디렉터리 서비스 데이터 조건 키 - AWS Directory Service
ds-data:SAMAccountNameds-data:Identifierds-data:MemberNameds-data:MemberRealmds-data:Realm

디렉터리 서비스 데이터 조건 키

디렉터리 서비스 데이터 조건 키를 사용하여 사용자 및 그룹 수준 액세스에 특정 문을 추가합니다. 이를 통해 사용자는 어떤 주체가 어떤 리소스와 어떤 조건에서 작업을 수행할 수 있는지 결정할 수 있습니다.

조건 요소 또는 조건 블록을 사용하면 정책이 발효되는 조건을 지정할 수 있습니다. Condition 요소는 선택 사항입니다. 같음(=) 또는 작음(<)과 같은 조건 연산자를 사용하여 정책의 조건을 요청의 값과 일치시키는 조건식을 생성할 수 있습니다.

한 문에서 여러 조건 요소를 지정하거나 단일 조건 요소에서 여러 키를 지정하는 경우, AWS는 논리적 AND 태스크를 사용함으로써 평가합니다. 단일 조건 키의 여러 값을 지정하는 경우, AWS는 논리적 OR 태스크를 사용함으로써 조건을 평가합니다. 문의 권한을 부여하기 전에 모든 조건을 충족해야 합니다. 조건을 지정할 때 자리 표시자 변수를 사용할 수도 있습니다. 예를 들어, 사용자 이름으로 태그가 지정된 경우에만 리소스에 액세스할 수 있는 권한을 IAM 사용자에게 부여할 수 있습니다. 자세한 내용은 IAM 사용자 가이드에서 여러 키 또는 값이 있는 상태를 참조하세요.

이러한 조건 키를 지원하는 작업 목록은 서비스 권한 부여 참조AWS 디렉터리 서비스 데이터에 정의된 작업을 참조하세요.

참고

태그 기반 리소스 수준 권한에 대한 자세한 내용은 IAM 정책에 태그 사용을 참조하세요.

ds-data:SAMAccountName

문자열 연산자를 사용합니다.

이 키를 사용하여 IAM 역할이 특정 사용자 및 그룹에 대한 작업을 수행하도록 명시적으로 허용하거나 거부합니다.

중요

SAMAccountName 또는 MemberName을 사용할 때는 ds-data:IdentifierSAMAccountName으로 지정하는 것이 좋습니다. 이렇게 하면 SID와 같이 AWS 디렉터리 서비스 데이터가 지원하는 향후 식별자가 기존 권한을 깨지 않습니다.

다음 정책은 IAM 보안 주체가 joe 사용자를 설명하거나 joegroup 그룹을 설명하는 것을 거부합니다.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyDescribe",
      "Effect": "Deny",
      "Action": "ds-data:Describe*",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:SAMAccountName": [
            "joe",
            "joegroup"
          ],
          "ds-data:identifier": [
            "SAMAccountName"
          ]
        }
      }
    }
  ]
}
참고

이 조건 키는 대/소문자를 구분하지 않습니다. StringEqualsIgnoreCase 또는 StringNotEqualsIgnoreCase 조건 연산자를 사용하여 문자 사례에 관계없이 문자열 값을 비교해야 합니다.

ds-data:Identifier

문자열 연산자를 사용합니다.

이 키를 사용하여 IAM 정책 권한에 사용할 식별자를 정의합니다. 현재 SAMAccountName만 지원됩니다.

다음 정책은 IAM 보안 주체가 joe 사용자를 업데이트하도록 허용합니다.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "UpdateJoe",
      "Effect": "Allow",
      "Action": "ds-data:UpdateUser",
      "Resource": "arn:aws:ds:us-east-1:111122223333:directory/d-012345678",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:SAMAccountName": [
            "joe"
          ],
          "ds-data:identifier": [
            "SAMAccountName"
          ]
        }
      }
    }
  ]
}

ds-data:MemberName

문자열 연산자를 사용합니다.

이 키를 사용하여 작업을 수행할 수 있는 멤버를 정의합니다.

중요

MemberName 또는 SAMAccountName을 사용할 때는 ds-data:IdentifierSAMAccountName으로 지정하는 것이 좋습니다. 이렇게 하면 SID와 같이 디렉터리 서비스 데이터가 지원하는 향후 식별자가 기존 권한을 깨지 않습니다.

다음 정책은 IAM 보안 주체가 모든 그룹의 joe 멤버에 대해 AddGroupMember를 수행하도록 허용합니다.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
        "Sid": "AddJoe",
        "Effect": "Allow",
        "Action": "ds-data:AddGroupMember",
        "Resource": "arn:aws:ds:us-east-1:111122223333:directory/d-012345678",
        "Condition": {
            "StringEqualsIgnoreCase": {
                "ds-data:MemberName": "joe"
            }
        }
    }
  ]
}
참고

이 조건 키는 대/소문자를 구분하지 않습니다. StringEqualsIgnoreCase 또는 StringNotEqualsIgnoreCase 조건 연산자를 사용하여 문자 사례에 관계없이 문자열 값을 비교해야 합니다.

ds-data:MemberRealm

문자열 연산자를 사용합니다.

이 키를 사용하여 정책의 ds-data:MemberRealm 값이 요청의 멤버 영역과 일치하는지 확인합니다.

참고

이 조건 키는 대/소문자를 구분하지 않습니다. StringEqualsIgnoreCase 또는 StringNotEqualsIgnoreCase 조건 연산자를 사용하여 문자 사례에 관계없이 문자열 값을 비교해야 합니다.

다음 정책은 IAM 보안 주체가 ONE.TRU1.AMAZON.COM 영역에서 bob 멤버에 대한 AddGroupMember를 호출하도록 허용합니다.

참고

다음 예제에서는 ds-data:MemberName 컨텍스트 키만 사용합니다.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "addbob",
      "Effect": "Allow",
      "Action": "ds-data:AddGroupMember",
      "Resource": "arn:aws:ds:us-east-1:111122223333:directory/d-012345678",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:MemberName": "bob",
          "ds-data:MemberRealm": "one.tru1.amazon.com"
        }
      }
    }
  ]
}

ds-data:Realm

문자열 연산자를 사용합니다.

이 키를 사용하여 IAM 보안 주체가 디렉터리 서비스 데이터 API에 요청을 수행하는 데 사용할 수 있는 영역과 정책의 ds-data:Realm 값이 일치하는지 확인합니다.

참고

이 조건 키는 대/소문자를 구분하지 않습니다. StringEqualsIgnoreCase 또는 StringNotEqualsIgnoreCase 조건 연산자를 사용하여 문자 사례에 관계없이 문자열 값을 비교해야 합니다.

다음 정책은 IAM 보안 주체가 one.tru1.amazon.com 영역에서 ListUsers를 호출하는 것을 거부합니다.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyTrustedList",
      "Effect": "Deny",
      "Action": "ds-data:ListUsers",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:Realm": [
            "one.tru1.amazon.com"
          ]
        }
      }
    }
  ]
}