Utilisation de politiques basées sur l'identité (IAMpolitiques) pour AWS Directory Service

Cette rubrique fournit des exemples de politiques basées sur l'identité dans lesquelles un administrateur de compte peut associer des politiques d'autorisation aux IAM identités (c'est-à-dire aux utilisateurs, aux groupes et aux rôles).

Important

Nous vous recommandons de consulter d'abord les rubriques d'introduction qui expliquent les concepts de base et les options disponibles pour gérer l'accès à vos AWS Directory Service ressources. Pour plus d’informations, consultez Vue d'ensemble de la gestion des autorisations d'accès à vos AWS Directory Service ressources.

Les sections de cette rubrique couvrent les sujets suivants :

• Autorisations requises pour utiliser la AWS Directory Service console

• AWS politiques gérées (prédéfinies) pour AWS Directory Service

• Exemples de politiques gérées par le client

• Utilisation des balises avec les stratégies IAM

Un exemple de politique d'autorisation est exposé ci-dessous.

{
   "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDsEc2IamGetRole",
            "Effect": "Allow",
            "Action": [
                "ds:CreateDirectory",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:CreateSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSubnets",
                "iam:GetRole"
            ],
            "Resource": "*"
        },
        {
            "Sid": "WarningAllowsCreatingRolesWithDirSvcPrefix",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::111122223333:role/DirSvc*"
        },
        {
            "Sid": "AllowPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "cloudwatch.amazonaws.com"
                }
            }
        }
    ]
}

La politique comprend les éléments suivants :

• La première instruction autorise la création d'un AWS Directory Service répertoire. AWS Directory Service ne prend pas en charge les autorisations pour cette action particulière au niveau des ressources. Par conséquent, la politique spécifie un caractère générique (*) comme étant la valeur Resource.

• La deuxième déclaration accorde des autorisations pour certaines IAM actions. L'accès aux IAM actions est nécessaire pour AWS Directory Service pouvoir lire et créer des IAM rôles en votre nom. Le caractère générique (*) à la fin de la Resource valeur signifie que l'instruction autorise les IAM actions sur n'importe quel IAM rôle. Pour limiter cette autorisation à un rôle spécifique, remplacez le caractère générique (*) de la ressource ARN par le nom du rôle spécifique. Pour plus d'informations, consultez la section IAMActions.

• La troisième déclaration accorde des autorisations à un ensemble spécifique de EC2 ressources Amazon nécessaires à la création, AWS Directory Service à la configuration et à la destruction de ses répertoires. Le caractère générique (*) à la fin de la Resource valeur signifie que l'instruction autorise les EC2 actions sur n'importe quelle EC2 ressource ou sous-ressource. Pour limiter cette autorisation à un rôle spécifique, remplacez le caractère générique (*) de la ressource par la ressource ARN ou la sous-ressource spécifique. Pour plus d'informations, consultez Amazon EC2 Actions

La politique ne spécifie pas l'élément Principal, car dans une politique basée sur une identité, vous ne spécifiez pas le principal qui obtient l'autorisation. Quand vous attachez une politique à un utilisateur, l'utilisateur est le principal implicite. Lorsque vous associez une politique d'autorisation à un IAM rôle, le principal identifié dans la politique de confiance du rôle obtient les autorisations.

Pour un tableau présentant toutes les AWS Directory Service API actions et les ressources auxquelles elles s'appliquent, voirAWS Directory Service APIautorisations : référence aux actions, aux ressources et aux conditions.

Autorisations requises pour utiliser la AWS Directory Service console

Pour qu'un utilisateur puisse utiliser la AWS Directory Service console, il doit disposer des autorisations répertoriées dans la politique précédente ou des autorisations accordées par le rôle d'accès complet du service d'annuaire ou le rôle de lecture seule du service d'annuaire, décrits dansAWS politiques gérées (prédéfinies) pour AWS Directory Service.

Si vous créez une IAM politique plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les utilisateurs dotés de cette IAM politique.

AWS politiques gérées (prédéfinies) pour AWS Directory Service

AWS répond à de nombreux cas d'utilisation courants en fournissant des IAM politiques autonomes créées et administrées par AWS. Les politiques gérées octroient les autorisations requises dans les cas d’utilisation courants et vous évitent d’avoir à réfléchir aux autorisations qui sont requises. Pour plus d'informations, consultez la section Politiques AWS gérées dans le Guide de IAM l'utilisateur.

Les politiques AWS gérées suivantes, que vous pouvez associer aux utilisateurs de votre compte, sont spécifiques à AWS Directory Service :

• AWSDirectoryServiceReadOnlyAccess— Accorde à un utilisateur ou à un groupe un accès en lecture seule à toutes les AWS Directory Service ressources, EC2 sous-réseaux, interfaces EC2 réseau, sujets et abonnements Amazon Simple Notification Service (AmazonSNS) pour le compte root. AWS Pour plus d’informations, consultez Utilisation des stratégies gérées AWS avec AWS Directory Service.

• AWSDirectoryServiceFullAccess : accorde à un utilisateur ou à un groupe les éléments suivants :

  • Accès complet à AWS Directory Service

  • Accès aux principaux EC2 services Amazon nécessaires à l'utilisation AWS Directory Service

  • Possibilité de répertorier les SNS sujets Amazon

  • Possibilité de créer, gérer et supprimer SNS des sujets Amazon dont le nom commence par « DirectoryMonitoring »

  Pour plus d’informations, consultez Utilisation des stratégies gérées AWS avec AWS Directory Service.

En outre, il existe d'autres politiques AWS gérées qui peuvent être utilisées avec d'autres IAM rôles. Ces politiques sont attribuées aux rôles associés aux utilisateurs de votre AWS Directory Service annuaire. Ces politiques sont nécessaires pour que ces utilisateurs aient accès à d'autres AWS ressources, telles qu'AmazonEC2. Pour plus d’informations, consultez Accorder aux utilisateurs et aux groupes l'accès aux ressources AWS.

