本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Directory
<a name="key_concepts_directory"></a>

目錄是結構描述架構的資料存放區，其中包含由多階層結構組織的特定物件類型 (如需詳細資訊，請參閱「[目錄結構](key_concepts_directorystructure.md)」)。例如，使用者目錄可提供以報告結構、位置和專案關係為基礎的階層檢視。同樣地，裝置目錄可有以其製造商、目前擁有者和實體位置為基礎的多個階層檢視。

目錄定義資料存放區的邏輯邊界，藉此與服務中的其他目錄完全隔離。此外也定義個別請求的邊界。單一交易或查詢會在單一目錄內容中執行。您無法建立沒有結構描述的目錄，而且一個目錄通常會套用一個結構描述。不過，您可以使用 Cloud Directory API 操作將其他結構描述套用至目錄。如需詳細資訊，請參閱「」[https://docs.aws.amazon.com/clouddirectory/latest/APIReference/API_ApplySchema.html](https://docs.aws.amazon.com/clouddirectory/latest/APIReference/API_ApplySchema.html)中的*Amazon Cloud Directory API 參考指南*。

## Objects
<a name="key_concepts_objects"></a>

物件是目錄中的結構化資料實體。目錄中的物件旨在擷取實體 (Physical) 或邏輯實體 (Entity) 相關的中繼資料 (或屬性)，通常用於資訊探索及政策行使等目的。例如，使用者、裝置、應用程式、AWS 帳戶、EC2 執行個體和 Amazon S3 儲存貯體在目錄中都會以不同物件類型表示。

物件的結構和類型資訊會以面向集合表示。您可以使用 `Path` 或 `ObjectIdentifier` 來存取物件。物件也可以包含屬性，即使用者定義的中繼資料單位。例如，使用者物件可以包含名為 *email-address* 的屬性。屬性一律會與物件產生關聯。

## Policies
<a name="key_concepts_policies"></a>

政策是專門用來存放許可或功能的物件類型。政策提供 [https://docs.aws.amazon.com/clouddirectory/latest/APIReference/API_LookupPolicy.html](https://docs.aws.amazon.com/clouddirectory/latest/APIReference/API_LookupPolicy.html) API 動作。查詢政策動作可參考任何物件做為其起始輸入。接著會在目錄中一路向上到根目錄。此動作會收集在到達根目錄的每個路徑上，所遇到的任何政策物件。Cloud Directory 完全不會解譯任何政策。反之，會是由 Cloud Directory 使用者透過其專屬的商業邏輯來解譯政策。

例如，假設有一個存放員工資訊的系統。而員工會依工作職能分組。我們想要為人力資源群組成員與會計群組成員建立不同的許可。人力資源群組成員將能夠存取薪資資訊，而會計群組成員將能夠存取總帳資訊。為了建立這些許可，我們將政策物件連接到每個群組。需要評估使用者的許可時，我們可以對該使用者的物件使用 `LookupPolicy` API 動作。所以此`LookupPolicy`API 動作會從指定政策的物件一路向上到根目錄。途中會在每個節點停下並檢查是否有任何連接政策，然後傳回這些政策。

**政策連接**

您可以透過兩種方式將政策連接到其他物件：一般父子連接與特殊政策連接。使用一般父子連接，政策可以連接到父節點。這提供了一個簡單的機制，經常有助於尋找資料目錄中的政策。政策不能有子項。`LookupPolicy` API 呼叫期間不會傳回透過父子連接所連接的政策。

政策物件也可透過政策連接來連接到其他物件。您可以使用 [https://docs.aws.amazon.com/clouddirectory/latest/APIReference/API_AttachPolicy.html](https://docs.aws.amazon.com/clouddirectory/latest/APIReference/API_AttachPolicy.html) 和 [https://docs.aws.amazon.com/clouddirectory/latest/APIReference/API_DetachPolicy.html](https://docs.aws.amazon.com/clouddirectory/latest/APIReference/API_DetachPolicy.html) API 動作來管理這些政策連接。政策連接可讓您在使用 LookupPolicy API 時找到政策節點。

**政策結構描述規格**

若要開始使用政策，您必須先將面向新增至結構描述以支援建立政策。為了達成此目標，請建立面向，並將面向的 `objectType` 設定為 POLICY。建立使用 POLICY 類型面向的物件可確保物件具有政策功能。

政策面向會繼承兩個屬性，以及您新增至定義的任何屬性：
+ **policy\_type** (字串、必要) - 這是您可以提供來區分不同政策使用的識別符。如果您的政策有清楚的分類邏輯，建議您適當地設定政策類型屬性。`LookupPolicy` API 會傳回連接政策的政策類型 (請參閱「[https://docs.aws.amazon.com/clouddirectory/latest/APIReference/API_PolicyAttachment.html](https://docs.aws.amazon.com/clouddirectory/latest/APIReference/API_PolicyAttachment.html)」)。這可讓您輕鬆篩選想要尋找的特定政策類型。您也可以使用 policy\_type 來決定文件的處理或解譯方式。
+ **policy\_document** (二進位、必要) - 您可以在此屬性中存放應用程式特定資料，例如與政策相關聯的許可授予。如果您想要，也可以將應用程式相關資料存放在面向的一般屬性中。

**政策 API 概觀**

有各種不同的專用 API 動作可搭配政策使用。如需可用操作的清單，請參閱[Amazon Cloud Directory 操作](https://docs.aws.amazon.com/clouddirectory/latest/APIReference/API_Operations.html)。

若要建立政策物件，請使用 [https://docs.aws.amazon.com/clouddirectory/latest/APIReference/API_CreateObject.html](https://docs.aws.amazon.com/clouddirectory/latest/APIReference/API_CreateObject.html) API 動作並搭配適當的面向：
+ 若要將政策連接到物件或從物件分離，請分別使用 `AttachPolicy` 和 `DetachPolicy` 動作。
+ 若要在樹狀目錄中一路向上尋找連接到物件的政策，請使用 `LookupPolicy` API 動作。
+ 若要列出連接到特定物件的政策，請使用 [https://docs.aws.amazon.com/clouddirectory/latest/APIReference/API_ListObjectPolicies.html](https://docs.aws.amazon.com/clouddirectory/latest/APIReference/API_ListObjectPolicies.html) API 動作。

如需執行每個 API 動作所需之操作和許可的清單，請參閱「[Amazon Cloud Directory 許可：動作、資源和條件參考](iam_auth_access_usingwith_iam_resourcepermissions.md)」。