Kunci kondisi Directory Service Data - AWS Directory Service
ds-data: Nama SAMAccountDS-data:Pengidentifikasids-data: MemberNameds-data: MemberRealmDS-Data: Realm

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kunci kondisi Directory Service Data

Gunakan kunci kondisi Directory Service Data untuk menambahkan pernyataan spesifik ke pengguna dan akses tingkat grup. Hal ini memungkinkan pengguna untuk memutuskan prinsipal mana yang dapat melakukan tindakan pada sumber daya apa dan dalam kondisi apa.

Elemen Kondisi, atau blok Kondisi, memungkinkan Anda menentukan kondisi di mana pernyataan berlaku. Elemen Syarat bersifat opsional. Anda dapat membuat ekspresi bersyarat yang menggunakan operator kondisi, seperti sama dengan (=) atau kurang dari (<), untuk mencocokkan kondisi dalam kebijakan dengan nilai dalam permintaan.

Jika Anda menentukan beberapa elemen Kondisi dalam pernyataan, atau beberapa kunci dalam satu elemen Kondisi, AWS evaluasi mereka dengan menggunakan operasi AND logis. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi dengan menggunakan operasi OR logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan. Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Misalnya, Anda dapat memberikan izin kepada pengguna IAM untuk mengakses sumber daya hanya jika diberi tag dengan nama pengguna mereka. Untuk selengkapnya, lihat Kondisi dengan beberapa kunci atau nilai dalam Panduan Pengguna IAM.

Untuk daftar tindakan yang mendukung kunci kondisi ini, lihat Tindakan yang ditentukan oleh AWS Directory Service Data dalam Referensi Otorisasi Layanan.

catatan

Untuk informasi tentang izin tingkat sumber daya berbasis tag, lihat. Menggunakan tanda dengan kebijakan IAM

ds-data: Nama SAMAccount

Bekerja dengan operator String.

Gunakan kunci ini untuk secara eksplisit mengizinkan atau menolak peran IAM agar tidak melakukan tindakan pada pengguna dan grup tertentu.

penting

Saat menggunakan SAMAccountName atauMemberName, kami sarankan untuk menentukan ds-data:Identifier sebagaiSAMAccountName. Ini mencegah pengenal future yang didukung AWS Directory Service Data, sepertiSID, melanggar izin yang ada.

Kebijakan berikut menyangkal prinsipal IAM untuk mendeskripsikan pengguna joe atau mendeskripsikan grup. joegroup

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyDescribe",
      "Effect": "Deny",
      "Action": "ds-data:Describe*",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:SAMAccountName": [
            "joe",
            "joegroup"
          ],
          "ds-data:identifier": [
            "SAMAccountName"
          ]
        }
      }
    }
  ]
}
catatan

Kunci kondisi ini tidak peka huruf besar/kecil. Anda harus menggunakan StringEqualsIgnoreCase atau StringNotEqualsIgnoreCase mengkondisikan operator untuk membandingkan nilai string terlepas dari kasus huruf.

DS-data:Pengidentifikasi

Bekerja dengan operator String.

Gunakan kunci ini untuk menentukan pengenal mana yang akan digunakan dalam izin kebijakan IAM. Saat ini, hanya SAMAccountName didukung.

Kebijakan berikut memungkinkan prinsipal IAM untuk memperbarui penggunajoe.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "UpdateJoe",
      "Effect": "Allow",
      "Action": "ds-data:UpdateUser",
      "Resource": "arn:aws:ds:us-east-1:111122223333:directory/d-012345678",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:SAMAccountName": [
            "joe"
          ],
          "ds-data:identifier": [
            "SAMAccountName"
          ]
        }
      }
    }
  ]
}

ds-data: MemberName

Bekerja dengan operator String.

Gunakan kunci ini untuk menentukan anggota yang dapat melakukan operasi pada mereka.

penting

Saat menggunakan MemberName atauSAMAccountName, kami sarankan untuk menentukan ds-data:Identifier sebagaiSAMAccountName. Ini mencegah pengenal future yang didukung Directory Service Data, sepertiSID, melanggar izin yang ada.

Kebijakan berikut memungkinkan kepala IAM untuk tampil AddGroupMember pada anggota joe dalam kelompok mana pun.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
        "Sid": "AddJoe",
        "Effect": "Allow",
        "Action": "ds-data:AddGroupMember",
        "Resource": "arn:aws:ds:us-east-1:111122223333:directory/d-012345678",
        "Condition": {
            "StringEqualsIgnoreCase": {
                "ds-data:MemberName": "joe"
            }
        }
    }
  ]
}
catatan

Kunci kondisi ini tidak peka huruf besar/kecil. Anda harus menggunakan StringEqualsIgnoreCase atau StringNotEqualsIgnoreCase mengkondisikan operator untuk membandingkan nilai string, terlepas dari kasus huruf.

ds-data: MemberRealm

Bekerja dengan operator String.

Gunakan kunci ini untuk memeriksa apakah ds-data:MemberRealm nilai dalam kebijakan cocok dengan ranah anggota dalam permintaan.

catatan

Kunci kondisi ini tidak peka huruf besar/kecil. Anda harus menggunakan StringEqualsIgnoreCase atau StringNotEqualsIgnoreCase mengkondisikan operator untuk membandingkan nilai string, terlepas dari kasus huruf.

Kebijakan berikut memungkinkan kepala IAM AddGroupMember untuk memanggil anggota bob di ranahONE.TRU1.AMAZON.COM.

catatan

Contoh berikut hanya menggunakan kunci ds-data:MemberName konteks.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "addbob",
      "Effect": "Allow",
      "Action": "ds-data:AddGroupMember",
      "Resource": "arn:aws:ds:us-east-1:111122223333:directory/d-012345678",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:MemberName": "bob",
          "ds-data:MemberRealm": "one.tru1.amazon.com"
        }
      }
    }
  ]
}

DS-Data: Realm

Bekerja dengan operator String.

Gunakan kunci ini untuk memeriksa apakah ds-data:Realm nilai dalam kebijakan cocok dengan ranah yang dapat digunakan oleh prinsipal IAM untuk membuat permintaan ke Directory Service Data APIs.

catatan

Kunci kondisi ini tidak peka huruf besar/kecil. Anda harus menggunakan StringEqualsIgnoreCase atau StringNotEqualsIgnoreCase mengkondisikan operator untuk membandingkan nilai string terlepas dari kasus huruf.

Kebijakan berikut menyangkal kepala IAM dari menyerukan ListUsers ranah. one.tru1.amazon.com

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyTrustedList",
      "Effect": "Deny",
      "Action": "ds-data:ListUsers",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:Realm": [
            "one.tru1.amazon.com"
          ]
        }
      }
    }
  ]
}