Utilisation de politiques basées sur l'identité (politiques IAM) pour AWS Directory Service - AWS Directory Service
Autorisations requises pour utiliser la AWS Directory Service consoleAWS politiques gérées (prédéfinies) pour AWS Directory ServiceExemples de politiques gérées par le clientUtilisation des balises avec des politiques IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de politiques basées sur l'identité (politiques IAM) pour AWS Directory Service

Cette rubrique fournit des exemples de stratégies basées sur l'identité dans lesquelles un administrateur de compte peut associer des stratégies d'autorisation à des identités IAM (utilisateurs, groupes et rôles). Ces exemples illustrent les politiques IAM dans. AWS Directory Service Vous devez modifier et créer vos propres politiques en fonction de vos besoins et de votre environnement.

Important

Nous vous recommandons de consulter d'abord les rubriques d'introduction qui expliquent les concepts de base et les options disponibles pour gérer l'accès à vos AWS Directory Service ressources. Pour de plus amples informations, veuillez consulter Vue d'ensemble de la gestion des autorisations d'accès à vos AWS Directory Service ressources.

Les sections de cette rubrique couvrent les sujets suivants :

Un exemple de politique d'autorisation est exposé ci-dessous.

JSON
{
   "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDsEc2IamGetRole",
            "Effect": "Allow",
            "Action": [
                "ds:CreateDirectory",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:CreateSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSubnets",
                "iam:GetRole"
            ],
            "Resource": "*"
        },
        {
            "Sid": "WarningAllowsCreatingRolesWithDirSvcPrefix",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::111122223333:role/DirSvc*"
        },
        {
            "Sid": "AllowPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::111122223333:role/Your-Role-Name",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "cloudwatch.amazonaws.com"
                }
            }
        }
    ]
}

Les trois instructions de la politique accordent les autorisations suivantes :

  • La première instruction autorise la création d'un AWS Directory Service répertoire. Comme les autorisations AWS Directory Service ne sont pas prises en charge au niveau des ressources, la politique spécifie un caractère générique (*) comme Resource valeur.

  • La deuxième déclaration accorde des autorisations pour accéder aux actions IAM, afin que AWS Directory Service vous puissiez lire et créer des rôles IAM en votre nom. Le caractère générique (*) à la fin de la valeur Resource signifie que l'instruction accepte les autorisations pour les actions IAM sur n'importe quel rôle IAM. Pour limiter cette autorisation à un rôle spécifique, remplacez le caractère générique (*) dans la ressource ARN par un nom de rôle spécifique. Pour plus d'informations, veuillez consulter IAM Actions (français non garanti).

  • La troisième déclaration accorde des autorisations à un ensemble spécifique de ressources dans Amazon EC2 qui sont nécessaires pour AWS Directory Service permettre la création, la configuration et la destruction de ses répertoires. Remplacez l'ARN du rôle par votre rôle. Pour plus d'informations, consultez Amazon EC2 Actions.

Vous ne voyez aucun Principal élément dans la politique, car dans une stratégie basée sur l'identité, vous ne spécifiez pas le principal qui obtient l'autorisation. Quand vous attachez la stratégie à un utilisateur, l'utilisateur est le mandataire implicite. Lorsque vous attachez une politique d'autorisation à un rôle IAM, le principal identifié dans la politique d'approbation de ce rôle obtient les autorisations.

Pour un tableau présentant toutes les actions d' AWS Directory Service API et les ressources auxquelles elles s'appliquent, consultezAWS Directory Service Autorisations d'API : référence aux actions, aux ressources et aux conditions.

Autorisations requises pour utiliser la AWS Directory Service console

Pour qu'un utilisateur puisse utiliser la AWS Directory Service console, il doit disposer des autorisations répertoriées dans la politique précédente ou des autorisations accordées par le rôle d'accès complet du service d'annuaire ou le rôle de lecture seule du service d'annuaire, décrits dansAWS politiques gérées (prédéfinies) pour AWS Directory Service.

Si vous créez une politique IAM plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les utilisateurs dotés de cette politique IAM.

AWS politiques gérées (prédéfinies) pour AWS Directory Service

AWS répond à de nombreux cas d'utilisation courants en fournissant des politiques IAM prédéfinies ou gérées qui sont créées et administrées par AWS. Les politiques gérées accordent les autorisations nécessaires pour les cas d'utilisation courants, ce qui vous permet de décider des autorisations dont vous avez besoin. Pour de plus amples informations, veuillez consulter AWS politiques gérées pour AWS Directory Service.

Exemples de politiques gérées par le client

Dans cette section, vous trouverez des exemples de politiques utilisateur qui accordent des autorisations pour diverses AWS Directory Service actions.

