管理您的 Cloud Directory 資源存取許可概觀 - Amazon Cloud Directory
Cloud Directory 資源與作業了解資源所有權管理資源存取指定政策元素:動作、效果、資源和委託人在政策中指定條件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理您的 Cloud Directory 資源存取許可概觀

每項 AWS 資源均由某個 AWS 帳戶所擁有,而建立或存取資源的許可則由許可政策管理。帳戶管理員可以將許可政策連接到 IAM 身分 (即使用者、群組與角色) 以及某些服務 (例如 AWS Lambda),也支援將許可政策連接到資源。

注意

帳戶管理員 (或管理員使用者) 是具有管理員權限的使用者。如需詳細資訊,請參閱 IAM 最佳實務 (在 IAM 使用者指南 中)。

當您授予許可時,能夠決定取得許可的對象、這些對象取得許可的資源,以及可對上述資源進行的特定動作。

Cloud Directory 資源與作業

在 Cloud Directory 中,主要資源是目錄和模式。這些資源各與唯一的 Amazon Resource Name (ARN) 相關聯,如下表所示。

資源類型 ARN 格式

目錄

arn:aws:clouddirectory:region:account-id:directory/directory-id
結構描述 arn:aws:clouddirectory:region:account-id:schema/schema-state/schema-name

如需結構描述狀態和 ARN 的詳細資訊,請參閱ARN 範例中的Amazon Cloud Directory API 參考

Cloud Directory 提供一組操作,供您使用適當的資源。如需可用操作的清單,請參閱Amazon Cloud Directory 動作Directory Service 動作

了解資源所有權

資源擁有者即建立資源的 AWS 帳戶。換言之,資源擁有者就是驗證建立資源請求之 委託人實體(根帳戶、IAM 使用者或 IAM 角色) 的 AWS 帳戶。下列範例說明其如何運作:

  • 如果您使用 AWS 帳戶的根帳戶登入資料建立 Cloud Directory 資源 (如目錄),您的 AWS 帳戶就是該資源的擁有者。

  • 如果您在自己的 AWS 帳戶中建立 IAM 使用者,並將建立 Cloud Directory 資源的許可授予該使用者,則該使用者也可建立 Cloud Directory 資源。但是您的 AWS 帳戶 (即該使用者所屬帳戶) 為該 資源的擁有者。

  • 如果您在自己的 AWS 帳戶中建立 IAM 角色,並授予該角色建立 Cloud Directory 資源的許可,則任何可擔任該角色的人都能建立 Cloud Directory 資源。您的 AWS 帳戶 (即該角色所屬帳戶) 擁有 Cloud Directory 資源。

管理資源存取

許可政策描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。

注意

本節將著重討論如何在 Cloud Directory 中使用 IAM。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件,請參閱什麼是 IAM?中的IAM 使用者指南。如需 IAM 政策語法和說明的詳細資訊,請參閱AWS IAM 參考中的IAM 使用者指南

連接到 IAM 身分的政策稱為身分類型政策 (IAM 政策) 和連接到資源的政策稱為以資源為基礎的政策。Cloud Directory 僅支援以身分為基礎的政策 (IAM 政策)。

身分類型政策 (IAM 政策)

您可以將政策連接到 IAM 身分。例如,您可以執行下列操作:

  • 將許可政策連接至您帳戶中的使用者或群組-帳戶管理員可使用與特定使用者相關聯的許可政策,來授予該使用者建立 Cloud Directory 資源 (例如新目錄) 的許可。

  • 將許可政策連接至角色 (授予跨帳戶許可)-您可以將以身分為基礎的許可政策連接至 IAM 角色,以授予跨帳戶許可。例如,帳戶 A 中的管理員可以建立角色,將跨帳戶許可授與其他 AWS 帳戶 (例如,帳戶 B) 或下列 AWS 服務:

    1. 帳戶 A 管理員建立 IAM 角色,並將許可政策連接到可授與帳戶 A 中資源許可的角色。

    2. 帳戶 A 管理員將信任政策連接至該角色,識別帳戶 B 做為可擔任該角的委託人。

    3. 帳戶 B 管理員即可將擔任該角色的許可委派給帳戶 B 中的任何使用者。這麼做可讓帳戶 B 的使用者建立或存取帳戶 A 的資源。如果您想要授與 AWS 服務許可以擔任該角色,則信任政策的主體可以是 AWS 服務主體。

    如需使用 IAM 委派許可的詳細資訊,請參閱存取管理中的IAM 使用者指南

下列許可政策會授予使用者執行開頭為 Create 之所有動作的許可。這些動作會顯示 Cloud Directory 資源 (如目錄或綱要) 的相關資訊。請注意,萬用字元 (*)Resource元素表示可對帳戶擁有的所有 Cloud Directory 資源執行動作。

{
   "Version":"2017-01-11",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"clouddirectory:Create*",
         "Resource":"*"
      }
   ]
}

如需搭配 Cloud Directory 使用以身分為基礎的政策的詳細資訊,請參閱在 Cloud Directory 使用以身分為基礎的政策 (IAM 政策)。如需使用者、群組、角色和許可的詳細資訊,請參閱身分 (使用者、群組和角色)中的IAM 使用者指南

資源類型政策

其他服務 (例如 Amazon S3) 也支援以資源為基礎的許可政策。例如,您可以將政策連接至 S3 儲存貯體,以管理該儲存貯體的存取許可。Cloud Directory 不支援以資源為基礎的政策。

指定政策元素:動作、效果、資源和委託人

針對每個 Cloud Directory 資源 (請參閱Cloud Directory 資源與作業),該服務會定義一組 API 操作。如需可用的 API 操作清單,請參閱Amazon Cloud Directory 動作Directory Service 動作。為了授予這些 API 操作的許可,Cloud Directory 會定義一組您可以在政策中指定的動作。請注意,執行 API 操作可能需要多個動作的許可。

以下是基本的政策元素:

  • 資源 – 在政策中,您可以使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。對於 Cloud Directory 資源,則一律在 IAM 政策中使用萬用字元 (*)。如需詳細資訊,請參閱 Cloud Directory 資源與作業

  • 動作 - 您使用動作關鍵字識別您要允許或拒絕的資源操作。例如,clouddirectory:GetDirectory許可允許使用者執行 Cloud DirectoryGetDirectoryoperation.

  • 效果— 您可指定當使用者要求特定動作時會有什麼效果 — 這可以是允許或拒絕。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。

  • 委託人 - 在以身分為基礎的政策 (IAM 政策) 中,政策所連接的使用者就是隱含委託人。對於資源類型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源類型政策)。Cloud Directory 不支援以資源為基礎的政策。

如需進一步了解 IAM 政策語法和說明,請參閱AWS IAM 參考中的IAM 使用者指南

如需詳列所有 Amazon Cloud Directory API 動作及適用資源的資料表,請參閱Amazon Cloud Directory 許可:動作、資源和條件參考

在政策中指定條件

當您授予許可時,可以使用存取原則語言來指定政策應該何時生效的條件。例如,建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊,請參閱Condition中的IAM 使用者指南

欲表示條件,您可以使用預先定義的條件金鑰。Cloud Directory 沒有專屬的條件金鑰。不過,您可以使用適合的全 AWS 條件鍵。如需全 AWS 鍵的完整清單,請參閱可用的全球條件金鑰中的IAM 使用者指南