Usando políticas baseadas em identidade (políticas do IAM) para AWS Directory Service - AWS Directory Service
Permissões necessárias para usar o AWS Directory Service consoleAWS políticas gerenciadas (predefinidas) para AWS Directory ServiceExemplos de política gerenciada pelo clienteUtilização de tags com políticas do IAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando políticas baseadas em identidade (políticas do IAM) para AWS Directory Service

Este tópico fornece exemplos de políticas baseadas em identidade em que um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções).

Importante

Recomendamos que você primeiro analise os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos seus AWS Directory Service recursos. Para ter mais informações, consulte Visão geral do gerenciamento de permissões de acesso aos seus AWS Directory Service recursos.

As seções neste tópico abrangem o seguinte:

A seguir, um exemplo de uma política de permissões.

{
   "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDsEc2IamGetRole",
            "Effect": "Allow",
            "Action": [
                "ds:CreateDirectory",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:CreateSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSubnets",
                "iam:GetRole"
            ],
            "Resource": "*"
        },
        {
            "Sid": "WarningAllowsCreatingRolesWithDirSvcPrefix",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::111122223333:role/DirSvc*"
        },
        {
            "Sid": "AllowPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "cloudwatch.amazonaws.com"
                }
            }
        }
    ]
}

A política inclui o seguinte:

  • A primeira declaração concede permissão para criar um AWS Directory Service diretório. AWS Directory Service não oferece suporte a permissões para essa ação específica no nível do recurso. Portanto, a política especifica um caractere curinga (*) como valor do Resource.

  • A segunda instrução concede permissões a determinadas ações do IAM. O acesso às ações do IAM é necessário para que AWS Directory Service você possa ler e criar funções do IAM em seu nome. O caractere curinga (*) no final do valor de Resource significa que a instrução fornece permissões para as ações do IAM em qualquer função do IAM. Para limitar essa permissão a uma função específica, substitua o caractere curinga (*) no ARN do recurso pelo nome da função específica. Para obter mais informações, consulte Ações do IAM.

  • A terceira declaração concede permissões a um conjunto específico de recursos do Amazon EC2 que são necessários AWS Directory Service para permitir a criação, configuração e destruição de seus diretórios. O caractere curinga (*) no final do valor de Resource significa que a instrução fornece permissões para as ações do EC2 em qualquer recurso ou sub-recurso do EC2. Para limitar essa permissão a uma função específica, substitua o caractere curinga (*) no ARN do recurso pelo recurso ou sub-recurso específico. Para obter mais informações, consulte Ações do Amazon EC2.

A política não especifica o elemento Principal porque, em uma política baseada em identidade, a entidade principal que obtém as permissões não é especificada. Quando você anexar uma política um usuário, o usuário será a entidade principal implícita. Quando você anexa uma política de permissão a um perfil do IAM, a entidade principal identificada na política de confiança do perfil obtém as permissões.

Para ver uma tabela mostrando todas as ações da AWS Directory Service API e os recursos aos quais elas se aplicam, consulteAWS Directory Service Permissões de API: referência de ações, recursos e condições.

Permissões necessárias para usar o AWS Directory Service console

Para que um usuário trabalhe com o AWS Directory Service console, esse usuário deve ter as permissões listadas na política anterior ou as permissões concedidas pela função Directory Service Full Access Role ou Directory Service Read Only, descrita emAWS políticas gerenciadas (predefinidas) para AWS Directory Service.

Se você criar uma política do IAM que seja mais restritiva que as permissões mínimas necessárias, o console do não funcionará como pretendido para os usuários com essa política do IAM.

AWS políticas gerenciadas (predefinidas) para AWS Directory Service

AWS aborda muitos casos de uso comuns fornecendo políticas autônomas do IAM que são criadas e administradas pela AWS. As políticas gerenciadas concedem permissões necessárias para casos de uso comuns, de maneira que você possa evitar a necessidade de investigar quais permissões são necessárias. Para obter mais informações, consulte Políticas gerenciadas pela AWS no Manual do usuário do IAM.

As seguintes políticas AWS gerenciadas, que você pode anexar aos usuários em sua conta, são específicas para AWS Directory Service:

  • AWSDirectoryServiceReadOnlyAccess— Concede a um usuário ou grupo acesso somente de leitura a todos os AWS Directory Service recursos, sub-redes EC2, interfaces de rede EC2 e tópicos e assinaturas do Amazon Simple Notification Service (Amazon SNS) para a conta raiz. AWS Para ter mais informações, consulte Usar as políticas gerenciadas da AWS com o AWS Directory Service.

