Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für AWS Directory Service - AWS Directory Service
Für die Verwendung der AWS Directory Service Konsole sind Berechtigungen erforderlichAWS verwaltete (vordefinierte) Richtlinien für AWS Directory ServiceBeispiele für vom Kunden verwaltete RichtlinienVerwenden von Tags mit IAM-Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für AWS Directory Service

In diesem Thema finden Sie Beispiele für identitätsbasierte Richtlinien, in denen ein Kontoadministrator den IAM-Identitäten (Benutzern, Gruppen und Rollen) Berechtigungsrichtlinien zuweisen kann. Diese Beispiele veranschaulichen IAM-Richtlinien in. AWS Directory Service Sie sollten Ihre eigenen Richtlinien entsprechend Ihren Anforderungen und Ihrer Umgebung ändern und erstellen.

Wichtig

Wir empfehlen Ihnen, zunächst die einführenden Themen zu lesen, in denen die grundlegenden Konzepte und Optionen erläutert werden, mit denen Sie den Zugriff auf Ihre AWS Directory Service Ressourcen verwalten können. Weitere Informationen finden Sie unter Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre AWS Directory Service Ressourcen.

Dieses Thema besteht aus folgenden Abschnitten:

Dies ist ein Beispiel für eine Berechtigungsrichtlinie.

JSON
{
   "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDsEc2IamGetRole",
            "Effect": "Allow",
            "Action": [
                "ds:CreateDirectory",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:CreateSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSubnets",
                "iam:GetRole"
            ],
            "Resource": "*"
        },
        {
            "Sid": "WarningAllowsCreatingRolesWithDirSvcPrefix",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::111122223333:role/DirSvc*"
        },
        {
            "Sid": "AllowPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::111122223333:role/Your-Role-Name",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "cloudwatch.amazonaws.com"
                }
            }
        }
    ]
}

Die drei Aussagen in der Richtlinie gewähren Berechtigungen wie folgt:

  • Die erste Anweisung erteilt die Erlaubnis, ein AWS Directory Service Verzeichnis zu erstellen. Da Berechtigungen auf Ressourcenebene AWS Directory Service nicht unterstützt werden, gibt die Richtlinie ein Platzhalterzeichen (*) als Resource Wert an.

  • Die zweite Anweisung gewährt Zugriffsberechtigungen für IAM-Aktionen, sodass IAM-Rollen in Ihrem Namen gelesen und erstellt werden AWS Directory Service können. Das Platzhalterzeichen (*) am Ende des Resource-Werts bedeutet, dass die Anweisung Berechtigungen für die IAM-Aktionen für die IAM-Rolle zulässt. Um diese Berechtigungen auf eine bestimmte Rolle zu beschränken, ersetzen Sie das Platzhalterzeichen (*) im ARN der Ressource durch den spezifischen Rollennamen. Weitere Informationen finden Sie unter IAM-Aktionen.

  • Die dritte Anweisung gewährt Berechtigungen für eine bestimmte Gruppe von Ressourcen in Amazon EC2 , die erforderlich sind, AWS Directory Service um die Verzeichnisse zu erstellen, zu konfigurieren und zu löschen. Ersetzen Sie die Rolle ARN durch Ihre Rolle. Weitere Informationen finden Sie unter Amazon EC2 Actions.

In der Richtlinie wird kein Principal Element angezeigt, da Sie in einer identitätsbasierten Richtlinie nicht angeben, welcher Prinzipal die Genehmigung erhält. Wenn Sie einem Benutzer die Richtlinie zuweisen, ist der Benutzer implizit der Prinzipal. Wird die Berechtigungsrichtlinie einer IAM-Rolle zugewiesen, erhält der in der Vertrauensrichtlinie der Rolle angegebene Prinzipal die Berechtigungen.

Eine Tabelle mit allen AWS Directory Service API-Aktionen und den Ressourcen, für die sie gelten, finden Sie unter. AWS Directory Service API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen

Für die Verwendung der AWS Directory Service Konsole sind Berechtigungen erforderlich

Damit ein Benutzer mit der AWS Directory Service Konsole arbeiten kann, muss er über die in der vorherigen Richtlinie aufgeführten Berechtigungen oder über die Berechtigungen verfügen, die durch die Verzeichnisdienst-Vollzugriffsrolle oder die Directorydienst-Rolle (Read Only) gewährt wurden, wie unter beschriebenAWS verwaltete (vordefinierte) Richtlinien für AWS Directory Service.

Wenn Sie eine IAM-Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Benutzer mit dieser IAM-Richtlinie.

AWS verwaltete (vordefinierte) Richtlinien für AWS Directory Service

AWS adressiert viele gängige Anwendungsfälle durch die Bereitstellung vordefinierter oder verwalteter IAM-Richtlinien, die von erstellt und verwaltet AWS werden. Verwaltete Richtlinien gewähren die erforderlichen Berechtigungen für allgemeine Anwendungsfälle, sodass Sie leichter entscheiden können, welche Berechtigungen Sie benötigen. Weitere Informationen finden Sie unter AWS verwaltete Richtlinien für AWS Directory Service.

Beispiele für vom Kunden verwaltete Richtlinien

In diesem Abschnitt finden Sie Beispiele für Benutzerrichtlinien, die Berechtigungen für verschiedene AWS Directory Service Aktionen gewähren.

