Bedingungsschlüssel Directory Service Verzeichnisdienstdaten - AWS Directory Service
ds-data: Name SAMAccountDS-Data: Bezeichnerds-Daten: MemberNameDS-Daten: MemberRealmDS-Data: Realm

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bedingungsschlüssel Directory Service Verzeichnisdienstdaten

Verwenden Sie die Bedingungsschlüssel für Verzeichnisdienstdaten, um spezifische Anweisungen für Benutzer und den Zugriff auf Gruppenebene hinzuzufügen. Auf diese Weise können Benutzer entscheiden, welche Principals Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen können.

Mit dem Condition-Element oder dem Condition-Block können Sie Bedingungen angeben, unter denen eine Anweisung gültig ist. Das Bedingungselement ist optional. Sie können bedingte Ausdrücke erstellen, die Bedingungsoperatoren wie gleich (=) oder kleiner als (<) verwenden, um die Bedingung in der Richtlinie den Werten in der Anforderung zuzuordnen.

Wenn Sie mehrere Condition-Elemente in einer Anweisung oder mehrere Schlüssel in einem einzigen Condition-Element angeben, werden diese mithilfe einer logischen AND-Operation AWS ausgewertet. Wenn Sie mehrere Werte für einen einzelnen Bedingungsschlüssel angeben, AWS wertet die Bedingung mithilfe einer logischen OR-Operation aus. Alle Bedingungen müssen erfüllt sein, bevor die Berechtigungen für die Anweisung erteilt werden. Sie können bei der Angabe von Bedingungen auch Platzhaltervariablen verwenden. Beispielsweise können Sie einem IAM-Benutzer nur dann Zugriff auf eine Ressource gewähren, wenn diese mit seinem Benutzernamen gekennzeichnet ist. Weitere Informationen finden Sie unter Bedingung mit mehreren Schlüsseln oder Werten im IAM-Benutzerhandbuch.

Eine Liste der Aktionen, die diese Bedingungsschlüssel unterstützen, finden Sie unter Durch AWS Verzeichnisdienstdaten definierte Aktionen in der Service Authorization Reference.

Anmerkung

Informationen zu tagbasierten Berechtigungen auf Ressourcenebene finden Sie unter. Verwenden von Tags mit IAM-Richtlinien

ds-data: Name SAMAccount

Funktioniert mit String-Operatoren.

Verwenden Sie diesen Schlüssel, um einer IAM-Rolle ausdrücklich das Ausführen von Aktionen für bestimmte Benutzer und Gruppen zuzulassen oder zu verweigern.

Wichtig

Wenn Sie SAMAccountName oder verwendenMemberName, empfehlen wir die Angabe ds-data:Identifier alsSAMAccountName. Dadurch wird verhindert, dass future Kennungen, die von AWS Directory Service Data unterstützt werdenSID, z. B. bestehende Berechtigungen verletzen.

Die folgende Richtlinie verhindert, dass der IAM-Prinzipal den Benutzer joe oder die Gruppe beschreibt. joegroup

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyDescribe",
      "Effect": "Deny",
      "Action": "ds-data:Describe*",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:SAMAccountName": [
            "joe",
            "joegroup"
          ],
          "ds-data:identifier": [
            "SAMAccountName"
          ]
        }
      }
    }
  ]
}
Anmerkung

Bei dieser Bedingung wird nicht zwischen Groß- und Kleinschreibung unterschieden. Sie müssen Operatoren StringEqualsIgnoreCase oder StringNotEqualsIgnoreCase Bedingungsoperatoren verwenden, um Zeichenkettenwerte unabhängig von der Groß- und Kleinschreibung zu vergleichen.

DS-Data: Bezeichner

Funktioniert mit String-Operatoren.

Verwenden Sie diesen Schlüssel, um zu definieren, welcher Bezeichner in den IAM-Richtlinienberechtigungen verwendet werden soll. Derzeit wird nur SAMAccountName unterstützt.

