Utilizzo di politiche basate sull'identità (politiche IAM) per AWS Directory Service - AWS Directory Service
Autorizzazioni necessarie per utilizzare la console AWS Directory ServiceAWS politiche gestite (predefinite) per AWS Directory ServiceEsempi di policy gestite dal clienteUtilizzo dei tag con policy IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di politiche basate sull'identità (politiche IAM) per AWS Directory Service

In questo argomento vengono forniti esempi di policy basate su identità in cui un amministratore account può collegare policy di autorizzazione a identità IAM ovvero utenti, gruppi e ruoli. Questi esempi illustrano le politiche IAM in. AWS Directory ServiceÈ necessario modificare e creare le proprie politiche in base alle proprie esigenze e al proprio ambiente.

Importante

Si consiglia di esaminare innanzitutto gli argomenti introduttivi che spiegano i concetti e le opzioni di base disponibili per gestire l'accesso alle risorse. AWS Directory Service Per ulteriori informazioni, consulta Panoramica della gestione delle autorizzazioni di accesso alle risorse AWS Directory Service.

In questa sezione vengono trattati gli argomenti seguenti:

Di seguito viene illustrato un esempio di policy di autorizzazione.

JSON
{
   "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDsEc2IamGetRole",
            "Effect": "Allow",
            "Action": [
                "ds:CreateDirectory",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:CreateSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSubnets",
                "iam:GetRole"
            ],
            "Resource": "*"
        },
        {
            "Sid": "WarningAllowsCreatingRolesWithDirSvcPrefix",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::111122223333:role/DirSvc*"
        },
        {
            "Sid": "AllowPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::111122223333:role/Your-Role-Name",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "cloudwatch.amazonaws.com"
                }
            }
        }
    ]
}

Le tre istruzioni contenute nella politica concedono le autorizzazioni seguenti:

  • La prima istruzione concede il permesso di creare una AWS Directory Service directory. Poiché AWS Directory Service non supporta le autorizzazioni a livello di risorsa, la policy specifica un carattere jolly (*) come valore. Resource

  • La seconda istruzione concede le autorizzazioni per accedere alle azioni IAM, in modo che AWS Directory Service possano leggere e creare ruoli IAM per tuo conto. Il carattere jolly (*) alla fine del valore Resource indica che l'istruzione concede l'autorizzazione alle operazioni IAM su qualsiasi ruolo IAM. Per limitare questa autorizzazione a un determinato ruolo, sostituire il carattere jolly (*) nel nome ARN della risorsa con il nome del ruolo specifico. Per ulteriori informazioni, consulta la sezione relativa alle operazioni IAM.

  • La terza istruzione concede le autorizzazioni a un insieme specifico di risorse in Amazon EC2 necessarie per consentire la creazione, AWS Directory Service la configurazione e la distruzione delle relative directory. Sostituisci il ruolo ARN con il tuo ruolo. Per ulteriori informazioni, consulta Amazon EC2 Actions.

Non vedi alcun Principal elemento nella politica, perché in una politica basata sull'identità non specifichi il principale che ottiene l'autorizzazione. Quando alleghi la policy a un utente, l'utente è il principale implicito. Quando si collega una policy di autorizzazione a un ruolo IAM;, l'entità identificata nella policy di attendibilità del ruolo ottiene le autorizzazioni.

Per una tabella che mostra tutte le azioni AWS Directory Service API e le risorse a cui si applicano, consulta. AWS Directory Service Autorizzazioni API: riferimento ad azioni, risorse e condizioni

Autorizzazioni necessarie per utilizzare la console AWS Directory Service

Affinché un utente possa utilizzare la AWS Directory Service console, deve disporre delle autorizzazioni elencate nella politica precedente o delle autorizzazioni concesse dal ruolo Directory Service Full Access Role o Directory Service Read Only, descritto in. AWS politiche gestite (predefinite) per AWS Directory Service

Se decidi di creare una policy IAM più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per gli utenti con tale policy IAM.

AWS politiche gestite (predefinite) per AWS Directory Service

AWS affronta molti casi d'uso comuni fornendo policy IAM predefinite o gestite create e amministrate da. AWS Le policy gestite concedono le autorizzazioni necessarie per i casi d'uso comuni, il che aiuta a decidere quali autorizzazioni sono necessarie. Per ulteriori informazioni, consulta AWS politiche gestite per AWS Directory Service.

