Für die Verwendung der AWS Directory Service Konsole sind Berechtigungen erforderlich AWS verwaltete (vordefinierte) Richtlinien für AWS Directory Service Beispiele für vom Kunden verwaltete Richtlinien Verwenden von Tags mit IAM-Richtlinien

Verwendung identitätsbasierter Richtlinien (IAMRichtlinien) für AWS Directory Service

Dieses Thema enthält Beispiele für identitätsbasierte Richtlinien, mit denen ein Kontoadministrator Berechtigungsrichtlinien an IAM Identitäten (d. h. Benutzern, Gruppen und Rollen) anhängen kann.

Wichtig

Wir empfehlen Ihnen, zunächst die einführenden Themen zu lesen, in denen die grundlegenden Konzepte und Optionen erläutert werden, mit denen Sie den Zugriff auf Ihre Ressourcen verwalten können. AWS Directory Service Weitere Informationen finden Sie unter Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre AWS Directory Service Ressourcen.

Dieses Thema besteht aus folgenden Abschnitten:

Für die Verwendung der AWS Directory Service Konsole sind Berechtigungen erforderlich
AWS verwaltete (vordefinierte) Richtlinien für AWS Directory Service
Beispiele für vom Kunden verwaltete Richtlinien
Verwenden von Tags mit IAM-Richtlinien

Dies ist ein Beispiel für eine Berechtigungsrichtlinie.


{
   "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDsEc2IamGetRole",
            "Effect": "Allow",
            "Action": [
                "ds:CreateDirectory",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:CreateSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSubnets",
                "iam:GetRole"
            ],
            "Resource": "*"
        },
        {
            "Sid": "WarningAllowsCreatingRolesWithDirSvcPrefix",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::111122223333:role/DirSvc*"
        },
        {
            "Sid": "AllowPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "cloudwatch.amazonaws.com"
                }
            }
        }
    ]
}

Die Richtlinie umfasst Folgendes:

Die erste Anweisung erteilt die Erlaubnis, ein AWS Directory Service Verzeichnis zu erstellen. AWS Directory Service unterstützt keine Berechtigungen für diese spezielle Aktion auf Ressourcenebene. Daher, gibt die Richtlinie ein Platzhalterzeichen (*) für den Resource-Wert an.
Die zweite Anweisung gewährt Berechtigungen für bestimmte IAM Aktionen. Der Zugriff auf IAM Aktionen ist erforderlich, damit Sie IAM Rollen in Ihrem Namen lesen und erstellen AWS Directory Service können. Das Platzhalterzeichen (*) am Ende des Resource Werts bedeutet, dass die Anweisung die Erlaubnis für die IAM Aktionen für jede IAM Rolle gewährt. Um diese Berechtigung auf eine bestimmte Rolle zu beschränken, ersetzen Sie das Platzhalterzeichen (*) in der Ressource ARN durch den spezifischen Rollennamen. Weitere Informationen finden Sie unter IAMAktionen.
Die dritte Anweisung gewährt Berechtigungen für eine bestimmte Gruppe von EC2 Amazon-Ressourcen, die erforderlich sind, AWS Directory Service um deren Verzeichnisse erstellen, konfigurieren und löschen zu können. Das Platzhalterzeichen (*) am Ende des Resource Werts bedeutet, dass die Anweisung die Erlaubnis für EC2 Aktionen für jede EC2 Ressource oder Unterressource gewährt. Um diese Berechtigung auf eine bestimmte Rolle zu beschränken, ersetzen Sie das Platzhalterzeichen (*) in der Ressource durch die spezifische Ressource oder ARN Unterressource. Weitere Informationen finden Sie unter Amazon EC2 Actions

Das Element Principal ist in der Richtlinie nicht angegeben, da in identitätsbasierten Richtlinien die Angabe des Prinzipals als Empfänger der Berechtigung nicht erforderlich ist. Wenn Sie einem Benutzer eine Richtlinie zuweisen, ist der Benutzer automatisch der Prinzipal. Wenn Sie einer IAM Rolle eine Berechtigungsrichtlinie zuordnen, erhält der in der Vertrauensrichtlinie der Rolle angegebene Principal die Berechtigungen.

Eine Tabelle mit allen AWS Directory Service API Aktionen und den Ressourcen, für die sie gelten, finden Sie unterAWS Directory Service APIBerechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen.

