本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 管理 Directory Service 資源存取許可的概觀
<a name="IAM_Auth_Access_Overview"></a>

 每個 AWS 資源都由 AWS 帳戶擁有。因此，建立或存取資源的許可受許可政策的約束。不過，帳戶管理員是具有管理員許可的使用者，可以將許可連接到資源。也能夠將許可政策連接至 IAM 身分，例如使用者、群組和角色，以及一些服務，例如 AWS Lambda 也支援將許可政策連接至 資源。

**注意**  
 如需帳戶管理員角色的相關資訊，請參閱《[IAM 使用者指南》中的 IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。 **

**Topics**
+ [Directory Service 資源和操作](#CreatingIAMPolicies_DS)
+ [了解資源所有權](#IAM_Auth_Access_ResourceOwner)
+ [管理 資源的存取](#IAM_Auth_Access_ManagingAccess)
+ [指定政策元素：動作、效果、資源和主體](#SpecifyingIAMPolicyActions_DS)
+ [在政策中指定條件](#SpecifyingIAMPolicyConditions_DS)

## Directory Service 資源和操作
<a name="CreatingIAMPolicies_DS"></a>

 在 中 Directory Service，主要資源是*目錄*。由於 Directory Service 支援目錄快照資源，因此您只能在現有目錄的內容中建立快照。此快照稱為*子資源*。

 這些資源各與唯一的 Amazon Resource Name (ARN) 相關聯，如下表所示。


****  

| **資源類型**  |  **ARN 格式**  | 
| --- | --- | 
|  目錄  |  `arn:aws:ds:region:account-id:directory/external-directory-id`  | 
|  快照  |  `arn:aws:ds:region:account-id:snapshot/external-snapshot-id`  | 

 Directory Service 包含兩個服務命名空間，根據您執行的操作類型而定。
+ `ds` 服務命名空間提供一組操作，以使用適當的資源。如需可用操作的清單，請參閱 [Directory Service 動作](https://docs.aws.amazon.com//directoryservice/latest/devguide/API_Operations.html)。
+  `ds-data` 服務命名空間為 Active Directory 物件提供一組操作。如需可用操作的清單，請參閱[目錄服務資料 API 參考](https://docs.aws.amazon.com//directoryservicedata/latest/DirectoryServiceDataAPIReference/Welcome.html)。

## 了解資源所有權
<a name="IAM_Auth_Access_ResourceOwner"></a>

*資源擁有者*是建立資源 AWS 的帳戶。也就是說，資源擁有者是驗證建立資源之請求的*委託人實體* （根帳戶、IAM 使用者或 IAM 角色） AWS 的帳戶。下列範例說明其如何運作：

 
+ 如果您使用 AWS 帳戶的根帳戶登入資料來建立 Directory Service 資源，例如 目錄， AWS 您的帳戶就是該資源的擁有者。
+ 如果您在 AWS 帳戶中建立 IAM 使用者，並將建立 Directory Service 資源的許可授予該使用者，該使用者也可以建立 Directory Service 資源。不過，使用者所屬 AWS 的帳戶擁有資源。
+ 如果您在 AWS 帳戶中建立具有建立 Directory Service 資源許可的 IAM 角色，則任何可以擔任該角色的人都可以建立 Directory Service 資源。您的 AWS 帳戶屬於該角色，擁有這些 Directory Service 資源。

## 管理 資源的存取
<a name="IAM_Auth_Access_ManagingAccess"></a>

*許可政策*描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。

**注意**  
本節討論在 內容中使用 IAM Directory Service。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件，請參閱《IAM 使用者指南》**中的[什麼是 IAM？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。如需 IAM 政策語法和說明的詳細資訊，請參閱《IAM 使用者指南》**中的 [IAM JSON 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。

連接至 IAM 身分的政策稱為以*身分為基礎的*政策 (IAM 政策），而連接至資源的政策稱為以*資源為基礎的*政策。 僅 Directory Service 支援以身分為基礎的政策 (IAM 政策）。

**Topics**
+ [身分類型政策 (IAM 政策)](#IAM_Auth_Access_ManagingAccess_IdentityBased)
+ [資源型政策](#IAM_Auth_Access_ManagingAccess_ResourceBased)