Vous pouvez également créer des IAM politiques personnalisées qui permettent aux utilisateurs d'accéder aux API actions et aux ressources requises. Vous pouvez associer ces politiques personnalisées aux IAM utilisateurs ou aux groupes qui ont besoin de ces autorisations.

Exemples de politiques gérées par le client

Dans cette section, vous trouverez des exemples de politiques utilisateur qui accordent des autorisations pour diverses AWS Directory Service actions.

Note

Tous les exemples utilisent la région de l'Ouest des États-Unis (Oregon) (us-west-2) et contiennent un récit fictif. IDs

Exemple 1 : Autoriser un utilisateur à effectuer n'importe quelle action de description sur n'importe quelle AWS Directory Service ressource

La politique d'autorisation suivante accorde des autorisations à un utilisateur lui permettant d'exécuter toutes les actions commençant par Describe. Ces actions affichent des informations sur une AWS Directory Service ressource, telle qu'un répertoire ou un instantané. Notez que le caractère générique (*) dans l'Resourceélément indique que les actions sont autorisées pour toutes les AWS Directory Service ressources détenues par le compte.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ds:Describe*",
         "Resource":"*"
      }
   ]
}

Exemple 2 : Permettre à un utilisateur de créer un annuaire

La politique d'autorisations suivante accorde des autorisations pour permettre à un utilisateur de créer un annuaire et toutes les autres ressources connexes, telles que les instantanés et les approbations. Pour ce faire, des autorisations d'accès à certains EC2 services Amazon sont également requises.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action": [
                "ds:Create*",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
                  ],
         "Resource":"*"
         ]
      }
   ]
}

Utilisation des balises avec les stratégies IAM

Vous pouvez appliquer des autorisations au niveau des ressources basées sur des balises dans les IAM politiques que vous utilisez pour la plupart des actions. AWS Directory Service API Vous bénéficiez ainsi d'un meilleur contrôle sur les ressources qu'un utilisateur peut créer, modifier ou utiliser. Vous utilisez l'Conditionélément (également appelé Condition bloc) avec les clés et valeurs de contexte de condition suivantes dans une IAM politique pour contrôler l'accès des utilisateurs (autorisations) en fonction des balises d'une ressource :

• Utilisez aws:ResourceTag/tag-key: tag-value pour accorder ou refuser aux utilisateurs des actions sur des ressources ayant des balises spécifiques.

• Utilisez aws ResourceTag :/ tag-key : tag-value pour exiger qu'une balise spécifique soit utilisée (ou non) lors d'une API demande de création ou de modification d'une ressource qui autorise les balises.

• Utilisez aws : TagKeys : [tag-key,...] pour exiger qu'un ensemble spécifique de clés de balise soit utilisé (ou non utilisé) lors d'une API demande de création ou de modification d'une ressource qui autorise les balises.

Note

Les clés et valeurs du contexte de condition d'une IAM politique s'appliquent uniquement aux AWS Directory Service actions pour lesquelles un identifiant pour une ressource susceptible d'être étiquetée est un paramètre obligatoire.

Le contrôle de l'accès à l'aide de balises dans le guide de IAM l'utilisateur contient des informations supplémentaires sur l'utilisation des balises. La section de référence des IAM JSON politiques de ce guide contient une syntaxe détaillée, des descriptions et des exemples des éléments, des variables et de la logique d'évaluation des JSON politiques dansIAM.

L'exemple de politique de balise suivant autorise tous les appels ds tant qu'ils contiennent la paire de clés de balise « fooKey »:« fooValue ».

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"VisualEditor0",
         "Effect":"Allow",
         "Action":[
            "ds:*"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/fooKey":"fooValue"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:*"
         ],
         "Resource":"*"
      }
   ]
}

L'exemple de politique de ressource suivant autorise tous les appels ds tant que la ressource contient l'ID d'annuaire « d-1234567890 ».

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"VisualEditor0",
         "Effect":"Allow",
         "Action":[
            "ds:*"
         ],
         "Resource":"arn:aws:ds:us-east-1:123456789012:directory/d-1234567890"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:*"
         ],
         "Resource":"*"
      }
   ]
}

Pour plus d'informationsARNs, consultez Amazon Resource Names (ARNs) et AWS Service Namespaces.

La liste d' AWS Directory Service APIopérations suivante prend en charge les autorisations au niveau des ressources basées sur des balises :

• AcceptSharedDirectory

• AddIpRoutes

• AddTagsToResource

• CancelSchemaExtension

• CreateAlias

• CreateComputer

• CreateConditionalForwarder

• CreateSnapshot

• CreateLogSubscription

• CreateTrust

• DeleteConditionalForwarder

• DeleteDirectory

• DeleteLogSubscription

• DeleteSnapshot

• DeleteTrust

• DeregisterEventTopic

• DescribeConditionalForwarders

• DescribeDomainControllers

• DescribeEventTopics

• DescribeSharedDirectories

• DescribeSnapshots

• DescribeTrusts

• DisableRadius

• DisableSso

• EnableRadius

• EnableSso

• GetSnapshotLimits

• ListIpRoutes

• ListSchemaExtensions

• ListTagsForResource

• RegisterEventTopic

• RejectSharedDirectory

• RemoveIpRoutes

• RemoveTagsFromResource

• ResetUserPassword

• RestoreFromSnapshot

• ShareDirectory

• StartSchemaExtension

• UnshareDirectory

• UpdateConditionalForwarder

• UpdateNumberOfDomainControllers

• UpdateRadius

• UpdateTrust

• VerifyTrust