Note

Tous les exemples utilisent la région de l'Ouest des États-Unis (Oregon) (us-west-2) et contiennent un récit fictif. IDs

Exemple 1 : Autoriser un utilisateur à effectuer n'importe quelle action de description sur n'importe quelle AWS Directory Service ressource

La politique d'autorisation suivante autorise un utilisateur à exécuter toutes les actions qui commencent par Describe dans un Microsoft AD AWS géré avec l'ID de répertoire d-1234567890 dans le Compte AWS 111122223333. Ces actions affichent des informations sur une ressource AWS Directory Service , telle qu'un annuaire ou un instantané. Assurez-vous de remplacer le numéro Région AWS de compte par la région que vous souhaitez utiliser et par votre numéro de compte.

JSON
{
"Version":"2012-10-17",
   "Statement":[
      {
"Effect":"Allow",
         "Action":"ds:Describe*",
         "Resource": "arn:aws:ds:us-west-2:111122223333:directory/d-1234567890"
      }
   ]
}

Exemple 2 : Permettre à un utilisateur de créer un annuaire

La politique d'autorisations suivante accorde des autorisations pour permettre à un utilisateur de créer un annuaire et toutes les autres ressources connexes, telles que les instantanés et les approbations. Pour ce faire, des autorisations d'accès à certains EC2 services Amazon sont également requises.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress", 
                "ec2:CreateNetworkInterface",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:CreateTags"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ds:CreateDirectory",
                "ds:DescribeDirectories"
            ],
            "Resource": "arn:aws:ds:*:111122223333:*"
        }
    ]
}

Utilisation des balises avec des politiques IAM

Vous pouvez appliquer des autorisations au niveau des ressources basées sur des balises dans les politiques IAM que vous utilisez pour la plupart des actions d'API. AWS Directory Service Vous bénéficiez ainsi d'un meilleur contrôle sur les ressources qu'un utilisateur peut créer, modifier ou utiliser. Vous pouvez utiliser l'élément Condition (également appelé bloc Condition) avec les clés et valeurs de contexte de condition suivantes dans une politique IAM pour contrôler l'accès des utilisateurs (autorisations) en fonction des balises d'une ressource :

  • Utilisez aws:ResourceTag/tag-key: tag-value pour accorder ou refuser aux utilisateurs des actions sur des ressources ayant des balises spécifiques.

  • Utilisez aws:ResourceTag/tag-key: tag-value pour exiger qu'une balise spécifique soit utilisée (ou ne soit pas utilisée) lorsque vous effectuez une demande d'API pour créer ou modifier une ressource qui autorise les balises.

  • Utilisez aws:TagKeys: [tag-key, ...] pour exiger qu'un ensemble de clés de balise spécifique soit utilisé (ou ne soit pas utilisé) lorsque vous effectuez une demande d'API pour créer ou modifier une ressource qui autorise les balises.

Note

Les clés et les valeurs de contexte de condition dans une politique IAM s'appliquent uniquement aux actions AWS Directory Service dans lesquelles un identifiant pour une ressource pouvant être balisée est un paramètre obligatoire.

La section Contrôle de l'accès à l'aide de balises dans le Guide d'utilisateur IAM contient des informations supplémentaires sur l'utilisation des balises. La section Référence de politique JSON IAM de ce guide fournit la syntaxe détaillée, des descriptions, ainsi que des exemples des éléments, des variables et de la logique d'évaluation des politiques JSON dans IAM.

La politique de balises suivante permet de créer un AWS Directory Service répertoire tant que les balises suivantes sont utilisées :

  • Environnement : production

  • Propriétaire : Infrastructure Team

  • Centre de coûts : 1234

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:CreateDirectory"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Environment": "Production",
                    "aws:RequestTag/Owner": "Infrastructure-Team",
                    "aws:RequestTag/CostCenter": "12345"
                }
            }
        }
    ]
}

La politique de balises suivante permet de mettre à jour et de supprimer des AWS Directory Service répertoires tant que les balises suivantes sont utilisées :

  • Projet : Atlas

  • Département : Ingénierie

  • Environnement : mise en scène

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:DeleteDirectory",
                "ds:UpdateDirectory"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Project": "Atlas",
                    "aws:ResourceTag/Department": "Engineering",
                    "aws:ResourceTag/Environment": "Staging"
                }
            }
        }
    ]
}

La politique de balises suivante refuse le balisage des ressources AWS Directory Service lorsque la ressource possède l'une des balises suivantes :

  • Production

  • Sécurité

  • Confidentiel

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ds:AddTagsToResource"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": ["Production", "Security", "Confidential"]
                }
            }
        }
    ]
}

Pour plus d'informations ARNs, consultez Amazon Resource Names (ARNs) et AWS Service Namespaces.

La liste suivante des opérations d' AWS Directory Service API prend en charge les autorisations au niveau des ressources basées sur des balises :