Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Claves de condición de Directory Service Data
<a name="iam_dsdata-condition-keys"></a>

Utilice las claves de condición de [Directory Service Data](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/welcome.html) para agregar instrucciones específicas para acceder al nivel de usuarios y grupo. Esto les permite a los usuarios decidir qué entidades principales pueden realizar acciones en qué recursos y en qué condiciones. 

El *elemento Condition* o *bloque Condition* permite especificar condiciones en las que entra en vigor una instrucción. El elemento Condition es opcional. Puede crear expresiones condicionales que utilicen operadores de condición, tales como igual (=) o menor que(<), para que la condición de la política coincida con los valores de la solicitud. 

Si especifica varios elementos Condition en una instrucción o varias claves en un único elemento Condition, AWS las evalúa mediante una operación lógica AND. Si especifica varios valores para una sola clave de condición, AWS evalúa la condición mediante una operación OR lógica. Se deben cumplir todas las condiciones antes de conceder los permisos de la declaración. También puedes utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puede conceder un permiso de usuario de IAM para acceder a un recurso solo si está etiquetado con su nombre de usuario. Para obtener más información, consulte [Condition con varias claves o valores](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html) en la *Guía del usuario de IAM*. 

Para obtener una lista de las acciones que admiten estas claves de condición, consulte [Acciones definidas por los datos de AWS Directory Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_directoryservice-data.html) en la *Referencia de autorización de servicios*. 

**nota**  
Para obtener más información sobre los permisos de nivel de recursos basados en etiquetas, consulte [Uso de etiquetas con políticas de IAM](IAM_Auth_Access_IdentityBased.md#using_tags_with_iam_policies). 

## ds-data: Nombre SAMAccount
<a name="dsdata_condition-SAMAccountName"></a>

Funciona con [Operadores de cadena](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). 

Utilice esta clave para permitir o denegar de forma explícita que un rol de IAM realice acciones en usuarios y grupos específicos.

**importante**  
Al usar `SAMAccountName` o `MemberName`, recomendamos especificarlo `ds-data:Identifier` como `SAMAccountName`. Esto evita que los futuros identificadores compatibles con AWS Directory Service Data, por ejemplo`SID`, infrinjan los permisos existentes.

La siguiente política impide que la entidad principal de IAM describa al usuario `joe` o al grupo `joegroup`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyDescribe",
      "Effect": "Deny",
      "Action": "ds-data:Describe*",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:SAMAccountName": [
            "{{joe}}",
            "{{joegroup}}"
          ],
          "ds-data:identifier": [
            "SAMAccountName"
          ]
        }
      }
    }
  ]
}
```

------

**nota**  
Esta clave de condición distingue entre mayúsculas y minúsculas. Debe usar operadores de condición `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` o `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` para comparar los valores de las cadenas independientemente de las mayúsculas y minúsculas. 

## ds-data:Identifier
<a name="dsdata_condition-identifier"></a>

Funciona con [Operadores de cadena](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). 

Utilice esta clave para definir qué identificador se debe utilizar en los permisos de la política de IAM. En la actualidad, solo se admite `SAMAccountName`.

La siguiente política permite a la entidad principal de IAM actualizar el usuario `joe`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "UpdateJoe",
      "Effect": "Allow",
      "Action": "ds-data:UpdateUser",
      "Resource": "arn:aws:ds:{{us-east-1}}:{{111122223333}}:directory/{{d-012345678}}",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:SAMAccountName": [
            "{{joe}}"
          ],
          "ds-data:identifier": [
            "SAMAccountName"
          ]
        }
      }
    }
  ]
}
```

------

## ds-data: MemberName
<a name="dsdata_condition-MemberName"></a>

Funciona con [Operadores de cadena](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). 

Utilice esta clave para definir a qué miembros se les pueden realizar operaciones.

**importante**  
Al usar `MemberName` o `SAMAccountName`, recomendamos especificarlo `ds-data:Identifier` como `SAMAccountName`. Esto evita que los futuros identificadores compatibles con Directory Service Data, como `SID`, infrinjan los permisos existentes. 

La siguiente política permite a la entidad principal de IAM realizar `AddGroupMember` sobre un miembro `joe` de cualquier grupo.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
        "Sid": "AddJoe",
        "Effect": "Allow",
        "Action": "ds-data:AddGroupMember",
        "Resource": "arn:aws:ds:{{us-east-1}}:{{111122223333}}:directory/{{d-012345678}}",
        "Condition": {
            "StringEqualsIgnoreCase": {
                "ds-data:MemberName": "{{joe}}"
            }
        }
    }
  ]
}
```

------

**nota**  
Esta clave de condición distingue entre mayúsculas y minúsculas. Debe usar operadores de condición `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` o `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` para comparar valores de cadenas, independientemente de las mayúsculas y minúsculas. 

## ds-data: MemberRealm
<a name="dsdata_condition-MemberRealm"></a>

Funciona con [Operadores de cadena](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). 

Utilice esta clave para comprobar si el valor `ds-data:MemberRealm` de la política coincide con el dominio de miembros de la solicitud.

**nota**  
Esta clave de condición distingue entre mayúsculas y minúsculas. Debe usar operadores de condición `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` o `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` para comparar valores de cadenas, independientemente de las mayúsculas y minúsculas. 

La siguiente política permite a la entidad principal de IAM llamar a `AddGroupMember` para un miembro de `bob` en el ámbito `ONE.TRU1.AMAZON.COM`.

**nota**  
En el siguiente ejemplo, se utiliza únicamente la clave de contexto `ds-data:MemberName`. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "addbob",
      "Effect": "Allow",
      "Action": "ds-data:AddGroupMember",
      "Resource": "arn:aws:ds:{{us-east-1}}:{{111122223333}}:directory/{{d-012345678}}",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:MemberName": "{{bob}}",
          "ds-data:MemberRealm": "{{one.tru1.amazon.com}}"
        }
      }
    }
  ]
}
```

------

## ds-data:Realm
<a name="dsdata_condition-Realm"></a>

Funciona con [Operadores de cadena](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).

Utilice esta clave para comprobar si el `ds-data:Realm` valor de la política coincide con el dominio que un principal de IAM puede utilizar para realizar solicitudes a Directory Service Data APIs.

**nota**  
Esta clave de condición distingue entre mayúsculas y minúsculas. Debe usar operadores de condición `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` o `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` para comparar valores de cadenas, independientemente de las mayúsculas y minúsculas. 

La siguiente política impide que la entidad principal de IAM haga llamadas de `ListUsers` en el ámbito de `one.tru1.amazon.com`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyTrustedList",
      "Effect": "Deny",
      "Action": "ds-data:ListUsers",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:Realm": [
            "{{one.tru1.amazon.com}}"
          ]
        }
      }
    }
  ]
}
```

------