Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Kunci kondisi Directory Service Data
<a name="iam_dsdata-condition-keys"></a>

Gunakan kunci kondisi [Directory Service Data](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/welcome.html) untuk menambahkan pernyataan spesifik ke pengguna dan akses tingkat grup. Ini memungkinkan pengguna untuk memutuskan prinsip mana yang dapat melakukan tindakan pada sumber daya apa dan dalam kondisi apa. 

*Elemen Kondisi*, atau *blok Kondisi*, memungkinkan Anda menentukan kondisi di mana pernyataan berlaku. Elemen Syarat bersifat opsional. Anda dapat membuat ekspresi bersyarat yang menggunakan operator kondisi, seperti sama dengan (=) atau kurang dari (<), untuk mencocokkan kondisi dalam kebijakan dengan nilai dalam permintaan. 

Jika Anda menentukan beberapa elemen Kondisi dalam pernyataan, atau beberapa kunci dalam satu elemen Kondisi, AWS evaluasi mereka dengan menggunakan operasi AND logis. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi dengan menggunakan operasi OR logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan. Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Misalnya, Anda dapat memberikan izin kepada pengguna IAM untuk mengakses sumber daya hanya jika diberi tag dengan nama pengguna mereka. Untuk selengkapnya, lihat [Kondisi dengan beberapa kunci atau nilai](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html) dalam *Panduan Pengguna IAM*. 

Untuk daftar tindakan yang mendukung kunci kondisi ini, lihat [Tindakan yang ditentukan oleh AWS Directory Service Data](https://docs.aws.amazon.com/service-authorization/latest/reference/list_directoryservice-data.html) dalam *Referensi Otorisasi Layanan*. 

**catatan**  
Untuk informasi tentang izin tingkat sumber daya berbasis tag, lihat. [Menggunakan tanda dengan kebijakan IAM](IAM_Auth_Access_IdentityBased.md#using_tags_with_iam_policies) 

## ds-data: Nama SAMAccount
<a name="dsdata_condition-SAMAccountName"></a>

Bekerja dengan [operator String](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). 

Gunakan kunci ini untuk secara eksplisit mengizinkan atau menolak peran IAM agar tidak melakukan tindakan pada pengguna dan grup tertentu.

**penting**  
Saat menggunakan `SAMAccountName` atau`MemberName`, kami sarankan untuk menentukan `ds-data:Identifier` sebagai`SAMAccountName`. Hal ini mencegah pengenal future yang didukung AWS Directory Service Data, seperti`SID`, dari melanggar izin yang ada.

Kebijakan berikut menyangkal prinsipal IAM untuk mendeskripsikan pengguna `joe` atau mendeskripsikan grup. `joegroup`

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyDescribe",
      "Effect": "Deny",
      "Action": "ds-data:Describe*",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:SAMAccountName": [
            "{{joe}}",
            "{{joegroup}}"
          ],
          "ds-data:identifier": [
            "SAMAccountName"
          ]
        }
      }
    }
  ]
}
```

------

**catatan**  
Kunci kondisi ini tidak peka huruf besar/kecil. Anda harus menggunakan `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` atau `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` mengkondisikan operator untuk membandingkan nilai string terlepas dari kasus huruf. 

## DS-data:Pengidentifikasi
<a name="dsdata_condition-identifier"></a>

Bekerja dengan [operator String](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). 

Gunakan kunci ini untuk menentukan pengenal mana yang akan digunakan dalam izin kebijakan IAM. Saat ini, hanya `SAMAccountName` didukung.

Kebijakan berikut memungkinkan prinsipal IAM untuk memperbarui pengguna`joe`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "UpdateJoe",
      "Effect": "Allow",
      "Action": "ds-data:UpdateUser",
      "Resource": "arn:aws:ds:{{us-east-1}}:{{111122223333}}:directory/{{d-012345678}}",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:SAMAccountName": [
            "{{joe}}"
          ],
          "ds-data:identifier": [
            "SAMAccountName"
          ]
        }
      }
    }
  ]
}
```

------

## ds-data: MemberName
<a name="dsdata_condition-MemberName"></a>

Bekerja dengan [operator String](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). 

Gunakan kunci ini untuk menentukan anggota yang dapat melakukan operasi pada mereka.

**penting**  
Saat menggunakan `MemberName` atau`SAMAccountName`, kami sarankan untuk menentukan `ds-data:Identifier` sebagai`SAMAccountName`. Hal ini mencegah pengenal future yang didukung Directory Service Data, seperti`SID`, dari melanggar izin yang ada. 

Kebijakan berikut memungkinkan kepala IAM untuk tampil `AddGroupMember` pada anggota `joe` dalam kelompok mana pun.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
        "Sid": "AddJoe",
        "Effect": "Allow",
        "Action": "ds-data:AddGroupMember",
        "Resource": "arn:aws:ds:{{us-east-1}}:{{111122223333}}:directory/{{d-012345678}}",
        "Condition": {
            "StringEqualsIgnoreCase": {
                "ds-data:MemberName": "{{joe}}"
            }
        }
    }
  ]
}
```

------

**catatan**  
Kunci kondisi ini tidak peka huruf besar/kecil. Anda harus menggunakan `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` atau `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` mengkondisikan operator untuk membandingkan nilai string, terlepas dari kasus huruf. 

## ds-data: MemberRealm
<a name="dsdata_condition-MemberRealm"></a>

Bekerja dengan [operator String](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). 

Gunakan kunci ini untuk memeriksa apakah `ds-data:MemberRealm` nilai dalam kebijakan cocok dengan ranah anggota dalam permintaan.

**catatan**  
Kunci kondisi ini tidak peka huruf besar/kecil. Anda harus menggunakan `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` atau `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` mengkondisikan operator untuk membandingkan nilai string, terlepas dari kasus huruf. 

Kebijakan berikut memungkinkan kepala IAM `AddGroupMember` untuk memanggil anggota `bob` di ranah`ONE.TRU1.AMAZON.COM`.

**catatan**  
Contoh berikut hanya menggunakan kunci `ds-data:MemberName` konteks. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "addbob",
      "Effect": "Allow",
      "Action": "ds-data:AddGroupMember",
      "Resource": "arn:aws:ds:{{us-east-1}}:{{111122223333}}:directory/{{d-012345678}}",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:MemberName": "{{bob}}",
          "ds-data:MemberRealm": "{{one.tru1.amazon.com}}"
        }
      }
    }
  ]
}
```

------

## DS-Data: Realm
<a name="dsdata_condition-Realm"></a>

Bekerja dengan [operator String](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).

Gunakan kunci ini untuk memeriksa apakah `ds-data:Realm` nilai dalam kebijakan cocok dengan ranah yang dapat digunakan oleh prinsipal IAM untuk membuat permintaan ke Directory Service Data APIs.

**catatan**  
Kunci kondisi ini tidak peka huruf besar/kecil. Anda harus menggunakan `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` atau `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` mengkondisikan operator untuk membandingkan nilai string terlepas dari kasus huruf. 

Kebijakan berikut menyangkal kepala IAM dari menyerukan `ListUsers` ranah. `one.tru1.amazon.com`

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyTrustedList",
      "Effect": "Deny",
      "Action": "ds-data:ListUsers",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:Realm": [
            "{{one.tru1.amazon.com}}"
          ]
        }
      }
    }
  ]
}
```

------