Uso de políticas baseadas em identidade (políticas do IAM) para o Directory Service - AWS Directory Service
Permissões necessárias para usar o console do Directory ServiceAWS Políticas gerenciadas pela (predefinidas) para o Directory ServiceExemplos de política gerenciada pelo clienteUtilização de tags com políticas do IAM

Uso de políticas baseadas em identidade (políticas do IAM) para o Directory Service

Este tópico fornece exemplos de políticas baseadas em identidade em que um administrador de conta pode anexar políticas de permissões a identidades do IAM (usuários, grupos e funções). Esses exemplos demonstram as políticas do IAM no Directory Service. Você deve modificar e criar as próprias políticas para atender às suas necessidades e ao seu ambiente.

Importante

Recomendamos analisar primeiro os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos recursos do Directory Service. Para obter mais informações, consulte Visão geral do gerenciamento de permissões de acesso aos recursos do Directory Service.

As seções neste tópico abrangem o seguinte:

A seguir, um exemplo de uma política de permissões.

JSON
{
   "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowDsEc2IamGetRole",
            "Effect": "Allow",
            "Action": [
                "ds:CreateDirectory",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:CreateNetworkInterface",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:CreateSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSubnets",
                "iam:GetRole"
            ],
            "Resource": "*"
        },
        {
            "Sid": "WarningAllowsCreatingRolesWithDirSvcPrefix",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::111122223333:role/DirSvc*"
        },
        {
            "Sid": "AllowPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::111122223333:role/Your-Role-Name",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "cloudwatch.amazonaws.com"
                }
            }
        }
    ]
}

As três instruções na política concedem permissões da seguinte forma:

  • A primeira instrução concede permissão para criar um diretório do Directory Service. Como o Directory Service não oferece suporte a permissões no nível de recurso, a política especifica um caractere curinga (*) como valor de Resource.

  • A segunda instrução concede permissões para acessar ações do IAM, permitindo que o Directory Service leia e crie perfis do IAM em seu nome. O caractere curinga (*) no final do valor de Resource significa que a instrução fornece permissões para as ações do IAM em qualquer função do IAM. Para limitar essa permissão a uma função específica, substitua o caractere curinga (*) no ARN do recurso pelo nome da função específica. Para obter mais informações, consulte Ações do IAM.

  • A terceira declaração concede permissões a um conjunto específico de recursos no Amazon EC2 que são necessárias para permitir que o Directory Service crie, configure e destrua seus diretórios. Substitua o ARN do perfil pelo seu perfil. Para obter mais informações, consulte Amazon EC2 Actions.

Você não vê um elemento Principal na política, porque em uma política baseada em identidade, não é especificada a entidade principal que recebe a permissão. Quando você anexa a política a um usuário, o usuário torna-se o principal implícito. Quando você anexa uma política de permissão a um perfil do IAM, a entidade principal identificada na política de confiança do perfil obtém as permissões.

Para obter uma tabela que mostra todas as ações da API do Directory Service e os recursos a que elas se aplicam, consulte Directory ServicePermissões da API do : referência de ações, recursos e condições.

Permissões necessárias para usar o console do Directory Service

Para que um usuário trabalhe com o console do Directory Service, esse usuário deve ter as permissões listadas na política acima ou as permissões concedidas pela função de acesso total do Directory Service ou pela função de somente leitura do Directory Service, descritas em AWS Políticas gerenciadas pela (predefinidas) para o Directory Service.

Se você criar uma política do IAM que seja mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para os usuários com essa política do IAM.

AWS Políticas gerenciadas pela (predefinidas) para o Directory Service

A AWS aborda muitos casos de uso comuns fornecendo políticas do IAM predefinidas, ou gerenciadas, que são criadas e administradas pela AWS. As políticas gerenciadas concedem as permissões necessárias para casos de uso comuns, o que o ajuda a decidir quais permissões você precisa. Para obter mais informações, consulte AWS políticas gerenciadas da para AWS Directory Service.

Exemplos de política gerenciada pelo cliente

Nesta seção, você encontrará exemplos de políticas de usuário que concedem permissões para diversas ações do Directory Service.

nota

Todos os exemplos usam a Região do Oeste dos EUA (Oregon) (us-west-2) e contêm IDs de conta fictícios.

