As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Chaves de condição do Directory Service Data
<a name="iam_dsdata-condition-keys"></a>

Use as chaves de condição do [Directory Service Data](https://docs.aws.amazon.com/directoryservicedata/latest/DirectoryServiceDataAPIReference/welcome.html) para adicionar instruções específicas aos usuários e ao acesso em nível de grupo. Isso permite que os usuários decidam quais entidades principais podem executar ações em quais recursos e sob quais condições. 

O *elemento de condição*, ou *bloco de condição*, permite especificar condições em que uma instrução estará em vigor. O elemento Condition é opcional. Você pode criar expressões condicionais que utilizam operadores de condição, como igual a (=) ou menor que (<), para comparar a condição na política com os valores na solicitação. 

Se você especificar múltiplos elementos de condição em uma instrução, ou múltiplas chaves em um único elemento de condição, a AWS os avalia utilizando uma operação lógica AND. Se você especificar vários valores para uma única chave de condição, AWS avalia a condição usando uma operação lógica OR. Todas as condições devem ser atendidas antes que as permissões da instrução sejam concedidas. Você também pode usar variáveis de espaço reservado ao especificar condições. Por exemplo, você pode conceder permissão a um usuário do IAM para acessar um recurso somente se ele estiver marcado com o nome de usuário dele. Para obter mais informações, consulte [Condições com múltiplas chaves ou valores](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html) no *Guia do usuário do IAM*. 

Para obter uma lista de quais ações oferecem suporte a essas chaves de condição, consulte [Actions defined by AWS Directory Service Data](https://docs.aws.amazon.com/service-authorization/latest/reference/list_directoryservice-data.html) na *Referência de Autorização de Serviço*. 

**nota**  
Para obter informações sobre permissões baseadas em tags no nível de recurso, consulte [Utilização de tags com políticas do IAM](IAM_Auth_Access_IdentityBased.md#using_tags_with_iam_policies). 

## ds-data: Nome SAMAccount
<a name="dsdata_condition-SAMAccountName"></a>

Funciona com [operadores de string](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). 

Use essa chave para permitir ou impedir que um perfil do IAM execute ações em usuários e grupos específicos.

**Importante**  
Ao usar `SAMAccountName` ou `MemberName`, recomendamos especificar `ds-data:Identifier` como `SAMAccountName`. Isso evita que identificadores futuros suportados pelo AWS Directory Service Data, como`SID`, quebrem as permissões existentes.

A política a seguir impede que a entidade principal do IAM descreva o usuário `joe` ou o grupo `joegroup`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyDescribe",
      "Effect": "Deny",
      "Action": "ds-data:Describe*",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:SAMAccountName": [
            "{{joe}}",
            "{{joegroup}}"
          ],
          "ds-data:identifier": [
            "SAMAccountName"
          ]
        }
      }
    }
  ]
}
```

------

**nota**  
Essa chave de condição não diferencia maiúsculas de minúsculas. Você deve usar os operadores de condição `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` ou `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` para comparar valores de string, independentemente das letras maiúsculas e minúsculas. 

## ds-data:Identifier
<a name="dsdata_condition-identifier"></a>

Funciona com [operadores de string](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). 

Use essa chave para definir qual identificador usar nas permissões da política do IAM. No momento, só há compatibilidade com `SAMAccountName`.

A política a seguir permite que a entidade principal do IAM atualize o usuário `joe`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "UpdateJoe",
      "Effect": "Allow",
      "Action": "ds-data:UpdateUser",
      "Resource": "arn:aws:ds:{{us-east-1}}:{{111122223333}}:directory/{{d-012345678}}",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:SAMAccountName": [
            "{{joe}}"
          ],
          "ds-data:identifier": [
            "SAMAccountName"
          ]
        }
      }
    }
  ]
}
```

------

## ds-dados: MemberName
<a name="dsdata_condition-MemberName"></a>

Funciona com [operadores de string](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). 

Use essa chave para definir os membros que podem ter operações executadas neles.

**Importante**  
Ao usar `MemberName` ou `SAMAccountName`, recomendamos especificar `ds-data:Identifier` como `SAMAccountName`. Isso evita que identificadores futuros compatíveis com o Directory Service Data, como `SID`, quebrem as permissões existentes. 

A política a seguir permite que a entidade principal do IAM execute `AddGroupMember` no membro `joe` em qualquer grupo.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
        "Sid": "AddJoe",
        "Effect": "Allow",
        "Action": "ds-data:AddGroupMember",
        "Resource": "arn:aws:ds:{{us-east-1}}:{{111122223333}}:directory/{{d-012345678}}",
        "Condition": {
            "StringEqualsIgnoreCase": {
                "ds-data:MemberName": "{{joe}}"
            }
        }
    }
  ]
}
```

------

**nota**  
Essa chave de condição não diferencia maiúsculas de minúsculas. Você deve usar os operadores de condição `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` ou `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` para comparar valores de strings, independentemente das letras maiúsculas e minúsculas. 

## ds-dados: MemberRealm
<a name="dsdata_condition-MemberRealm"></a>

Funciona com [operadores de string](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). 

Use esta chave para verificar se o valor `ds-data:MemberRealm` na política corresponde ao realm do membro na solicitação.

**nota**  
Essa chave de condição não diferencia maiúsculas de minúsculas. Você deve usar os operadores de condição `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` ou `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` para comparar valores de strings, independentemente das letras maiúsculas e minúsculas. 

A política a seguir permite que a entidade principal do IAM chame `AddGroupMember` para o membro `bob` no realm `ONE.TRU1.AMAZON.COM`.

**nota**  
O exemplo a seguir usa somente a chave de contexto `ds-data:MemberName`. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "addbob",
      "Effect": "Allow",
      "Action": "ds-data:AddGroupMember",
      "Resource": "arn:aws:ds:{{us-east-1}}:{{111122223333}}:directory/{{d-012345678}}",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:MemberName": "{{bob}}",
          "ds-data:MemberRealm": "{{one.tru1.amazon.com}}"
        }
      }
    }
  ]
}
```

------

## ds-data:Realm
<a name="dsdata_condition-Realm"></a>

Funciona com [operadores de string](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).

Use essa chave para verificar se o `ds-data:Realm` valor na política corresponde ao realm que um diretor do IAM pode usar para fazer solicitações ao Directory Service Data APIs.

**nota**  
Essa chave de condição não diferencia maiúsculas de minúsculas. Você deve usar os operadores de condição `[StringEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` ou `[StringNotEqualsIgnoreCase](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)` para comparar valores de string, independentemente das letras maiúsculas e minúsculas. 

A política a seguir impede que a entidade principal do IAM chame `ListUsers` no realm `one.tru1.amazon.com`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyTrustedList",
      "Effect": "Deny",
      "Action": "ds-data:ListUsers",
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "ds-data:Realm": [
            "{{one.tru1.amazon.com}}"
          ]
        }
      }
    }
  ]
}
```

------