Für die Verwendung der AWS Directory Service Konsole sind Berechtigungen erforderlich

Damit ein Benutzer mit der AWS Directory Service Konsole arbeiten kann, muss er über die in der vorherigen Richtlinie aufgeführten Berechtigungen oder über die Berechtigungen verfügen, die durch die Verzeichnisdienst-Vollzugriffsrolle oder die Directorydienst-Rolle (Read Only) gewährt wurden, wie unter beschriebenAWS verwaltete (vordefinierte) Richtlinien für AWS Directory Service.

Wenn Sie eine IAM Richtlinie erstellen, die restriktiver ist als die erforderlichen Mindestberechtigungen, funktioniert die Konsole für Benutzer mit dieser IAM Richtlinie nicht wie vorgesehen.

AWS verwaltete (vordefinierte) Richtlinien für AWS Directory Service

AWS adressiert viele gängige Anwendungsfälle durch die Bereitstellung eigenständiger IAM Richtlinien, die von erstellt und verwaltet werden AWS. Die verwalteten Richtlinien erteilen die erforderlichen Berechtigungen für viele häufige Anwendungsfälle, sodass Sie nicht mühsam ermitteln müssen, welche Berechtigungen erforderlich sind. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien.

Die folgenden AWS verwalteten Richtlinien, die Sie Benutzern in Ihrem Konto zuordnen können, sind spezifisch für AWS Directory Service:

AWSDirectoryServiceReadOnlyAccess— Gewährt einem Benutzer oder einer Gruppe schreibgeschützten Zugriff auf alle AWS Directory Service Ressourcen, EC2 Subnetze, EC2 Netzwerkschnittstellen und Amazon Simple Notification Service (AmazonSNS) -Themen und Abonnements für das Root-Konto. AWS Weitere Informationen finden Sie unter Verwendung von AWS verwalteten Richtlinien mit AWS Directory Service.
AWSDirectoryServiceFullAccess – Gewährt einem Benutzer oder einer Gruppe Folgendes:
- Voller Zugriff auf AWS Directory Service
- Für die Nutzung ist Zugriff auf wichtige EC2 Amazon-Dienste erforderlich AWS Directory Service
- Möglichkeit, SNS Amazon-Themen aufzulisten
- Möglichkeit, SNS Amazon-Themen zu erstellen, zu verwalten und zu löschen, deren Name mit „DirectoryMonitoring“ beginnt
Weitere Informationen finden Sie unter Verwendung von AWS verwalteten Richtlinien mit AWS Directory Service.

Darüber hinaus gibt es weitere AWS verwaltete Richtlinien, die für die Verwendung mit anderen IAM Rollen geeignet sind. Diese Richtlinien werden den Rollen zugewiesen, die Benutzern in Ihrem AWS Directory Service Verzeichnis zugeordnet sind. Diese Richtlinien sind erforderlich, damit diese Benutzer Zugriff auf andere AWS Ressourcen wie Amazon habenEC2. Weitere Informationen finden Sie unter Benutzern und Gruppen den Zugriff auf AWS -Ressourcen gewähren.

Sie können auch benutzerdefinierte IAM Richtlinien erstellen, die es Benutzern ermöglichen, auf die erforderlichen API Aktionen und Ressourcen zuzugreifen. Sie können diese benutzerdefinierten Richtlinien an die IAM Benutzer oder Gruppen anhängen, die diese Berechtigungen benötigen.

Beispiele für vom Kunden verwaltete Richtlinien

In diesem Abschnitt finden Sie Beispielbenutzerrichtlinien, die Berechtigungen für verschiedene AWS Directory Service Aktionen gewähren.

Anmerkung

Alle Beispiele verwenden die Region USA West (Oregon) (us-west-2) und enthalten ein fiktives Konto. IDs

Beispiele

Beispiel 1: Erlauben Sie einem Benutzer, eine Beschreibe-Aktion für eine beliebige Ressource auszuführen AWS Directory Service
Beispiel 2: Einem Benutzer das Erstellen eines Verzeichnisses erlauben

Beispiel 1: Erlauben Sie einem Benutzer, eine Beschreibe-Aktion für eine beliebige Ressource auszuführen AWS Directory Service

