Visão geral do gerenciamento de permissões de acesso aos recursos do Cloud Directory - Amazon Cloud Directory

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visão geral do gerenciamento de permissões de acesso aos recursos do Cloud Directory

Todo recurso da AWS é de propriedade de uma conta da AWS, e as permissões para criar ou acessar os recursos são regidas por políticas de permissões. Um administrador da conta pode anexar políticas de permissões a identidades do IAM; (ou seja, usuários, grupos e funções) e alguns serviços (como o AWS Lambda) também permitem que se atribuam políticas de permissões aos recursos.

nota

Um administrador da conta (ou usuário administrador) é um usuário com privilégios de administrador. Para obter mais informações, consulte Melhores práticas do IAM no Guia do usuário do IAM.

Ao conceder permissões, você decide quem recebe as permissões, os recursos relacionados às permissões concedidas e as ações específicas que deseja permitir nesses recursos.

Recursos e operações do Cloud Directory

No Cloud Directory, os recursos principais são diretórios e esquemas. Esses recursos têm nomes de recurso da Amazon (ARNs) exclusivos associados, conforme mostrado na tabela a seguir.

Tipo de recurso Formato de Nome de região da Amazon (ARN)

Diretório

arn:aws:clouddirectory:region:account-id:directory/directory-id

Esquema arn:aws:clouddirectory:region:account-id:schema/schema-state/schema-name

Para obter mais informações sobre estados de esquema e ARNs, consulteExemplos de ARN donoReferência da API Amazon Cloud Directory.

O Cloud Directory fornece um conjunto de operações para trabalhar com os recursos adequados. Para obter uma lista das operações disponíveis, consulteAções da Amazon Cloud DirectoryouAções do Directory Service.

Entender a propriedade de recursos

Um proprietário do recurso é a conta da AWS que criou um recurso. Isto é, o proprietário do recurso é a conta da AWS da entidade principal (a conta-raiz, um usuário do IAM ou uma função do IAM) que autentica a solicitação que cria o recurso. Os exemplos a seguir ilustram como isso funciona:

  • Se você usar as credenciais da conta raiz de sua conta da AWS para criar um recurso do Cloud Directory, como um diretório, sua conta da AWS será a proprietária desse recurso.

  • Se você criar um usuário do IAM em sua conta da AWS e conceder permissões para criar recursos do Cloud Directory a esse usuário, o usuário também poderá criar recursos do Cloud Directory. No entanto, a sua conta da AWS, à qual o usuário pertence, é a proprietária dos recursos do .

  • Se você criar uma função do IAM em sua conta da AWS com permissões para criar recursos do Cloud Directory, qualquer pessoa que puder assumir essa função poderá criar recursos do Cloud Directory. Sua conta da AWS, à qual a função pertence, é a proprietária dos recursos do Cloud Directory.

Gerenciamento do acesso aos recursos

A política de permissões descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação das políticas de permissões.

nota

Esta seção discute o uso do IAM no contexto do Cloud Directory. Não são fornecidas informações detalhadas sobre o serviço IAM. Para concluir a documentação do IAM, consulteO que é o IAM?noGuia do usuário do IAM. Para obter mais informações sobre a sintaxe as descrições da política do IAMReferência de política do AWS IAMnoGuia do usuário do IAM.

Políticas anexadas a uma identidade do IAM são chamadas deBaseado em identidade doPolíticas (políticas do IAM) e políticas anexadas a um recurso são chamadas deBaseado em recursos doPolíticas do. Cloud Directory oferece suporte apenas às políticas baseadas em identidade (políticas do IAM).

Políticas baseadas em identidade (políticas do IAM)

Você pode anexar as políticas a identidades do IAM. Por exemplo, você pode fazer o seguinte:

  • Anexar uma política de permissões a um usuário ou grupo na sua conta do— um administrador da conta pode usar uma política de permissões associada a determinado usuário para conceder permissões para que esse usuário crie um recurso do Cloud Directory, como um novo diretório.

  • Anexar uma política de permissões a uma função (conceder permissões entre contas)— você pode associar uma política de permissões baseada em identidade a uma função do IAM para conceder permissões entre contas. Por exemplo, o administrador na Conta A pode criar uma função para conceder permissões entre contas a outra conta da AWS (por exemplo, Conta B) ou um serviço da AWS da seguinte forma:

    1. Um administrador da Conta A cria uma função do IAM e anexa uma política de permissões à função que concede permissões em recursos da Conta A.