Die folgende Richtlinie ermöglicht es dem IAM-Prinzipal, den Benutzer zu aktualisieren. joe

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "UpdateJoe",
      "Effect": "Allow",
      "Action": "ds-data:UpdateUser",
      "Resource": "arn:aws:ds:us-east-1:111122223333:directory/d-012345678",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:SAMAccountName": [
            "joe"
          ],
          "ds-data:identifier": [
            "SAMAccountName"
          ]
        }
      }
    }
  ]
}

ds-Daten: MemberName

Funktioniert mit String-Operatoren.

Verwenden Sie diesen Schlüssel, um die Elemente zu definieren, an denen Operationen ausgeführt werden können.

Wichtig

Wenn Sie MemberName oder verwendenSAMAccountName, empfehlen wir die Angabe ds-data:Identifier alsSAMAccountName. Dadurch wird verhindert, dass future Kennungen, die von Directory Service Data unterstützt werdenSID, z. B. bestehende Berechtigungen verletzen.

Die folgende Richtlinie ermöglicht es dem IAM-Prinzipal, für jedes Mitglied joe in AddGroupMember einer beliebigen Gruppe Aufgaben auszuführen.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
        "Sid": "AddJoe",
        "Effect": "Allow",
        "Action": "ds-data:AddGroupMember",
        "Resource": "arn:aws:ds:us-east-1:111122223333:directory/d-012345678",
        "Condition": {
            "StringEqualsIgnoreCase": {
                "ds-data:MemberName": "joe"
            }
        }
    }
  ]
}
Anmerkung

Bei diesem Bedingungsschlüssel wird nicht zwischen Groß- und Kleinschreibung unterschieden. Sie müssen Operatoren StringEqualsIgnoreCase oder StringNotEqualsIgnoreCase Bedingungsoperatoren verwenden, um Zeichenkettenwerte zu vergleichen, unabhängig von der Groß- und Kleinschreibung.

DS-Daten: MemberRealm

Funktioniert mit String-Operatoren.

Verwenden Sie diesen Schlüssel, um zu überprüfen, ob der ds-data:MemberRealm Wert in der Richtlinie mit dem Mitgliedsbereich in der Anfrage übereinstimmt.

Anmerkung

Bei diesem Bedingungsschlüssel wird nicht zwischen Groß- und Kleinschreibung unterschieden. Sie müssen Operatoren StringEqualsIgnoreCase oder StringNotEqualsIgnoreCase Bedingungsoperatoren verwenden, um Zeichenkettenwerte zu vergleichen, unabhängig von der Groß- und Kleinschreibung.

Die folgende Richtlinie ermöglicht es dem IAM-Principal, bob im Realm ONE.TRU1.AMAZON.COM nach Mitgliedern zu AddGroupMember suchen.

Anmerkung

Im folgenden Beispiel wird nur der ds-data:MemberName Kontextschlüssel verwendet.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "addbob",
      "Effect": "Allow",
      "Action": "ds-data:AddGroupMember",
      "Resource": "arn:aws:ds:us-east-1:111122223333:directory/d-012345678",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:MemberName": "bob",
          "ds-data:MemberRealm": "one.tru1.amazon.com"
        }
      }
    }
  ]
}

DS-Data: Realm

Funktioniert mit String-Operatoren.

Verwenden Sie diesen Schlüssel, um zu überprüfen, ob der ds-data:Realm Wert in der Richtlinie dem Bereich entspricht, den ein IAM-Prinzipal für Anfragen an Verzeichnisdienstdaten APIs verwenden kann.

Anmerkung

Bei diesem Bedingungsschlüssel wird nicht zwischen Groß- und Kleinschreibung unterschieden. Sie müssen Operatoren StringEqualsIgnoreCase oder StringNotEqualsIgnoreCase Bedingungsoperatoren verwenden, um Zeichenkettenwerte unabhängig von der Groß- und Kleinschreibung zu vergleichen.

Die folgende Richtlinie verhindert, dass der IAM-Principal den Realm ListUsers aufruft. one.tru1.amazon.com

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyTrustedList",
      "Effect": "Deny",
      "Action": "ds-data:ListUsers",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:Realm": [
            "one.tru1.amazon.com"
          ]
        }
      }
    }
  ]
}