Die folgende Berechtigungsrichtlinie gewährt Berechtigungen für einen Benutzer, alle Aktionen auszuführen, die mit beginne Describe. Diese Aktionen zeigen Informationen über eine AWS Directory Service Ressource, z. B. ein Verzeichnis oder einen Snapshot. Beachten Sie, dass das Platzhalterzeichen (*) im Resource Element angibt, dass die Aktionen für alle AWS Directory Service Ressourcen zulässig sind, die dem Konto gehören.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ds:Describe*",
         "Resource":"*"
      }
   ]
}

Beispiel 2: Einem Benutzer das Erstellen eines Verzeichnisses erlauben

Die folgende Berechtigungsrichtlinie gewährt Berechtigungen, um zu ermöglichen, dass ein Benutzer ein Verzeichnis und alle anderen verwandten Ressourcen, z. B. Snapshots und Vertrauensstellungen erstellen kann. Dazu sind auch Genehmigungen für bestimmte EC2 Amazon-Dienste erforderlich.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action": [
                "ds:Create*",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
                  ],
         "Resource":"*"
         ]
      }
   ]
}

Verwenden von Tags mit IAM-Richtlinien

Sie können tagbasierte Berechtigungen auf Ressourcenebene in den IAM Richtlinien anwenden, die Sie für die meisten Aktionen verwenden. AWS Directory Service API Dies ermöglicht Ihnen eine bessere Kontrolle darüber, welche Ressourcen ein Benutzer erstellen, ändern oder verwenden kann. Sie verwenden das Condition Element (auch Condition Block genannt) mit den folgenden Bedingungskontextschlüsseln und Werten in einer IAM Richtlinie, um den Benutzerzugriff (Berechtigungen) auf der Grundlage der Tags einer Ressource zu steuern:

Verwenden Sie aws:ResourceTag/tag-key: tag-value, um Benutzern Aktionen auf Ressourcen mit bestimmten Tags zu gestatten oder zu verweigern.
Verwenden Sieaws:ResourceTag/tag-key:, tag-value um zu verlangen, dass ein bestimmtes Tag verwendet (oder nicht verwendet) wird, wenn Sie eine API Anfrage zum Erstellen oder Ändern einer Ressource stellen, die Tags zulässt.
Verwenden Sieaws:TagKeys: [tag-key,...], um zu verlangen, dass ein bestimmter Satz von Tag-Schlüsseln verwendet (oder nicht verwendet) wird, wenn eine API Anfrage zur Erstellung oder Änderung einer Ressource gestellt wird, die Tags zulässt.

Anmerkung

Die Schlüssel und Werte für den Bedingungskontext in einer IAM Richtlinie gelten nur für AWS Directory Service Aktionen, bei denen ein Bezeichner für eine Ressource, die markiert werden kann, ein erforderlicher Parameter ist.

Im IAMBenutzerhandbuch finden Sie zusätzliche Informationen zur Verwendung von Tags zur Steuerung des Zugriffs mithilfe von Tags. Der Abschnitt mit den IAMJSONRichtlinienreferenzen dieses Handbuchs enthält ausführliche Syntax, Beschreibungen und Beispiele der Elemente, Variablen und Bewertungslogik von JSON Richtlinien inIAM.

Mit der folgenden Beispielrichtlinie gestatten Sie alle ds-Aufrufe, solange diese das Tag-Schlüssel-Paar "fooKey":"fooValue" enthält.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"VisualEditor0",
         "Effect":"Allow",
         "Action":[
            "ds:*"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/fooKey":"fooValue"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:*"
         ],
         "Resource":"*"
      }
   ]
}

Mit der folgenden Beispielrichtlinie gestatten Sie alle ds-Aufrufe, solange die Ressource die Verzeichnis-ID "d-1234567890" enthält.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"VisualEditor0",
         "Effect":"Allow",
         "Action":[
            "ds:*"
         ],
         "Resource":"arn:aws:ds:us-east-1:123456789012:directory/d-1234567890"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:*"
         ],
         "Resource":"*"
      }
   ]
}

Weitere Informationen zu ARNs finden Sie unter Amazon Resource Names (ARNs) und AWS Service Namespaces.

Die folgende Liste von AWS Directory Service API Vorgängen unterstützt tagbasierte Berechtigungen auf Ressourcenebene:

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Übersicht über die Verwaltung von Zugriffsberechtigungen

Referenz für AWS Directory Service API-Berechtigungen