    2. Um administrador da Conta A anexa uma política de confiança à função identificando a Conta B como a principal, que pode assumir a função.

    3. A seguir, o administrador da Conta B pode delegar permissões para assumir a função para todos os usuários na Conta B. Isso permite que os usuários na Conta B criem ou acessem recursos na Conta A. O principal na política de confiança também poderá ser um principal do serviço da AWS, se você quiser conceder a um serviço da AWS permissões para assumir a função.

    Para obter mais informações sobre o uso do IAM para delegar permissões, consulteGerenciamento de acessonoGuia do usuário do IAM.

A seguinte política de permissões concede permissões a um usuário para executar todas as ações que começam com Create. Essas ações mostram informações sobre um recurso do Cloud Directory, como um diretório ou um esquema. Observe que o caractere curinga (*) noResourceO elemento indica que as ações são permitidas para todos os recursos do Cloud Directory que pertencem à conta.

{ "Version":"2017-01-11", "Statement":[ { "Effect":"Allow", "Action":"clouddirectory:Create*", "Resource":"*" } ] }

Para mais informações sobre como usar políticas baseadas em identidade com o Cloud Directory, consulteUsar políticas baseadas em identidade (políticas do IAM) para o Cloud Directory. Para obter mais informações sobre usuários, grupos, funções e permissões, consulte Identidades (usuários, grupos e funções) no Guia do usuário do IAM.

Políticas com base em recurso

Outros serviços, como Amazon S3, também dão suporte a políticas de permissões baseadas em recursos. Por exemplo: você pode anexar uma política a um bucket do S3 para gerenciar permissões de acesso a esse bucket. Cloud Directory não é compatível com as políticas baseadas em recursos.

Especificação de elementos de política: Ações, efeitos, recursos e principais

Para cada recurso do Cloud Directory (consulteRecursos e operações do Cloud Directory), o serviço define um conjunto de operações da API. Para obter uma lista das operações da API disponíveis, consulteAções da Amazon Cloud DirectoryouAções do Directory Service. Para conceder permissões a essas operações de API, o Cloud Directory define um conjunto de ações que podem ser especificados em uma política. Observe que a execução de uma operação de API pode exigir permissões para mais de uma ação.

Estes são os elementos de política básicos:

  • Recurso – Em uma política, você usa um Amazon Resource Name (ARN – Nome de recurso da Amazon) para identificar o recurso a que a política se aplica. Para os recursos do Cloud Directory, você sempre usa o caractere curinga (*) nas políticas do IAM. Para obter mais informações, consulte Recursos e operações do Cloud Directory.

  • Ação: você usa palavras-chave de ação para identificar operações de recursos que você deseja permitir ou negar. Por exemplo, as receitasclouddirectory:GetDirectoryPermissões permitem que as permissões do usuário executem o Cloud DirectoryGetDirectoryoperação.

  • Efeito— Você especifica o efeito quando o usuário solicita a ação específica — que pode ser permitir ou negar. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, o que pode fazer para ter a certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.

  • Principal: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é implicitamente o principal. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (aplica-se somente a políticas baseadas em recursos). Cloud Directory não é compatível com as políticas baseadas em recursos.

Para saber mais sobre a sintaxe e as descrições da política do IAM, consulteReferência de política do AWS IAMnoGuia do usuário do IAM.

Para obter uma tabela que mostra todas as ações da API do Amazon Cloud Directory e os recursos a que elas se aplicam, consultePermissões da Amazon Cloud Directory: Referência de ações, recursos e condições.

Especificação de condições em uma política

Ao conceder permissões, você pode usar a linguagem da política de acesso para especificar as condições quando uma política deve entrar em vigor. Por exemplo, convém que uma política só seja aplicada após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte Condição no Guia do usuário do IAM.

Para expressar condições, você usa chaves de condição predefinidas. Não há chaves de condição específicas do Cloud Directory. No entanto, existem chaves de condição em toda a AWS que você pode usar conforme apropriado. Para obter uma lista completa das chaves de toda a AWS, consulteChaves de condição globais disponíveisnoGuia do usuário do IAM.