Clés de condition des données du Directory Service - AWS Directory Service
ds-data : Nom SAMAccountDS-Data : identifiantdonnées DS : MemberNamedonnées DS : MemberRealmDS-Data : Realm

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Clés de condition des données du Directory Service

Utilisez les clés de condition des données du Directory Service pour ajouter des instructions spécifiques aux utilisateurs et à l'accès au niveau du groupe. Cela permet aux utilisateurs de décider quels principaux peuvent effectuer des actions sur quelles ressources et dans quelles conditions.

L'élément Condition, ou bloc Condition, vous permet de spécifier les conditions dans lesquelles une instruction est en vigueur. L’élément Condition est facultatif. Vous pouvez créer des expressions conditionnelles qui utilisent des opérateurs de condition, tels que égal (=) ou inférieur à (<), pour faire correspondre la condition de la politique aux valeurs de la demande.

Si vous spécifiez plusieurs éléments de condition dans une instruction ou plusieurs clés dans un seul élément de condition, vous les AWS évaluez à l'aide d'une opération logique ET. Si vous spécifiez plusieurs valeurs pour une seule clé de condition, AWS évalue la condition à l'aide d'une opération OR logique. Toutes les conditions doivent être remplies avant que les autorisations associées à l’instruction ne soient accordées. Vous pouvez aussi utiliser des variables d’espace réservé quand vous spécifiez des conditions. Par exemple, vous pouvez autoriser un utilisateur IAM à accéder à une ressource uniquement si celle-ci est associée à son nom d'utilisateur. Pour plus d'informations, consultez la section Condition comportant plusieurs clés ou valeurs dans le guide de l'utilisateur IAM.

Pour obtenir la liste des actions prenant en charge ces clés de condition, consultez la section Actions définies par les données du AWS Directory Service dans le Service Authorization Reference.

Note

Pour plus d'informations sur les autorisations au niveau des ressources basées sur des balises, consultez. Utilisation des balises avec des politiques IAM

ds-data : Nom SAMAccount

Fonctionne avec les opérateurs de chaînes.

Utilisez cette clé pour autoriser ou interdire explicitement à un rôle IAM d'effectuer des actions sur des utilisateurs et des groupes spécifiques.

Important

Lorsque vous utilisez SAMAccountName ouMemberName, nous vous recommandons de spécifier ds-data:Identifier commeSAMAccountName. Cela empêche les futurs identifiants pris en charge par AWS Directory Service DataSID, tels que ceux qui enfreignent les autorisations existantes.

La politique suivante interdit au principal IAM de décrire l'utilisateur joe ou le groupejoegroup.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyDescribe",
      "Effect": "Deny",
      "Action": "ds-data:Describe*",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:SAMAccountName": [
            "joe",
            "joegroup"
          ],
          "ds-data:identifier": [
            "SAMAccountName"
          ]
        }
      }
    }
  ]
}
Note

Cette clé de condition ne tient pas compte des majuscules et minuscules. Vous devez utiliser StringEqualsIgnoreCase ou StringNotEqualsIgnoreCase conditionner des opérateurs pour comparer les valeurs des chaînes, quelles que soient les majuscules.

DS-Data : identifiant

Fonctionne avec les opérateurs de chaînes.

Utilisez cette clé pour définir l'identifiant à utiliser dans les autorisations de politique IAM. Actuellement, seul SAMAccountName est pris en charge.

La politique suivante permet au principal IAM de mettre à jour l'utilisateurjoe.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "UpdateJoe",
      "Effect": "Allow",
      "Action": "ds-data:UpdateUser",
      "Resource": "arn:aws:ds:us-east-1:111122223333:directory/d-012345678",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:SAMAccountName": [
            "joe"
          ],
          "ds-data:identifier": [
            "SAMAccountName"
          ]
        }
      }
    }
  ]
}

données DS : MemberName

Fonctionne avec les opérateurs de chaînes.

Utilisez cette touche pour définir les membres sur lesquels des opérations peuvent être effectuées.

Important

Lorsque vous utilisez MemberName ouSAMAccountName, nous vous recommandons de spécifier ds-data:Identifier commeSAMAccountName. Cela empêche les futurs identifiants pris en charge par Directory Service DataSID, tels que ceux qui enfreignent les autorisations existantes.

La politique suivante autorise le directeur IAM à agir à l'égard des membres AddGroupMember joe de n'importe quel groupe.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
        "Sid": "AddJoe",
        "Effect": "Allow",
        "Action": "ds-data:AddGroupMember",
        "Resource": "arn:aws:ds:us-east-1:111122223333:directory/d-012345678",
        "Condition": {
            "StringEqualsIgnoreCase": {
                "ds-data:MemberName": "joe"
            }
        }
    }
  ]
}
Note

Cette clé de condition ne distingue pas les majuscules et minuscules. Vous devez utiliser StringEqualsIgnoreCase ou StringNotEqualsIgnoreCase conditionner des opérateurs pour comparer les valeurs des chaînes, quelles que soient les majuscules.

données DS : MemberRealm

Fonctionne avec les opérateurs de chaînes.

Utilisez cette clé pour vérifier si la ds-data:MemberRealm valeur de la politique correspond au domaine membre indiqué dans la demande.

Note

Cette clé de condition ne distingue pas les majuscules et minuscules. Vous devez utiliser StringEqualsIgnoreCase ou StringNotEqualsIgnoreCase conditionner des opérateurs pour comparer les valeurs des chaînes, quelles que soient les majuscules.

La politique suivante permet au principal IAM d'appeler un AddGroupMember membre bob dans le domaineONE.TRU1.AMAZON.COM.

Note

L'exemple suivant utilise uniquement la clé de ds-data:MemberName contexte.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "addbob",
      "Effect": "Allow",
      "Action": "ds-data:AddGroupMember",
      "Resource": "arn:aws:ds:us-east-1:111122223333:directory/d-012345678",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:MemberName": "bob",
          "ds-data:MemberRealm": "one.tru1.amazon.com"
        }
      }
    }
  ]
}

DS-Data : Realm

Fonctionne avec les opérateurs de chaînes.

Utilisez cette clé pour vérifier si la ds-data:Realm valeur de la politique correspond au domaine qu'un principal IAM peut utiliser pour envoyer des demandes à Directory Service Data APIs.

Note

Cette clé de condition ne distingue pas les majuscules et minuscules. Vous devez utiliser StringEqualsIgnoreCase ou StringNotEqualsIgnoreCase conditionner des opérateurs pour comparer les valeurs des chaînes, quelles que soient les majuscules.

La politique suivante interdit au principal IAM d'appeler ListUsers le domaineone.tru1.amazon.com.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyTrustedList",
      "Effect": "Deny",
      "Action": "ds-data:ListUsers",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:Realm": [
            "one.tru1.amazon.com"
          ]
        }
      }
    }
  ]
}