Autorizzazioni necessarie per utilizzare la console AWS Directory Service AWS politiche gestite (predefinite) per AWS Directory Service Esempi di policy gestite dal cliente Utilizzo dei tag con policy IAM

Utilizzo di politiche basate sull'identità (politiche IAM) per AWS Directory Service

In questo argomento vengono forniti esempi di policy basate su identità in cui un amministratore account può collegare policy di autorizzazione a identità IAM, ovvero utenti, gruppi e ruoli.

Importante

Ti consigliamo di esaminare innanzitutto gli argomenti introduttivi che spiegano i concetti e le opzioni di base disponibili per gestire l'accesso alle tue risorse. AWS Directory Service Per ulteriori informazioni, consulta la pagina Panoramica della gestione delle autorizzazioni di accesso alle risorse AWS Directory Service.

In questa sezione vengono trattati gli argomenti seguenti:

Autorizzazioni necessarie per utilizzare la console AWS Directory Service
AWS politiche gestite (predefinite) per AWS Directory Service
Esempi di policy gestite dal cliente
Utilizzo dei tag con policy IAM

Di seguito viene illustrato un esempio di policy di autorizzazione.


{
   "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDsEc2IamGetRole",
            "Effect": "Allow",
            "Action": [
                "ds:CreateDirectory",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:CreateSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSubnets",
                "iam:GetRole"
            ],
            "Resource": "*"
        },
        {
            "Sid": "WarningAllowsCreatingRolesWithDirSvcPrefix",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::111122223333:role/DirSvc*"
        },
        {
            "Sid": "AllowPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "cloudwatch.amazonaws.com"
                }
            }
        }
    ]
}

La policy include quanto segue.

La prima istruzione concede il permesso di creare una directory. AWS Directory Service AWS Directory Service non supporta le autorizzazioni per questa particolare azione a livello di risorsa. e di conseguenza la policy specifica una carattere jolly (*) come valore di Resource.
La seconda istruzione concede autorizzazioni a determinate operazioni IAM. L'accesso alle azioni IAM è necessario per AWS Directory Service poter leggere e creare ruoli IAM per tuo conto. Il carattere jolly (*) alla fine del valore Resource indica che l'istruzione concede l'autorizzazione alle operazioni IAM su qualsiasi ruolo IAM. Per limitare questa autorizzazione a un determinato ruolo, sostituire il carattere jolly (*) nel nome ARN della risorsa con il nome del ruolo specifico. Per ulteriori informazioni, consulta la sezione relativa alle operazioni IAM.
La terza istruzione concede le autorizzazioni a un set specifico di risorse Amazon EC2 necessarie per AWS Directory Service consentire la creazione, la configurazione e la distruzione delle relative directory. Il carattere jolly (*) alla fine del valore Resource indica che l'istruzione concede l'autorizzazione alle operazioni EC2 su qualsiasi risorsa EC2 o sottorisorsa. Per limitare questa autorizzazione a un ruolo specifico, sostituisci il carattere jolly (*) nell'ARN della risorsa con la risorsa o sottorisorsa specifica. Per ulteriori informazioni, consulta Operazioni di Amazon EC2

La policy non specifica l'elemento Principal poiché in una policy basata su identità l'entità che ottiene l'autorizzazione non viene specificata. Quando si collega una policy a un utente, quest'ultimo è l'entità implicita. Quando si collega una policy di autorizzazione a un ruolo IAM;, l'entità identificata nella policy di attendibilità del ruolo ottiene le autorizzazioni.

Per una tabella che mostra tutte le azioni AWS Directory Service API e le risorse a cui si applicano, consulta. AWS Directory Service Autorizzazioni API: riferimento alle azioni, alle risorse e alle condizioni

Autorizzazioni necessarie per utilizzare la console AWS Directory Service

Affinché un utente possa utilizzare la AWS Directory Service console, deve disporre delle autorizzazioni elencate nella politica precedente o delle autorizzazioni concesse dal ruolo Directory Service Full Access Role o Directory Service Read Only, descritto in. AWS politiche gestite (predefinite) per AWS Directory Service

Se decidi di creare una policy IAM più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per gli utenti con tale policy IAM.

AWS politiche gestite (predefinite) per AWS Directory Service

AWS affronta molti casi d'uso comuni fornendo policy IAM autonome create e amministrate da. AWS Le policy gestite concedono le autorizzazioni necessarie per i casi di utilizzo comune in modo da non dover cercare quali sono le autorizzazioni richieste. Per ulteriori informazioni, consultare Policy gestite da AWS nella Guida per l'utente di IAM.

Le seguenti politiche AWS gestite, che puoi allegare agli utenti del tuo account, sono specifiche per AWS Directory Service:

AWSDirectoryServiceReadOnlyAccess— Concede a un utente o a un gruppo l'accesso in sola lettura a tutte le AWS Directory Service risorse, le sottoreti EC2, le interfacce di rete EC2 e gli argomenti e gli abbonamenti di Amazon Simple Notification Service (Amazon SNS) per l'account root. AWS Per ulteriori informazioni, consulta Utilizzo delle policy gestite di AWS con AWS Directory Service.
AWSDirectoryServiceFullAccess: concede a un utente o a un gruppo quanto segue:
- Accesso completo a AWS Directory Service
- Accesso ai principali servizi Amazon EC2 necessario per l'uso AWS Directory Service
- Possibilità di elencare argomenti di Amazon SNS
- Possibilità di creare, gestire ed eliminare argomenti di Amazon SNS con un nome che inizia con «» DirectoryMonitoring
Per ulteriori informazioni, consulta Utilizzo delle policy gestite di AWS con AWS Directory Service.