Anmerkung

Alle Beispiele verwenden die Region USA West (Oregon) (us-west-2) und enthalten ein fiktives Konto. IDs

Beispiel 1: Erlauben Sie einem Benutzer, eine Beschreibe-Aktion für eine beliebige Ressource auszuführen AWS Directory Service

Die folgende Berechtigungsrichtlinie gewährt einem Benutzer die Berechtigung, alle Aktionen auszuführen, die Describe in einem AWS verwalteten Microsoft AD mit der Verzeichnis-ID d-1234567890 in beginnen AWS-Konto 111122223333. Diese Aktionen zeigen Informationen zu einer AWS Directory Service -Ressource, z. B. einem Verzeichnis oder Snapshot. Stellen Sie sicher, dass Sie die AWS-Region Kontonummer auf die Region, die Sie verwenden möchten, und auf Ihre Kontonummer ändern.

JSON
{
"Version":"2012-10-17",
   "Statement":[
      {
"Effect":"Allow",
         "Action":"ds:Describe*",
         "Resource": "arn:aws:ds:us-west-2:111122223333:directory/d-1234567890"
      }
   ]
}

Beispiel 2: Einem Benutzer das Erstellen eines Verzeichnisses erlauben

Die folgende Berechtigungsrichtlinie gewährt Berechtigungen, um zu ermöglichen, dass ein Benutzer ein Verzeichnis und alle anderen verwandten Ressourcen, z. B. Snapshots und Vertrauensstellungen erstellen kann. Dazu sind auch Genehmigungen für bestimmte EC2 Amazon-Dienste erforderlich.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress", 
                "ec2:CreateNetworkInterface",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:CreateTags"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ds:CreateDirectory",
                "ds:DescribeDirectories"
            ],
            "Resource": "arn:aws:ds:*:111122223333:*"
        }
    ]
}

Verwenden von Tags mit IAM-Richtlinien

Sie können tagbasierte Berechtigungen auf Ressourcenebene in den IAM-Richtlinien anwenden, die Sie für die meisten API-Aktionen verwenden. AWS Directory Service Dies ermöglicht Ihnen eine bessere Kontrolle darüber, welche Ressourcen ein Benutzer erstellen, ändern oder verwenden kann. Sie können das Condition-Element (auch als Condition-Block bezeichnet) mit den folgenden Bedingungskontextschlüsseln und Werten in einer IAM-Richtlinie zum Steuern des Benutzerzugriffs (Berechtigungen) basierend auf den Tags einer Ressource verwenden:

  • Verwenden Sie aws:ResourceTag/tag-key: tag-value, um Benutzern Aktionen auf Ressourcen mit bestimmten Tags zu gestatten oder zu verweigern.

  • Verwenden Sie aws:ResourceTag/tag-key: tag-value, um zu verlangen, dass ein bestimmter Tag verwendet wird (oder nicht), wenn eine API-Anforderung zum Erstellen einer Ressource durchgeführt wird, die Tags zulässt.

  • Verwenden Sie aws:TagKeys: [tag-key, ...], um zu verlangen, dass ein bestimmter Satz von Tag-Schlüsseln verwendet wird (oder nicht), wenn eine API-Anforderung zum Erstellen einer Ressource durchgeführt wird, die Tags zulässt.

Anmerkung

Die Bedingungskontextschlüssel und -werte in einer IAM-Richtlinie gelten nur für die AWS Directory Service -Aktionen, bei denen eine Kennung für eine Ressource, die Tags zulässt, ein erforderlicher Parameter ist.

Zugriffssteuerung mit Tags im IAM-Benutzerhandbuch enthält zusätzliche Informationen über die Verwendung von Tags. Der Abschnitt IAM-JSON-Richtlinienreferenz dieses Handbuchs enthält die detaillierte Syntax sowie Beschreibungen und Beispiele für Elemente, Variablen und die Auswertungslogik von JSON-Richtlinien in IAM.

Die folgende Tag-Richtlinie ermöglicht die Erstellung eines AWS Directory Service Verzeichnisses, sofern die folgenden Tags verwendet werden:

  • Umgebung: Produktion

  • Besitzer: Infrastructure Team

  • Kostenstelle: 1234

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:CreateDirectory"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Environment": "Production",
                    "aws:RequestTag/Owner": "Infrastructure-Team",
                    "aws:RequestTag/CostCenter": "12345"
                }
            }
        }
    ]
}

Die folgende Tag-Richtlinie ermöglicht das Aktualisieren und Löschen von AWS Directory Service Verzeichnissen, sofern die folgenden Tags verwendet werden:

  • Projekt: Atlas

  • Abteilung: Ingenieurwesen

  • Umgebung: Inszenierung

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:DeleteDirectory",
                "ds:UpdateDirectory"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Project": "Atlas",
                    "aws:ResourceTag/Department": "Engineering",
                    "aws:ResourceTag/Environment": "Staging"
                }
            }
        }
    ]
}

Die folgende Tag-Richtlinie verweigert das Tagging von Ressourcen AWS Directory Service , wenn die Ressource eines der folgenden Tags hat:

  • Produktion

  • Sicherheit

  • Vertraulich

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ds:AddTagsToResource"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": ["Production", "Security", "Confidential"]
                }
            }
        }
    ]
}

Weitere Informationen zu ARNs finden Sie unter Amazon Resource Names (ARNs) und AWS Service Namespaces.

Die folgende Liste von AWS Directory Service API-Vorgängen unterstützt tagbasierte Berechtigungen auf Ressourcenebene: