本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

Directory

目錄是結構描述架構的資料存放區，其中包含由多階層結構組織的特定物件類型 (如需詳細資訊，請參閱「目錄結構」)。例如，使用者目錄可提供以報告結構、位置和專案關係為基礎的階層檢視。同樣地，裝置目錄可有以其製造商、目前擁有者和實體位置為基礎的多個階層檢視。

目錄定義資料存放區的邏輯邊界，藉此與服務中的其他目錄完全隔離。此外也定義個別請求的邊界。單一交易或查詢會在單一目錄內容中執行。您無法建立沒有結構描述的目錄，而且一個目錄通常會套用一個結構描述。不過，您可以使用 Cloud Directory API 操作將其他結構描述套用至目錄。如需詳細資訊，請參閱「」ApplySchema中的Amazon Cloud Directory API 參考指南。

Objects

物件是目錄中的結構化資料實體。目錄中的物件旨在擷取實體 (Physical) 或邏輯實體 (Entity) 相關的中繼資料 (或屬性)，通常用於資訊探索及政策行使等目的。例如，使用者、裝置、應用程式、AWS 帳戶、EC2 執行個體和 Amazon S3 儲存貯體在目錄中都會以不同物件類型表示。

物件的結構和類型資訊會以面向集合表示。您可以使用 Path 或 ObjectIdentifier 來存取物件。物件也可以包含屬性，即使用者定義的中繼資料單位。例如，使用者物件可以包含名為 email-address 的屬性。屬性一律會與物件產生關聯。

Policies

政策是專門用來存放許可或功能的物件類型。政策提供 LookupPolicy API 動作。查詢政策動作可參考任何物件做為其起始輸入。接著會在目錄中一路向上到根目錄。此動作會收集在到達根目錄的每個路徑上，所遇到的任何政策物件。Cloud Directory 完全不會解譯任何政策。反之，會是由 Cloud Directory 使用者透過其專屬的商業邏輯來解譯政策。

例如，假設有一個存放員工資訊的系統。而員工會依工作職能分組。我們想要為人力資源群組成員與會計群組成員建立不同的許可。人力資源群組成員將能夠存取薪資資訊，而會計群組成員將能夠存取總帳資訊。為了建立這些許可，我們將政策物件連接到每個群組。需要評估使用者的許可時，我們可以對該使用者的物件使用 LookupPolicy API 動作。所以此LookupPolicyAPI 動作會從指定政策的物件一路向上到根目錄。途中會在每個節點停下並檢查是否有任何連接政策，然後傳回這些政策。

政策連接

您可以透過兩種方式將政策連接到其他物件：一般父子連接與特殊政策連接。使用一般父子連接，政策可以連接到父節點。這提供了一個簡單的機制，經常有助於尋找資料目錄中的政策。政策不能有子項。LookupPolicy API 呼叫期間不會傳回透過父子連接所連接的政策。

政策物件也可透過政策連接來連接到其他物件。您可以使用 AttachPolicy 和 DetachPolicy API 動作來管理這些政策連接。政策連接可讓您在使用 LookupPolicy API 時找到政策節點。

政策結構描述規格

若要開始使用政策，您必須先將面向新增至結構描述以支援建立政策。為了達成此目標，請建立面向，並將面向的 objectType 設定為 POLICY。建立使用 POLICY 類型面向的物件可確保物件具有政策功能。

政策面向會繼承兩個屬性，以及您新增至定義的任何屬性：

政策 API 概觀

有各種不同的專用 API 動作可搭配政策使用。如需可用操作的清單，請參閱Amazon Cloud Directory 操作。

若要建立政策物件，請使用 CreateObject API 動作並搭配適當的面向：

如需執行每個 API 動作所需之操作和許可的清單，請參閱「Amazon Cloud Directory 許可：動作、資源和條件參考」。