Esempi di policy gestite dal cliente

In questa sezione, puoi trovare esempi di politiche utente che concedono autorizzazioni per varie azioni. AWS Directory Service

Nota

Tutti gli esempi utilizzano la regione degli Stati Uniti occidentali (Oregon) (us-west-2) e contengono account fittizi. IDs

Esempio 1: consentire a un utente di eseguire qualsiasi azione Descrivi su qualsiasi risorsa AWS Directory Service

La seguente politica di autorizzazioni concede a un utente le autorizzazioni per eseguire tutte le azioni che iniziano con Describe in un AWS Microsoft AD gestito con l'ID d-1234567890 di directory in. Account AWS 111122223333 Queste operazioni riportano informazioni su una risorsa AWS Directory Service , ad esempio una directory o una snapshot. Assicurati di modificare il Regione AWS numero di account in base alla regione che desideri utilizzare e al tuo numero di account.

JSON
{
"Version":"2012-10-17",
   "Statement":[
      {
"Effect":"Allow",
         "Action":"ds:Describe*",
         "Resource": "arn:aws:ds:us-west-2:111122223333:directory/d-1234567890"
      }
   ]
}

Esempio 2: consentire a un utente di creare una directory

La seguente policy di autorizzazione concede autorizzazioni per permettere all'utente di creare una directory e tutte le altre risorse correlate, quali snapshot e trust. A tal fine, sono necessarie anche le autorizzazioni per determinati EC2 servizi Amazon.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress", 
                "ec2:CreateNetworkInterface",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:CreateTags"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ds:CreateDirectory",
                "ds:DescribeDirectories"
            ],
            "Resource": "arn:aws:ds:*:111122223333:*"
        }
    ]
}

Utilizzo dei tag con policy IAM

Puoi applicare autorizzazioni a livello di risorsa basate su tag nelle policy IAM che utilizzi per la maggior parte delle azioni API. AWS Directory Service In questo modo è possibile controllare meglio le risorse che un utente può creare, modificare o utilizzare. Puoi utilizzare l'elemento Condition (denominato anche blocco Condition) con i seguenti valori e chiavi di contesto di condizione in una policy IAM per controllare l'accesso dell'utente (autorizzazione) in base ai tag della risorsa:

  • Utilizza aws:ResourceTag/tag-key: tag-value per concedere o negare agli utenti operazioni su risorse con specifici tag.

  • Utilizza aws:ResourceTag/tag-key: tag-value per richiedere che un tag specifico venga utilizzato (o non utilizzato) durante la creazione di una richiesta API per creare o modificare una risorsa che abilita i tag.

  • Utilizza aws:TagKeys: [tag-key, ...] per richiedere che un set di tag specifico venga utilizzato (o non utilizzato) durante la creazione di una richiesta API per creare o modificare una risorsa che abilita i tag.

Nota

Le chiavi di contesto della condizione e i valori all'interno di una policy IAM si applicano solo alle operazioni AWS Directory Service in cui un identificatore per una risorsa in grado di essere taggata è un parametro obbligatorio.

Controllo dell'accesso mediante i tag nella Guida per l'utente di IAM contiene ulteriori informazioni sull'utilizzo dei tag. La sezione relativa alla documentazione di riferimento sulle policy JSON IAM della guida ha una sintassi dettagliata, descrizioni ed esempi di elementi, variabili e logica di valutazione delle policy JSON in IAM.

La seguente politica sui tag consente di creare una AWS Directory Service directory purché vengano utilizzati i seguenti tag:

  • Ambiente: produzione

  • Proprietario: Infrastructure Team

  • Centro di costo: 1234

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:CreateDirectory"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Environment": "Production",
                    "aws:RequestTag/Owner": "Infrastructure-Team",
                    "aws:RequestTag/CostCenter": "12345"
                }
            }
        }
    ]
}

La seguente politica sui tag consente l'aggiornamento e l'eliminazione AWS Directory Service delle directory purché vengano utilizzati i seguenti tag:

  • Progetto: Atlas

  • Dipartimento: Ingegneria

  • Ambiente: messa in scena

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:DeleteDirectory",
                "ds:UpdateDirectory"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Project": "Atlas",
                    "aws:ResourceTag/Department": "Engineering",
                    "aws:ResourceTag/Environment": "Staging"
                }
            }
        }
    ]
}

La seguente politica di tag nega l'etichettatura delle risorse per i AWS Directory Service casi in cui la risorsa ha uno dei seguenti tag:

  • Produzione

  • Sicurezza

  • Riservato

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ds:AddTagsToResource"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": ["Production", "Security", "Confidential"]
                }
            }
        }
    ]
}

Per ulteriori informazioni ARNs, consulta Amazon Resource Names (ARNs) e AWS Service Namespaces.

Il seguente elenco di operazioni AWS Directory Service API supporta le autorizzazioni a livello di risorsa basate su tag: