Descripción general de la administración de los permisos de acceso a su AWS Directory Service resources - AWS Directory Service
AWS Directory Service recursos y operacionesTitularidad de los recursosAdministración del acceso a los recursos de Especificación de elementos de política: acciones, efectos, recursos y entidades principalesEspecificación de las condiciones de una política

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Descripción general de la administración de los permisos de acceso a su AWS Directory Service resources

Cada AWS el recurso es propiedad de un AWS account. Como resultado, los permisos para crear o acceder a los recursos se rigen por políticas de permisos. Sin embargo, un administrador de cuentas, que es un usuario con permisos de administrador, puede adjuntar permisos a los recursos. También tienen la capacidad de adjuntar políticas de permisos a IAM identidades, como usuarios, grupos y roles, y a algunos servicios, como AWS Lambda también admiten adjuntar políticas de permisos a los recursos.

nota

Para obtener información sobre la función de administrador de cuentas, consulte las prácticas IAM recomendadas en la Guía del IAM usuario.

AWS Directory Service recursos y operaciones

En AWS Directory Service, el recurso principal es un directorio. Porque AWS Directory Service admite recursos de instantáneas de directorios, solo puede crear instantáneas en el contexto de un directorio existente. Esta instantánea se denomina subrecurso.

Estos recursos tienen nombres de recursos de Amazon (ARNs) exclusivos asociados a ellos, como se muestra en la siguiente tabla.

Tipo de recurso ARNFormato

Directorio

arn:aws:ds:region:account-id:directory/external-directory-id

Instantánea

arn:aws:ds:region:account-id:snapshot/external-snapshot-id

AWS Directory Service incluye dos espacios de nombres de servicios según el tipo de operaciones que realice.

  • El espacio ds de nombres del servicio proporciona un conjunto de operaciones para trabajar con los recursos adecuados. Para ver la lista de operaciones disponibles, consulte las acciones de Directory Service.

  • El espacio ds-data de nombres del servicio proporciona un conjunto de operaciones a los objetos de Active Directory. Para obtener una lista de las operaciones disponibles, consulte Directory Service Data API Reference.

Titularidad de los recursos

El propietario de un recurso es el AWS cuenta que creó un recurso. Es decir, el propietario del recurso es el AWS cuenta de la entidad principal (la cuenta raíz, un IAM usuario o un IAM rol) que autentica la solicitud que crea el recurso. Los siguientes ejemplos ilustran cómo funciona:

  • Si utiliza las credenciales de la cuenta raíz de su AWS cuenta para crear una AWS Directory Service recurso, como un directorio, su AWS la cuenta es el propietario de ese recurso.

  • Si crea un IAM usuario en su AWS cuenta y otorga permisos para crear AWS Directory Service recursos para ese usuario, el usuario también puede crear AWS Directory Service recursos. Sin embargo, tu AWS la cuenta, a la que pertenece el usuario, es propietaria de los recursos.

  • Si crea un IAM rol en su AWS cuenta con permisos para crear AWS Directory Service recursos, cualquiera que pueda asumir el rol puede crear AWS Directory Service recursos. Sus AWS la cuenta, a la que pertenece el rol, es propietaria del AWS Directory Service recursos.

Administración del acceso a los recursos de

Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.

nota

En esta sección se analiza el uso IAM en el contexto de AWS Directory Service. No proporciona información detallada sobre el IAM servicio. Para obtener IAM la documentación completa, consulte ¿Qué esIAM? en la Guía IAM del usuario. Para obtener información sobre IAM la sintaxis y las descripciones de las IAMJSONpolíticas, consulte la referencia de políticas en la Guía del IAM usuario.

Las políticas asociadas a una IAM identidad se denominan políticas basadas en la identidad (IAMpolíticas) y las políticas asociadas a un recurso se denominan políticas basadas en recursos. AWS Directory Service solo admite políticas basadas en la identidad (políticas). IAM

Políticas basadas en la identidad (políticas) IAM

Puede adjuntar políticas a las identidades. IAM Por ejemplo, puede hacer lo siguiente:

  • Adjunta una política de permisos a un usuario o grupo de tu cuenta: un administrador de cuentas puede usar una política de permisos asociada a un usuario concreto para conceder permisos a ese usuario para crear una AWS Directory Service recurso, como un directorio nuevo.

  • Adjuntar una política de permisos a un rol (conceder permisos multicuenta): puedes adjuntar una política de permisos basada en la identidad a un IAM rol para conceder permisos multicuenta.

    Para obtener más información sobre cómo IAM delegar permisos, consulte Gestión del acceso en la Guía del usuario. IAM

La siguiente política de permisos concede permisos a un usuario para ejecutar todas las acciones que empiezan por Describe. Estas acciones muestran información sobre un AWS Directory Service recurso, como un directorio o una instantánea. Tenga en cuenta que el carácter comodín (*) del Resource elemento indica que las acciones están permitidas para todos AWS Directory Service recursos propiedad de la cuenta. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ds:Describe*",
         "Resource":"*"
      }
   ]
}

Para obtener más información sobre el uso de políticas basadas en la identidad con AWS Directory Service, consulte Uso de políticas basadas en la identidad (IAMpolíticas) para AWS Directory Service. Para obtener más información sobre los usuarios, los grupos, las funciones y los permisos, consulte Identidades (usuarios, grupos y funciones) en la Guía del IAMusuario.

Políticas basadas en recursos

Otros servicios, como Amazon S3, también admiten políticas de permisos basadas en recursos. Por ejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dicho bucket. AWS Directory Service no admite políticas basadas en recursos.

Especificación de elementos de política: acciones, efectos, recursos y entidades principales

Para cada AWS Directory Service recurso, el servicio define un conjunto de API operaciones. Para obtener más información, consulte AWS Directory Service recursos y operaciones. Para obtener una lista de API las operaciones disponibles, consulte Directory Service Actions.

Para conceder permisos para estas API operaciones, AWS Directory Service define un conjunto de acciones que se pueden especificar en una política. Tenga en cuenta que realizar una API operación puede requerir permisos para más de una acción.

A continuación, se indican los elementos básicos de la política:

  • Recurso: en una política, se utiliza un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. En AWS Directory Service recursos, siempre se utiliza el carácter comodín (*) en IAM las políticas. Para obtener más información, consulte AWS Directory Service recursos y operaciones.

  • Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar. Por ejemplo, el ds:DescribeDirectories permiso permite a los usuarios realizar las AWS Directory Service DescribeDirectoriesoperación.

  • Efecto: solo debe especificar el efecto cuando el usuario solicita la acción específica. La acción se puede permitir o denegar. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.

  • Principal: en las políticas basadas en la identidad (IAMpolíticas), el usuario al que está asociada la política es el principal implícito. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos). AWS Directory Service no admite políticas basadas en recursos.

Para obtener más información sobre la sintaxis y las descripciones de las IAM políticas, consulte la referencia IAM JSON de políticas en la Guía del IAMusuario.

Para ver una tabla que muestra todas las AWS Directory Service APIlas acciones y los recursos a los que se aplican, consulteAWS Directory Service APIpermisos: referencia de acciones, recursos y condiciones.

Especificación de las condiciones de una política

Al conceder permisos, puede utilizar el lenguaje de la política de acceso para especificar las condiciones en las que se debe aplicar una política. Por ejemplo, es posible que desee que solo se aplique una política después de una fecha específica. Para obtener más información sobre cómo especificar las condiciones en el lenguaje de una política, consulte Condición en la Guía del IAM usuario.

Cómo expresar condiciones, se usan claves de condición predefinidas. No hay claves de condición específicas para AWS Directory Service. Sin embargo, hay AWS claves de condición que puede usar según corresponda. Para obtener una lista completa de AWS claves, consulte las claves de condición globales disponibles en la Guía del IAM usuario.