Uso de políticas basadas en la identidad (IAMpolíticas) para AWS Directory Service

En este tema se proporcionan ejemplos de políticas basadas en la identidad en las que un administrador de cuentas puede adjuntar políticas de permisos a las IAM identidades (es decir, a los usuarios, grupos y roles).

importante

Le recomendamos que consulte primero los temas introductorios en los que se explican los conceptos básicos y las opciones disponibles para administrar el acceso a sus AWS Directory Service recursos. Para obtener más información, consulte Descripción general de la administración de los permisos de acceso a sus AWS Directory Service recursos.

En las secciones de este tema se explica lo siguiente:

• Permisos necesarios para usar la AWS Directory Service consola

• AWS políticas gestionadas (predefinidas) para AWS Directory Service

• Ejemplos de políticas administradas por el cliente

• Uso de etiquetas con políticas de IAM

A continuación se muestra un ejemplo de una política de permisos.

{
   "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDsEc2IamGetRole",
            "Effect": "Allow",
            "Action": [
                "ds:CreateDirectory",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:CreateSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSubnets",
                "iam:GetRole"
            ],
            "Resource": "*"
        },
        {
            "Sid": "WarningAllowsCreatingRolesWithDirSvcPrefix",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::111122223333:role/DirSvc*"
        },
        {
            "Sid": "AllowPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "cloudwatch.amazonaws.com"
                }
            }
        }
    ]
}

La política incluye lo siguiente:

• La primera declaración otorga permiso para crear un AWS Directory Service directorio. AWS Directory Service no admite permisos para esta acción en particular a nivel de recursos. Por lo tanto, la política especifica un comodín (*) como valor de Resource .

• La segunda declaración concede permisos a determinadas IAM acciones. El acceso a IAM las acciones es necesario para AWS Directory Service poder leer y crear IAM roles en tu nombre. El carácter comodín (*) al final del Resource valor significa que la instrucción permite realizar IAM acciones en cualquier IAM rol. Para limitar este permiso a un rol específico, sustituya el carácter comodín (*) del recurso por el ARN nombre del rol específico. Para obtener más información, consulte IAMAcciones.

• La tercera declaración otorga permisos a un conjunto específico de EC2 recursos de Amazon que son necesarios AWS Directory Service para permitir la creación, configuración y destrucción de sus directorios. El carácter comodín (*) al final del Resource valor significa que la declaración permite realizar EC2 acciones en cualquier EC2 recurso o subrecurso. Para limitar este permiso a una función específica, sustituya el carácter comodín (*) del recurso por el recurso ARN o subrecurso específico. Para obtener más información, consulta Amazon EC2 Actions

La política no especifica el elemento Principal, ya que en una política basada en la identidad no se especifica el elemento principal que obtiene el permiso. Al asociar una política a un usuario, el usuario es la entidad principal implícita. Cuando adjuntas una política de permisos a un IAM rol, el principal identificado en la política de confianza del rol obtiene los permisos.

Para ver una tabla en la que se muestran todas las AWS Directory Service API acciones y los recursos a los que se aplican, consulteAWS Directory Service APIpermisos: referencia de acciones, recursos y condiciones.

Permisos necesarios para usar la AWS Directory Service consola

Para que un usuario pueda trabajar con la AWS Directory Service consola, debe tener los permisos enumerados en la política anterior o los permisos otorgados por la función de acceso total de Directory Service o la función de solo lectura de Directory Service, que se describen enAWS políticas gestionadas (predefinidas) para AWS Directory Service.

Si crea una IAM política que sea más restrictiva que los permisos mínimos requeridos, la consola no funcionará según lo previsto para los usuarios con esa IAM política.

AWS políticas gestionadas (predefinidas) para AWS Directory Service

AWS aborda muchos casos de uso comunes al proporcionar IAM políticas independientes que son creadas y administradas por AWS. Las políticas administradas conceden los permisos necesarios para casos de uso comunes, lo que le evita tener que investigar los permisos que se necesitan. Para obtener más información, consulte las políticas AWS administradas en la Guía del IAM usuario.

Las siguientes políticas AWS administradas, que puede adjuntar a los usuarios de su cuenta, son específicas de AWS Directory Service:

• AWSDirectoryServiceReadOnlyAccess— Otorga a un usuario o grupo acceso de solo lectura a todos los AWS Directory Service recursos, EC2 subredes, interfaces de EC2 red y temas y suscripciones de Amazon Simple Notification Service (AmazonSNS) de la cuenta raíz. AWS Para obtener más información, consulte Uso de políticas administradas de AWS con AWS Directory Service.

• AWSDirectoryServiceFullAccess: otorga a un usuario o grupo lo siguiente:

  • Acceso completo a AWS Directory Service

  • Se requiere acceso a los principales EC2 servicios de Amazon para su uso AWS Directory Service

  • Posibilidad de enumerar SNS temas de Amazon

  • Posibilidad de crear, gestionar y eliminar SNS temas de Amazon cuyo nombre comience por «DirectoryMonitoring»

  Para obtener más información, consulte Uso de políticas administradas de AWS con AWS Directory Service.

Además, hay otras políticas AWS gestionadas que son adecuadas para su uso con otros IAM roles. Estas políticas se asignan a las funciones asociadas a los usuarios de su AWS Directory Service directorio. Estas políticas son necesarias para que esos usuarios tengan acceso a otros AWS recursos, como AmazonEC2. Para obtener más información, consulte Otorgar acceso a los recursos de AWS a usuarios y grupos.

