管理 AWS Directory Service 資源存取許可的概觀 - AWS Directory Service
AWS Directory Service 資源和操作了解資源所有權管理資源存取指定政策元素:動作、效果、資源和主體在政策中指定條件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理 AWS Directory Service 資源存取許可的概觀

每個 AWS 資源都由 AWS 帳戶擁有。因此,建立或存取 資源的許可受許可政策約束。不過,具有管理員許可的 帳戶管理員可以將許可連接到資源。也能夠將許可政策連接至IAM身分,例如使用者、群組和角色,以及一些服務,例如 AWS Lambda 也支援將許可政策連接至 資源。

注意

如需有關帳戶管理員角色的資訊,請參閱 IAM 使用者指南 中的IAM最佳實務

AWS Directory Service 資源和操作

在 中 AWS Directory Service,主要資源是目錄 。由於 AWS Directory Service 支援目錄快照資源,因此您只能在現有目錄的 內容中建立快照。此快照稱為子資源

這些資源具有與其相關聯的唯一 Amazon Resource Name (ARNs),如下表所示。

資源類型 ARN 格式

目錄

arn:aws:ds:region:account-id:directory/external-directory-id

快照

arn:aws:ds:region:account-id:snapshot/external-snapshot-id

AWS Directory Service 包含兩個服務命名空間,根據您執行的操作類型而定。

  • ds 服務命名空間提供一組操作,以使用適當的資源。如需可用操作的清單,請參閱 Directory Service 動作

  • ds-data 服務命名空間為 Active Directory 物件提供一組操作。如需可用操作的清單,請參閱目錄服務資料API參考

了解資源所有權

資源擁有者是建立資源 AWS 的帳戶。也就是說,資源擁有者是驗證建立資源之請求的主體實體 (根帳戶、IAM使用者或IAM角色) AWS 的帳戶。下列範例說明其如何運作:

  • 如果您使用 AWS 帳戶的根帳戶憑證來建立 AWS Directory Service 資源,例如目錄, AWS 您的帳戶就是該資源的擁有者。

  • 如果您在 AWS 帳戶中建立IAM使用者,並將建立 AWS Directory Service 資源的許可授予該使用者,則使用者也可以建立 AWS Directory Service 資源。但是,使用者所屬 AWS 的帳戶擁有資源。

  • 如果您在 AWS 帳戶中建立具有建立 AWS Directory Service 資源許可IAM的角色,則任何可以擔任該角色的人都可以建立 AWS Directory Service 資源。您角色所屬 AWS 的帳戶擁有 資源 AWS Directory Service 。

管理資源存取

許可政策描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。

注意

本節討論在 內容IAM中使用 AWS Directory Service。它不會提供有關 IAM服務的詳細資訊。如需完整IAM文件,請參閱 使用者指南 中的什麼是 IAM?IAM 如需IAM政策語法和描述的相關資訊,請參閱 IAM 使用者指南 中的IAMJSON政策參考

連接到IAM身分的政策稱為身分型政策 (IAM 政策),連接到資源的政策稱為資源型政策。 僅 AWS Directory Service 支援身分型政策 (IAM 政策)。

身分型政策 (IAM 政策)

您可以將政策連接至IAM身分。例如,您可以執行下列動作:

  • 將許可政策連接至您帳戶中的使用者或群組 – 帳戶管理員可以使用與特定使用者相關聯的許可政策,授予該使用者建立 AWS Directory Service 資源的許可,例如新目錄。

  • 將許可政策連接至角色 (授予跨帳戶許可) – 您可以將身分型許可政策連接至IAM角色,以授予跨帳戶許可。

    如需使用 IAM 委派許可的詳細資訊,請參閱 IAM 使用者指南 中的存取管理

下列許可政策會授予使用者執行開頭為 Describe 之所有動作的許可。這些動作會顯示 AWS Directory Service 資源的相關資訊,例如目錄或快照。請注意,Resource元素中的萬用字元 (*) 表示帳戶擁有的所有 AWS Directory Service 資源都允許執行動作。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ds:Describe*",
         "Resource":"*"
      }
   ]
}

如需搭配 使用身分型政策的詳細資訊 AWS Directory Service,請參閱 針對 使用身分型政策 (IAM 政策) AWS Directory Service。如需使用者、群組、角色和許可的詳細資訊,請參閱 IAM 使用者指南 中的身分 (使用者、群組和角色)

資源型政策

其他服務 (例如 Amazon S3) 也支援以資源為基礎的許可政策。例如,您可以將政策連接至 S3 儲存貯體,以管理該儲存貯體的存取許可。 AWS Directory Service 不支援資源型政策。

指定政策元素:動作、效果、資源和主體

對於每個 AWS Directory Service 資源,服務會定義一組API操作。如需詳細資訊,請參閱AWS Directory Service 資源和操作。如需可用API操作的清單,請參閱目錄服務動作

若要授予這些API操作的許可, AWS Directory Service 會定義一組您可以在政策中指定的動作。請注意,執行API操作可能需要多個動作的許可。

以下是基本的政策元素:

  • 資源 – 在政策中,您可以使用 Amazon Resource Name (ARN) 來識別政策適用的資源。對於 AWS Directory Service 資源,一律在IAM政策中使用萬用字元 (*)。如需詳細資訊,請參閱AWS Directory Service 資源和操作

  • 動作:使用動作關鍵字識別您要允許或拒絕的資源操作。例如,ds:DescribeDirectories 許可允許使用者執行 AWS Directory Service DescribeDirectories 操作。

  • 效果 - 您可以指定使用者請求特定動作的效果。可以為允許或拒絕。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。

  • 主體 – 在身分型政策 (IAM 政策) 中,附加政策的使用者是隱含主體。對於資源型政策,您可以指定要接收許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。 AWS Directory Service 不支援資源型政策。

若要進一步了解IAM政策語法和描述,請參閱 IAM 使用者指南 中的IAMJSON政策參考

如需顯示其套用的所有 AWS Directory Service API動作和資源的資料表,請參閱 AWS Directory Service API 許可:動作、資源和條件參考

在政策中指定條件

當您授予許可時,可以使用存取政策語言來指定政策應該何時生效的條件。例如,建議只在特定日期之後套用政策。如需以政策語言指定條件的詳細資訊,請參閱 IAM 使用者指南 中的條件

欲表示條件,您可以使用預先定義的條件金鑰。沒有 AWS Directory Service特定的條件金鑰。不過,您可以視需要使用 AWS 條件索引鍵。如需 AWS 金鑰的完整清單,請參閱 IAM 使用者指南 中的可用全域條件金鑰