory Service 资源的信息,例如目录或快照。请注意,Resource元素中的通配符 (*) 表示允许对账户拥有的所有 AWS Directory Service 资源执行这些操作。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ds:Describe*",
         "Resource":"*"
      }
   ]
}

有关将基于身份的策略与配合使用的更多信息 AWS Directory Service,请参阅。使用基于身份的策略(IAM策略) AWS Directory Service有关用户、群组、角色和权限的更多信息,请参阅《用户指南》中的身份(用户、群组和角色)。IAM

基于资源的策略

其他服务(如 Amazon S3)还支持基于资源的权限策略。例如,您可以将策略附加到 S3 存储桶,以管理对该存储桶的访问权限。 AWS Directory Service 不支持基于资源的策略。

指定策略元素:操作、效果、资源和主体

对于每种 AWS Directory Service 资源,该服务都定义了一组API操作。有关更多信息,请参阅 AWS Directory Service 资源和运营。有关可用API操作的列表,请参阅 Directory Service 操作

要授予这些API操作的权限,请 AWS Directory Service 定义一组可以在策略中指定的操作。请注意,执行一项API操作可能需要多个操作的权限。

以下是基本的策略元素:

  • 资源-在策略中,您可以使用 Amazon 资源名称 (ARN) 来标识该政策适用的资源。对于 AWS Directory Service 资源,您始终在IAM策略中使用通配符 (*)。有关更多信息,请参阅 AWS Directory Service 资源和运营

  • 操作 – 您可以使用操作关键字标识要允许或拒绝的资源操作。例如,ds:DescribeDirectories 权限允许执行 AWS Directory Service DescribeDirectories 操作的用户权限。

  • 效果 – 用于指定当用户请求特定操作时的效果。可以是允许或拒绝。如果没有显式授予(允许)对资源的访问权限,则隐式拒绝访问。您也可显式拒绝对资源的访问,这样可确保用户无法访问该资源,即使有其他策略授予了访问权限的情况下也是如此。

  • 委托人 — 在基于身份的策略(IAM策略)中,策略所关联的用户是隐式委托人。对于基于资源的策略,您可以指定要获得权限的用户、账户、服务或其他实体(仅适用于基于资源的策略)。 AWS Directory Service 不支持基于资源的策略。

要了解有关IAM策略语法和描述的更多信息,请参阅IAM用户指南中的IAMJSON策略参考

有关显示所有 AWS Directory Service API操作及其适用的资源的表格,请参阅AWS Directory Service API权限:操作、资源和条件参考

在策略中指定条件

当您授予权限时,可使用访问策略语言来指定规定策略何时生效的条件。例如,您可能希望策略仅在特定日期后应用。有关使用策略语言指定条件的更多信息,请参阅《IAM用户指南》中的条件

要表示条件,您可以使用预定义的条件键。没有特定于 AWS Directory Service的条件键。但是,您可以根据需要使用一些 AWS 条件键。有关 AWS 密钥的完整列表,请参阅《IAM用户指南》中的可用全局条件密钥