Inoltre, esistono altre policy AWS gestite adatte all'uso con altri ruoli IAM. Queste politiche vengono assegnate ai ruoli associati agli utenti nella AWS Directory Service directory. Queste policy sono necessarie per consentire a tali utenti di accedere ad altre AWS risorse, come Amazon EC2. Per ulteriori informazioni, consulta Concessione dell'accesso alle risorse AWS a utenti e gruppi.

Puoi anche creare policy IAM personalizzate che consentono agli utenti di accedere alle operazioni e risorse API richieste. Puoi collegare queste policy personalizzate agli utenti o ai gruppi IAM che richiedono le autorizzazioni.

Esempi di policy gestite dal cliente

In questa sezione, puoi trovare esempi di politiche utente che concedono autorizzazioni per varie AWS Directory Service azioni.

Nota

Tutti gli esempi utilizzano la regione Stati Uniti occidentali (Oregon) (us-west-2) e contengono ID account fittizi.

Esempi

Esempio 1: consentire a un utente di eseguire qualsiasi azione Descrivi su qualsiasi risorsa AWS Directory Service
Esempio 2: consentire a un utente di creare una directory

Esempio 1: consentire a un utente di eseguire qualsiasi azione Descrivi su qualsiasi risorsa AWS Directory Service

La seguente policy di autorizzazione concede a un utente le autorizzazioni per eseguire tutte le operazioni che iniziano con Describe. Queste azioni mostrano informazioni su una AWS Directory Service risorsa, ad esempio una directory o un'istantanea. Nota che il carattere jolly (*) nell'Resourceelemento indica che le azioni sono consentite per tutte le AWS Directory Service risorse di proprietà dell'account.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ds:Describe*",
         "Resource":"*"
      }
   ]
}

Esempio 2: consentire a un utente di creare una directory

La seguente policy di autorizzazione concede autorizzazioni per permettere all'utente di creare una directory e tutte le altre risorse correlate, quali snapshot e trust. Per farlo, sono necessarie anche le autorizzazioni per determinati servizi Amazon EC2.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action": [
                "ds:Create*",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
                  ],
         "Resource":"*"
         ]
      }
   ]
}

Utilizzo dei tag con policy IAM

Puoi applicare autorizzazioni a livello di risorsa basate su tag nelle policy IAM che utilizzi per la maggior parte delle azioni API. AWS Directory Service In questo modo è possibile controllare meglio le risorse che un utente può creare, modificare o utilizzare. Puoi utilizzare l'elemento Condition (denominato anche blocco Condition) con i seguenti valori e chiavi di contesto di condizione in una policy IAM per controllare l'accesso dell'utente (autorizzazione) in base ai tag della risorsa:

Utilizza aws:ResourceTag/tag-key: tag-value per concedere o negare agli utenti operazioni su risorse con specifici tag.
Utilizza aws:ResourceTag/tag-key: tag-value per richiedere che un tag specifico venga utilizzato (o non utilizzato) durante la creazione di una richiesta API per creare o modificare una risorsa che abilita i tag.
Utilizza aws:TagKeys: [tag-key, ...] per richiedere che un set di tag specifico venga utilizzato (o non utilizzato) durante la creazione di una richiesta API per creare o modificare una risorsa che abilita i tag.

Nota

Le chiavi di contesto della condizione e i valori all'interno di una policy IAM si applicano solo alle operazioni AWS Directory Service in cui un identificatore per una risorsa in grado di essere taggata è un parametro obbligatorio.

Controllo dell'accesso mediante i tag nella Guida per l'utente di IAM contiene ulteriori informazioni sull'utilizzo dei tag. La sezione relativa alla documentazione di riferimento sulle policy JSON IAM della guida ha una sintassi dettagliata, descrizioni ed esempi di elementi, variabili e logica di valutazione delle policy JSON in IAM.

Il seguente esempio di policy di tag consente tutte le chiamate ds purché contengano il tag coppia chiave-valore "fooKey"."fooValue".


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"VisualEditor0",
         "Effect":"Allow",
         "Action":[
            "ds:*"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/fooKey":"fooValue"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:*"
         ],
         "Resource":"*"
      }
   ]
}

Il seguente esempio di policy della risorsa consente tutte le chiamate ds purché la risorsa contenga l'ID directory "d-1234567890".


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"VisualEditor0",
         "Effect":"Allow",
         "Action":[
            "ds:*"
         ],
         "Resource":"arn:aws:ds:us-east-1:123456789012:directory/d-1234567890"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:*"
         ],
         "Resource":"*"
      }
   ]
}

Per ulteriori informazioni sugli ARN, consulta Amazon Resource Names (ARNs) e AWS Service Namespaces.

Il seguente elenco di operazioni AWS Directory Service API supporta le autorizzazioni a livello di risorsa basate su tag:

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Panoramica sulla gestione degli accessi

AWS Directory Service Riferimento alle autorizzazioni API