Chiavi delle condizioni di Directory Service Data - AWS Directory Service
SAMAccountds-data: NomeDS-Data: identificatoreds-data: MemberNameds-data: MemberRealmDS-Data: Realm

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Chiavi delle condizioni di Directory Service Data

Utilizza le chiavi di condizione Directory Service Data per aggiungere istruzioni specifiche agli utenti e all'accesso a livello di gruppo. Ciò consente agli utenti di decidere quali responsabili possono eseguire azioni su quali risorse e in quali condizioni.

L'elemento Condition, o blocco Condition, consente di specificare le condizioni in cui un'istruzione è valida. L'elemento condizione è facoltativo. È possibile creare espressioni condizionali che utilizzano operatori di condizione, ad esempio equals (=) o less than (<), per abbinare la condizione nella politica ai valori della richiesta.

Se specificate più elementi Condition in un'istruzione o più chiavi in un singolo elemento Condition, li AWS valuta utilizzando un'operazione AND logica. Se specificate più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione OR logica. Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell’istruzione vengano concesse. È possibile anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, puoi concedere a un utente IAM l'autorizzazione ad accedere a una risorsa solo se è contrassegnata con il suo nome utente. Per informazioni, consulta Condizione con più chiavi o valori nella Guida per l'utente IAM.

Per un elenco delle azioni che supportano queste chiavi di condizione, vedere Actions defined by AWS Directory Service Data nel Service Authorization Reference.

Nota

Per informazioni sulle autorizzazioni a livello di risorsa basate su tag, consulta. Utilizzo dei tag con policy IAM

SAMAccountds-data: Nome

Funziona con gli operatori String.

Usa questa chiave per consentire o negare esplicitamente a un ruolo IAM di eseguire azioni su utenti e gruppi specifici.

Importante

Quando usi SAMAccountName oMemberName, ti consigliamo di specificare ds-data:Identifier as. SAMAccountName In questo modo si evita che i futuri identificatori supportati da AWS Directory Service Data, ad esempioSID, violino le autorizzazioni esistenti.

La seguente policy impedisce al preside IAM di descrivere l'utente joe o il gruppo. joegroup

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyDescribe",
      "Effect": "Deny",
      "Action": "ds-data:Describe*",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:SAMAccountName": [
            "joe",
            "joegroup"
          ],
          "ds-data:identifier": [
            "SAMAccountName"
          ]
        }
      }
    }
  ]
}
Nota

Questa condizione non fa distinzione tra maiuscole e minuscole. È necessario utilizzare StringEqualsIgnoreCase o StringNotEqualsIgnoreCase condizionare gli operatori per confrontare i valori delle stringhe indipendentemente dalle lettere maiuscole.

DS-Data: identificatore

Funziona con gli operatori String.

Usa questa chiave per definire quale identificatore utilizzare nelle autorizzazioni della policy IAM. Attualmente è supportato solo SAMAccountName.

La seguente policy consente al principale IAM di aggiornare l'utente. joe

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "UpdateJoe",
      "Effect": "Allow",
      "Action": "ds-data:UpdateUser",
      "Resource": "arn:aws:ds:us-east-1:111122223333:directory/d-012345678",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:SAMAccountName": [
            "joe"
          ],
          "ds-data:identifier": [
            "SAMAccountName"
          ]
        }
      }
    }
  ]
}

ds-data: MemberName

Funziona con gli operatori String.

Utilizzate questa chiave per definire i membri su cui possono essere eseguite operazioni.

Importante

Quando si utilizza MemberName oSAMAccountName, si consiglia di specificare ds-data:Identifier comeSAMAccountName. In questo modo si evita che i futuri identificatori supportati da Directory Service Data, ad esempioSID, violino le autorizzazioni esistenti.

La seguente policy consente al principale IAM di eseguire operazioni AddGroupMember su un membro di qualsiasi joe gruppo.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
        "Sid": "AddJoe",
        "Effect": "Allow",
        "Action": "ds-data:AddGroupMember",
        "Resource": "arn:aws:ds:us-east-1:111122223333:directory/d-012345678",
        "Condition": {
            "StringEqualsIgnoreCase": {
                "ds-data:MemberName": "joe"
            }
        }
    }
  ]
}
Nota

Questa chiave condizionale non fa distinzione tra maiuscole e minuscole. È necessario utilizzare StringEqualsIgnoreCase o StringNotEqualsIgnoreCase condizionare gli operatori per confrontare i valori delle stringhe, indipendentemente dalle lettere maiuscole.

ds-data: MemberRealm

Funziona con gli operatori String.

Usa questa chiave per verificare se il ds-data:MemberRealm valore nella politica corrisponde all'area del membro nella richiesta.

Nota

Questa chiave condizionale non fa distinzione tra maiuscole e minuscole. È necessario utilizzare StringEqualsIgnoreCase o StringNotEqualsIgnoreCase condizionare gli operatori per confrontare i valori delle stringhe, indipendentemente dalle lettere maiuscole.

La seguente policy consente al preside IAM di AddGroupMember richiedere un membro bob in realm. ONE.TRU1.AMAZON.COM

Nota

L'esempio seguente utilizza solo la chiave di ds-data:MemberName contesto.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "addbob",
      "Effect": "Allow",
      "Action": "ds-data:AddGroupMember",
      "Resource": "arn:aws:ds:us-east-1:111122223333:directory/d-012345678",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:MemberName": "bob",
          "ds-data:MemberRealm": "one.tru1.amazon.com"
        }
      }
    }
  ]
}

DS-Data: Realm

Funziona con gli operatori String.

Usa questa chiave per verificare se il ds-data:Realm valore della policy corrisponde al realm che un principale IAM può utilizzare per effettuare richieste ai Directory Service Data APIs.

Nota

Questa chiave condizionale non fa distinzione tra maiuscole e minuscole. È necessario utilizzare StringEqualsIgnoreCase o StringNotEqualsIgnoreCase condizionare gli operatori per confrontare i valori delle stringhe indipendentemente dalle lettere maiuscole.

La seguente politica impedisce al preside IAM di fare riferimento ListUsers al one.tru1.amazon.com realm.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyTrustedList",
      "Effect": "Deny",
      "Action": "ds-data:ListUsers",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:Realm": [
            "one.tru1.amazon.com"
          ]
        }
      }
    }
  ]
}