  • AWSDirectoryServiceFullAccess: concede a um usuário ou grupo o seguinte:

    • Acesso total ao AWS Directory Service

    • Acesso aos principais serviços do Amazon EC2 necessários para uso AWS Directory Service

    • Capacidade de listar tópicos do Amazon SNS

    • Capacidade de criar, gerenciar e excluir tópicos do Amazon SNS com um nome começando com “” DirectoryMonitoring

    Para ter mais informações, consulte Usar as políticas gerenciadas da AWS com o AWS Directory Service.

Além disso, há outras políticas AWS gerenciadas que são adequadas para uso com outras funções do IAM. Essas políticas são atribuídas às funções associadas aos usuários em seu AWS Directory Service diretório. Essas políticas são necessárias para que esses usuários tenham acesso a outros AWS recursos, como o Amazon EC2. Para ter mais informações, consulte Conceder a usuários e grupos acesso aos recursos da AWS.

Você também pode criar políticas personalizadas do IAM que permitem que os usuários acessem os recursos e as ações necessários da API do . Você pode anexar essas políticas personalizadas a usuários ou grupos do IAM que exijam essas permissões.

Exemplos de política gerenciada pelo cliente

Nesta seção, você pode encontrar exemplos de políticas de usuário que concedem permissões para várias AWS Directory Service ações.

nota

Todos os exemplos usam a Região do Oeste dos EUA (Oregon) (us-west-2) e contêm IDs de conta fictícios.

Exemplo 1: permitir que um usuário execute qualquer ação de descrição em qualquer AWS Directory Service recurso

A seguinte política de permissões concede permissões a um usuário para executar todas as ações que começam com Describe. Essas ações mostram informações sobre um AWS Directory Service recurso, como um diretório ou um instantâneo. Observe que o caractere curinga (*) no Resource elemento indica que as ações são permitidas para todos os AWS Directory Service recursos pertencentes à conta. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ds:Describe*",
         "Resource":"*"
      }
   ]
}

Exemplo 2: permitir que um usuário crie um diretório

A política de permissões a seguir concede permissões para permitir que um usuário crie um diretório e todos os outros recursos relacionados, como snapshots e confianças. Para fazer isso, permissões para determinados serviços do Amazon EC2 também são necessárias.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action": [
                "ds:Create*",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
                  ],
         "Resource":"*"
         ]
      }
   ]
}

Utilização de tags com políticas do IAM

Você pode aplicar permissões em nível de recurso com base em tags nas políticas do IAM que você usa para a maioria das ações de API. AWS Directory Service Isso oferece a você mais controle sobre quais recursos um usuário pode criar, modificar ou usar. Você pode usar o elemento Condition (também chamado bloco Condition) juntamente com os seguintes valores e chaves de contexto de condição em uma política do IAM para controlar o acesso do usuário (permissões) baseado em tags de um recurso:

  • Use aws:ResourceTag/tag-key: tag-value para permitir ou negar ações do usuário em recursos com tags específicas.

  • Use aws:ResourceTag/tag-key: tag-value para exigir que uma tag específica seja (ou não seja) usada ao fazer uma solicitação de API para criar ou modificar um recurso que permita tags.

  • Use aws:TagKeys: [tag-key, ...] para exigir que um conjunto específico de chaves de tag seja (ou não seja) usado ao fazer uma solicitação de API para criar ou modificar um recurso que permita tags.

nota

Os valores e as chaves de contexto de condição em uma política do IAM se aplicam somente às ações do AWS Directory Service em que um identificador de um recurso que pode ser marcado com tags é um parâmetro obrigatório.

Controlar o acesso usando tags no Guia do usuário do IAM tem informações adicionais sobre o uso de tags. A seção Referência de política JSON do IAM desse guia detalhou a sintaxe, as descrições e os exemplos dos elementos, variáveis e lógica de avaliação das políticas JSON no IAM.

O seguinte exemplo de política de tags permite todas as chamadas de ds, desde que ela contenha o par de valor da tag "fooKey" ou "fooValue".

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"VisualEditor0",
         "Effect":"Allow",
         "Action":[
            "ds:*"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/fooKey":"fooValue"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:*"
         ],
         "Resource":"*"
      }
   ]
}

O seguinte exemplo de política permite todas as chamadas ds, contanto que o recurso contenha o ID do diretório "d-1234567890".

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"VisualEditor0",
         "Effect":"Allow",
         "Action":[
            "ds:*"
         ],
         "Resource":"arn:aws:ds:us-east-1:123456789012:directory/d-1234567890"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:*"
         ],
         "Resource":"*"
      }
   ]
}

Para obter mais informações sobre ARNs, consulte Amazon Resource Names (ARNs) e AWS Service Namespaces.

A lista de operações de AWS Directory Service API a seguir oferece suporte a permissões em nível de recurso baseadas em tags: