Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Clés de condition des données du Directory Service Utilisez les clés de condition [des données du Directory Service](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/welcome.html) pour ajouter des instructions spécifiques aux utilisateurs et à l'accès au niveau du groupe. Cela permet aux utilisateurs de décider quels principaux peuvent effectuer des actions sur quelles ressources et dans quelles conditions. L'*élément Condition*, ou *bloc Condition*, vous permet de spécifier les conditions dans lesquelles une instruction est en vigueur. L’élément Condition est facultatif. Vous pouvez créer des expressions conditionnelles qui utilisent des opérateurs de condition, tels que égal (=) ou inférieur à (<), pour faire correspondre la condition de la politique aux valeurs de la demande. Si vous spécifiez plusieurs éléments de condition dans une instruction ou plusieurs clés dans un seul élément de condition, vous les AWS évaluez à l'aide d'une opération logique ET. Si vous spécifiez plusieurs valeurs pour une seule clé de condition, AWS évalue la condition à l'aide d'une opération OR logique. Toutes les conditions doivent être remplies avant que les autorisations associées à l’instruction ne soient accordées. Vous pouvez aussi utiliser des variables d’espace réservé quand vous spécifiez des conditions. Par exemple, vous pouvez autoriser un utilisateur IAM à accéder à une ressource uniquement si celle-ci est associée à son nom d'utilisateur. Pour plus d'informations, consultez la section [Condition comportant plusieurs clés ou valeurs](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html) dans le *guide de l'utilisateur IAM*. Pour obtenir la liste des actions prenant en charge ces clés de condition, consultez la section [Actions définies par les données du AWS Directory Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_directoryservice-data.html) dans le *Service Authorization Reference*. **Note** Pour plus d'informations sur les autorisations au niveau des ressources basées sur des balises, consultez. [Utilisation des balises avec des politiques IAM](IAM_Auth_Access_IdentityBased.md#using_tags_with_iam_policies) ## ds-data : Nom SAMAccount Fonctionne avec [les opérateurs de chaînes](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). Utilisez cette clé pour autoriser ou interdire explicitement à un rôle IAM d'effectuer des actions sur des utilisateurs et des groupes spécifiques. **Important** Lorsque vous utilisez `SAMAccountName` ou`MemberName`, nous vous recommandons de spécifier `ds-data:Identifier` comme`SAMAccountName`. Cela empêche les futurs identifiants pris en charge par AWS Directory Service Data`SID`, tels que ceux qui enfreignent les autorisations existantes. La politique suivante interdit au principal IAM de décrire l'utilisateur `joe` ou le groupe`joegroup`. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "DenyDescribe", "Effect": "Deny", "Action": "ds-data:Describe*", "Resource": "*", "Condition": { "StringEqualsIgnoreCase": { "ds-data:SAMAccountName": [ "{{joe}}", "{{joegroup}}" ], "ds-data:identifier": [ "SAMAccountName" ] } } } ] } ``` ------ **Note** Cette clé de condition ne tient pas compte des majuscules et minuscules. Vous devez utiliser `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` ou `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` conditionner des opérateurs pour comparer les valeurs des chaînes, quelles que soient les majuscules. ## DS-Data : identifiant Fonctionne avec [les opérateurs de chaînes](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). Utilisez cette clé pour définir l'identifiant à utiliser dans les autorisations de politique IAM. Actuellement, seul `SAMAccountName` est pris en charge. La politique suivante permet au principal IAM de mettre à jour l'utilisateur`joe`. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "UpdateJoe", "Effect": "Allow", "Action": "ds-data:UpdateUser", "Resource": "arn:aws:ds:{{us-east-1}}:{{111122223333}}:directory/{{d-012345678}}", "Condition": { "StringEqualsIgnoreCase": { "ds-data:SAMAccountName": [ "{{joe}}" ], "ds-data:identifier": [ "SAMAccountName" ] } } } ] } ``` ------ ## données DS : MemberName Fonctionne avec [les opérateurs de chaînes](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). Utilisez cette touche pour définir les membres sur lesquels des opérations peuvent être effectuées. **Important** Lorsque vous utilisez `MemberName` ou`SAMAccountName`, nous vous recommandons de spécifier `ds-data:Identifier` comme`SAMAccountName`. Cela empêche les futurs identifiants pris en charge par Directory Service Data`SID`, tels que ceux qui enfreignent les autorisations existantes. La politique suivante autorise le directeur IAM à agir à l'égard des membres `AddGroupMember` `joe` de n'importe quel groupe. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AddJoe", "Effect": "Allow", "Action": "ds-data:AddGroupMember", "Resource": "arn:aws:ds:{{us-east-1}}:{{111122223333}}:directory/{{d-012345678}}", "Condition": { "StringEqualsIgnoreCase": { "ds-data:MemberName": "{{joe}}" } } } ] } ``` ------ **Note** Cette clé de condition ne distingue pas les majuscules et minuscules. Vous devez utiliser `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` ou `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` conditionner des opérateurs pour comparer les valeurs des chaînes, quelles que soient les majuscules. ## données DS : MemberRealm Fonctionne avec [les opérateurs de chaînes](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). Utilisez cette clé pour vérifier si la `ds-data:MemberRealm` valeur de la politique correspond au domaine membre indiqué dans la demande. **Note** Cette clé de condition ne distingue pas les majuscules et minuscules. Vous devez utiliser `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` ou `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` conditionner des opérateurs pour comparer les valeurs des chaînes, quelles que soient les majuscules. La politique suivante permet au principal IAM d'appeler un `AddGroupMember` membre `bob` dans le domaine`ONE.TRU1.AMAZON.COM`. **Note** L'exemple suivant utilise uniquement la clé de `ds-data:MemberName` contexte. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "addbob", "Effect": "Allow", "Action": "ds-data:AddGroupMember", "Resource": "arn:aws:ds:{{us-east-1}}:{{111122223333}}:directory/{{d-012345678}}", "Condition": { "StringEqualsIgnoreCase": { "ds-data:MemberName": "{{bob}}", "ds-data:MemberRealm": "{{one.tru1.amazon.com}}" } } } ] } ``` ------ ## DS-Data : Realm Fonctionne avec [les opérateurs de chaînes](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). Utilisez cette clé pour vérifier si la `ds-data:Realm` valeur de la politique correspond au domaine qu'un principal IAM peut utiliser pour envoyer des demandes à Directory Service Data APIs. **Note** Cette clé de condition ne distingue pas les majuscules et minuscules. Vous devez utiliser `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` ou `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` conditionner des opérateurs pour comparer les valeurs des chaînes, quelles que soient les majuscules. La politique suivante interdit au principal IAM d'appeler `ListUsers` le domaine`one.tru1.amazon.com`. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "DenyTrustedList", "Effect": "Deny", "Action": "ds-data:ListUsers", "Resource": "*", "Condition": { "StringEqualsIgnoreCase": { "ds-data:Realm": [ "{{one.tru1.amazon.com}}" ] } } } ] } ``` ------