También puede crear IAM políticas personalizadas que permitan a los usuarios acceder a API las acciones y los recursos necesarios. Puede adjuntar estas políticas personalizadas a los IAM usuarios o grupos que requieren esos permisos.

Ejemplos de políticas administradas por el cliente

En esta sección, encontrará ejemplos de políticas de usuario que otorgan permisos para diversas AWS Directory Service acciones.

nota

Todos los ejemplos utilizan la región EE.UU. Oeste (Oregón) (us-west-2) y contienen una cuenta IDs ficticia.

Ejemplo 1: Permitir a un usuario realizar cualquier acción de descripción en cualquier recurso AWS Directory Service

La siguiente política de permisos concede permisos a un usuario para ejecutar todas las acciones que empiezan por Describe. Estas acciones muestran información sobre un AWS Directory Service recurso, como un directorio o una instantánea. Tenga en cuenta que el carácter comodín (*) del Resource elemento indica que las acciones están permitidas en todos los AWS Directory Service recursos que son propiedad de la cuenta.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ds:Describe*",
         "Resource":"*"
      }
   ]
}

Ejemplo 2: permitir a un usuario crear un directorio

La siguiente política de permisos otorga permisos para permitir a un usuario crear un directorio y todos los demás recursos relacionados, como tales instantáneas y confianzas. Para ello, también se requieren permisos para ciertos EC2 servicios de Amazon.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action": [
                "ds:Create*",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
                  ],
         "Resource":"*"
         ]
      }
   ]
}

Uso de etiquetas con políticas de IAM

Puedes aplicar permisos a nivel de recursos basados en etiquetas en IAM las políticas que utilices para la mayoría de las acciones. AWS Directory Service API Esto le ofrece un mejor control sobre los recursos que un usuario puede crear, modificar o utilizar. El Condition elemento (también denominado Condition bloque) se utiliza con las siguientes condiciones, claves de contexto y valores en una IAM política para controlar el acceso de los usuarios (permisos) en función de las etiquetas de un recurso:

• Utilice aws:ResourceTag/tag-key: tag-value para permitir o denegar acciones de usuario en recursos con etiquetas específicas.

• Usaaws:ResourceTag/tag-key: tag-value para exigir que se use (o no se use) una etiqueta específica al realizar una API solicitud para crear o modificar un recurso que permita etiquetas.

• Utiliceaws:TagKeys: [tag-key,...] para exigir que se utilice (o no) un conjunto específico de claves de etiquetas al realizar una API solicitud para crear o modificar un recurso que permita etiquetas.

nota

Las condiciones, las claves y los valores contextuales de una IAM política se aplican solo a aquellas AWS Directory Service acciones en las que el identificador de un recurso que se pueda etiquetar es un parámetro obligatorio.

El control del acceso mediante etiquetas en la Guía del IAM usuario contiene información adicional sobre el uso de etiquetas. La sección de referencia de IAM JSON políticas de esa guía contiene una sintaxis detallada, descripciones y ejemplos de los elementos, las variables y la lógica de evaluación de JSON las políticasIAM.

El siguiente ejemplo de política de etiquetas permite todas las llamadas ds siempre que contenga la etiqueta clave/par “fooKey”:”fooValue”.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"VisualEditor0",
         "Effect":"Allow",
         "Action":[
            "ds:*"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/fooKey":"fooValue"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:*"
         ],
         "Resource":"*"
      }
   ]
}

En el siguiente ejemplo de política de recursos permite todas las llamadas de ds siempre que el recurso contenga el ID de directorio “d-1234567890”.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"VisualEditor0",
         "Effect":"Allow",
         "Action":[
            "ds:*"
         ],
         "Resource":"arn:aws:ds:us-east-1:123456789012:directory/d-1234567890"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:*"
         ],
         "Resource":"*"
      }
   ]
}

Para obtener más informaciónARNs, consulte Amazon Resource Names (ARNs) y AWS Service Namespaces.

La siguiente lista de AWS Directory Service API operaciones admite permisos a nivel de recursos basados en etiquetas:

• AcceptSharedDirectory

• AddIpRoutes

• AddTagsToResource

• CancelSchemaExtension

• CreateAlias

• CreateComputer

• CreateConditionalForwarder

• CreateSnapshot

• CreateLogSubscription

• CreateTrust

• DeleteConditionalForwarder

• DeleteDirectory

• DeleteLogSubscription

• DeleteSnapshot

• DeleteTrust

• DeregisterEventTopic

• DescribeConditionalForwarders

• DescribeDomainControllers

• DescribeEventTopics

• DescribeSharedDirectories

• DescribeSnapshots

• DescribeTrusts

• DisableRadius

• DisableSso

• EnableRadius

• EnableSso

• GetSnapshotLimits

• ListIpRoutes

• ListSchemaExtensions

• ListTagsForResource

• RegisterEventTopic

• RejectSharedDirectory

• RemoveIpRoutes

• RemoveTagsFromResource

• ResetUserPassword

• RestoreFromSnapshot

• ShareDirectory

• StartSchemaExtension

• UnshareDirectory

• UpdateConditionalForwarder

• UpdateNumberOfDomainControllers

• UpdateRadius

• UpdateTrust

• VerifyTrust