### 身分類型政策 (IAM 政策)
<a name="IAM_Auth_Access_ManagingAccess_IdentityBased"></a>

您可以將政策連接到 IAM 身分。例如，您可以執行下列動作：

 
+ **將許可政策連接至您帳戶中的使用者或群組** – 帳戶管理員可以使用與特定使用者相關聯的許可政策，授予該使用者建立 Directory Service 資源的許可，例如新目錄。
+ **將許可政策連接至角色 (授予跨帳戶許可)**：您可以將身分識別型許可政策連接至 IAM 角色，藉此授予跨帳戶許可。

   如需有關使用 IAM 來委派許可的詳細資訊，請參閱*《IAM 使用者指南》*中的[存取管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)。

下列許可政策會授予使用者執行開頭為 `Describe` 之所有動作的許可。這些動作會顯示 Directory Service 資源的相關資訊，例如目錄或快照。請注意， `Resource`元素中的萬用字元 (\$1) 表示允許對帳戶擁有的所有 Directory Service 資源執行動作。

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ds:Describe*",
         "Resource":"*"
      }
   ]
}
```

------

如需搭配 使用身分型政策的詳細資訊 Directory Service，請參閱 [針對 使用身分型政策 (IAM 政策） Directory Service](IAM_Auth_Access_IdentityBased.md)。如需使用者、群組、角色和許可的相關資訊，請參閱《IAM 使用者指南》**中的[身分 (使用者、群組和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。

### 資源型政策
<a name="IAM_Auth_Access_ManagingAccess_ResourceBased"></a>

其他服務 (例如 Amazon S3) 也支援以資源為基礎的許可政策。例如，您可以將政策連接至 S3 儲存貯體，以管理該儲存貯體的存取許可。 Directory Service 不支援以資源為基礎的政策。

## 指定政策元素：動作、效果、資源和主體
<a name="SpecifyingIAMPolicyActions_DS"></a>

對於每個 Directory Service 資源，服務會定義一組 API 操作。如需詳細資訊，請參閱[Directory Service 資源和操作](#CreatingIAMPolicies_DS)。如需可用的 API 操作清單，請參閱 [Directory Service 動作](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_Operations.html)。

若要授予這些 API 操作的許可， Directory Service 會定義一組您可以在政策中指定的動作。請注意，執行 API 操作可能需要多個動作的許可。

以下是基本的政策元素：
+ **資源** – 在政策中，您可以使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。對於 Directory Service 資源，您一律會在 IAM 政策中使用萬用字元 (\$1)。如需詳細資訊，請參閱[Directory Service 資源和操作](#CreatingIAMPolicies_DS)。
+ **動作**：使用動作關鍵字識別您要允許或拒絕的資源操作。例如，`ds:DescribeDirectories` 許可允許使用者執行 Directory Service `DescribeDirectories` 操作。
+ **效果** - 您可以指定使用者請求特定動作的效果。可以為允許或拒絕。如果您未明確授予存取 (允許) 資源，則隱含地拒絕存取。您也可以明確拒絕資源存取，這樣做可確保使用者無法存取資源，即使不同政策授予存取也是一樣。
+ **委託人**：在身分識別型政策 (IAM 政策) 中，政策所連接的使用者就是隱含委託人。對於以資源為基礎的政策，您可以指定要接收許可的使用者、帳戶、服務或其他實體 （僅適用於以資源為基礎的政策）。 Directory Service 不支援以資源為基礎的政策。

如需進一步了解有關 IAM 政策語法和說明的詳細資訊，請參閱《IAM 使用者指南》**中的 [IAM JSON 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。

如需顯示所有 Directory Service API 動作及其適用的資源的資料表，請參閱 [Directory Service API 許可：動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。



## 在政策中指定條件
<a name="SpecifyingIAMPolicyConditions_DS"></a>

當您授予許可時，可以使用存取政策語言來指定政策應該何時生效的條件。例如，建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊，請參閱*IAM 使用者指南*中的[條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。

欲表示條件，您可以使用預先定義的條件金鑰。沒有 Directory Service特定的條件金鑰。不過，您可以視需要使用 AWS 條件索引鍵。如需 AWS 金鑰的完整清單，請參閱《*IAM 使用者指南*》中的[可用全域條件金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys)。