Exemplo 1: permitir que um usuário execute qualquer ação de descrição em qualquer recurso do Directory Service

A seguinte política de permissões concede permissões a um usuário para executar todas as ações que começam com Describe em um AWS Managed Microsoft AD com o ID de diretório d-1234567890 na Conta da AWS 111122223333. Essas ações mostram informações sobre um recurso do Directory Service, como um diretório ou um snapshot. Certifique-se de alterar Região da AWS e número da conta para a região que você deseja usar e o número da conta.

JSON
{
"Version":"2012-10-17",		 	 	 
   "Statement":[
      {
"Effect":"Allow",
         "Action":"ds:Describe*",
         "Resource": "arn:aws:ds:us-west-2:111122223333:directory/d-1234567890"
      }
   ]
}

Exemplo 2: permitir que um usuário crie um diretório

A política de permissões a seguir concede permissões para permitir que um usuário crie um diretório e todos os outros recursos relacionados, como snapshots e confianças. Para fazer isso, permissões para determinados serviços do Amazon EC2 também são necessárias.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress", 
                "ec2:CreateNetworkInterface",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:CreateTags"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ds:CreateDirectory",
                "ds:DescribeDirectories"
            ],
            "Resource": "arn:aws:ds:*:111122223333:*"
        }
    ]
}

Utilização de tags com políticas do IAM

Você pode aplicar permissões em nível de recurso baseadas em tags às políticas do IAM que você usa para a maioria das ações de API do Directory Service. Isso oferece a você mais controle sobre quais recursos um usuário pode criar, modificar ou usar. Você pode usar o elemento Condition (também chamado bloco Condition) juntamente com os seguintes valores e chaves de contexto de condição em uma política do IAM para controlar o acesso do usuário (permissões) baseado em tags de um recurso:

  • Use aws:ResourceTag/tag-key: tag-value para permitir ou negar ações do usuário em recursos com tags específicas.

  • Use aws:ResourceTag/tag-key: tag-value para exigir que uma tag específica seja (ou não seja) usada ao fazer uma solicitação de API para criar ou modificar um recurso que permita tags.

  • Use aws:TagKeys: [tag-key, ...] para exigir que um conjunto específico de chaves de tag seja (ou não seja) usado ao fazer uma solicitação de API para criar ou modificar um recurso que permita tags.

nota

Os valores e as chaves de contexto de condição em uma política do IAM se aplicam somente às ações do Directory Service em que um identificador de um recurso que pode ser marcado com tags é um parâmetro obrigatório.

Controlar o acesso usando tags no Guia do usuário do IAM tem informações adicionais sobre o uso de tags. A seção Referência de política JSON do IAM desse guia detalhou a sintaxe, as descrições e os exemplos dos elementos, variáveis e lógica de avaliação das políticas JSON no IAM.

A política de marcação a seguir permite criar um diretório Directory Service, desde que as seguintes tags sejam usadas:

  • Ambiente: produção

  • Proprietário: equipe de infraestrutura

  • Centro de custos: 1234

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:CreateDirectory"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Environment": "Production",
                    "aws:RequestTag/Owner": "Infrastructure-Team",
                    "aws:RequestTag/CostCenter": "12345"
                }
            }
        }
    ]
}

A política de marcação a seguir permite atualizar e excluir diretórios Directory Service, desde que as seguintes tags sejam usadas:

  • Projeto: Atlas

  • Departamento: engenharia

  • Ambiente: preparação

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:DeleteDirectory",
                "ds:UpdateDirectory"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Project": "Atlas",
                    "aws:ResourceTag/Department": "Engineering",
                    "aws:ResourceTag/Environment": "Staging"
                }
            }
        }
    ]
}

A política de marcação a seguir nega a marcação de recursos para o Directory Service quando o recurso tem uma das seguintes tags:

  • Produção

  • Segurança

  • Confidencial

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ds:AddTagsToResource"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": ["Production", "Security", "Confidential"]
                }
            }
        }
    ]
}

Para obter mais informações sobre ARNs, consulte Nomes de recursos da Amazon (ARNs) e namespaces de serviços da AWS.

A seguinte lista de operações de API do Directory Service oferecem suporte a permissões em nível de recurso baseadas em tags: