本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 管理您的 Cloud Directory 資源存取許可概觀
每項 AWS 資源均由某個 AWS 帳戶所擁有,而建立或存取資源的許可則由許可政策管理。帳戶管理員可以將許可政策連接到 IAM 身分 (即使用者、群組與角色) 以及某些服務 (例如 AWS Lambda),也支援將許可政策連接到資源。
**注意**
*帳戶管理員* (或管理員使用者) 是具有管理員權限的使用者。如需詳細資訊,請參閱 [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (在 *IAM 使用者指南* 中)。
當您授予許可時,能夠決定取得許可的對象、這些對象取得許可的資源,以及可對上述資源進行的特定動作。
**Topics**
+ [Cloud Directory 資源與作業](#iam_auth_access_creatingiampolicies)
+ [了解資源所有權](#iam_auth_access_accesscontrol_resourceowner)
+ [管理資源存取](#iam_auth_access_accesscontrol_managingaccess)
+ [指定政策元素:動作、效果、資源和委託人](#iam_auth_access_specifyingiampolicyactions)
+ [在政策中指定條件](#iam_auth_access_specifyingiampolicyconditions)
## Cloud Directory 資源與作業
在 Cloud Directory 中,主要資源是目錄和模式。這些資源各與唯一的 Amazon Resource Name (ARN) 相關聯,如下表所示。
****
| **資源類型** | **ARN 格式** |
| --- | --- |
| 目錄 | `arn:aws:clouddirectory:{{region}}:{{account-id}}:directory/{{directory-id}}` |
| 結構描述 | arn:aws:clouddirectory:{{region}}:{{account-id}}:schema/{{schema-state}}/{{schema-name}} |
如需結構描述狀態和 ARN 的詳細資訊,請參閱[ARN 範例](https://docs.aws.amazon.com/clouddirectory/latest/APIReference/arns.html)中的*Amazon Cloud Directory API 參考*。
Cloud Directory 提供一組操作,供您使用適當的資源。如需可用操作的清單,請參閱[Amazon Cloud Directory 動作](https://docs.aws.amazon.com/clouddirectory/latest/APIReference/API_Operations.html)或[Directory Service 動作](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_Operations.html)。
## 了解資源所有權
*資源擁有者*即建立資源的 AWS 帳戶。換言之,資源擁有者就是驗證建立資源請求之 *委託人實體*(根帳戶、IAM 使用者或 IAM 角色) 的 AWS 帳戶。下列範例說明其如何運作:
+ 如果您使用 AWS 帳戶的根帳戶登入資料建立 Cloud Directory 資源 (如目錄),您的 AWS 帳戶就是該資源的擁有者。
+ 如果您在自己的 AWS 帳戶中建立 IAM 使用者,並將建立 Cloud Directory 資源的許可授予該使用者,則該使用者也可建立 Cloud Directory 資源。但是您的 AWS 帳戶 (即該使用者所屬帳戶) 為該 資源的擁有者。
+ 如果您在自己的 AWS 帳戶中建立 IAM 角色,並授予該角色建立 Cloud Directory 資源的許可,則任何可擔任該角色的人都能建立 Cloud Directory 資源。您的 AWS 帳戶 (即該角色所屬帳戶) 擁有 Cloud Directory 資源。
## 管理資源存取
*許可政策*描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。
**注意**
本節將著重討論如何在 Cloud Directory 中使用 IAM。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件,請參閱[什麼是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)中的*IAM 使用者指南*。如需 IAM 政策語法和說明的詳細資訊,請參閱[AWS IAM 參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)中的*IAM 使用者指南*。
連接到 IAM 身分的政策稱為*身分類型*政策 (IAM 政策) 和連接到資源的政策稱為*以資源為基礎的*政策。Cloud Directory 僅支援以身分為基礎的政策 (IAM 政策)。
**Topics**
+ [身分類型政策 (IAM 政策)](#iam_auth_access_accesscontrol_managingaccess_identitybased)
+ [資源類型政策](#iam_auth_access_accesscontrol_managingaccess_resourcebased)
### 身分類型政策 (IAM 政策)
您可以將政策連接到 IAM 身分。例如,您可以執行下列操作:
+ **將許可政策連接至您帳戶中的使用者或群組**-帳戶管理員可使用與特定使用者相關聯的許可政策,來授予該使用者建立 Cloud Directory 資源 (例如新目錄) 的許可。
+ **將許可政策連接至角色 (授予跨帳戶許可)**-您可以將以身分為基礎的許可政策連接至 IAM 角色,以授予跨帳戶許可。例如,帳戶 A 中的管理員可以建立角色,將跨帳戶許可授與其他 AWS 帳戶 (例如,帳戶 B) 或下列 AWS 服務:
1. 帳戶 A 管理員建立 IAM 角色,並將許可政策連接到可授與帳戶 A 中資源許可的角色。
1. 帳戶 A 管理員將信任政策連接至該角色,識別帳戶 B 做為可擔任該角的委託人。
1. 帳戶 B 管理員即可將擔任該角色的許可委派給帳戶 B 中的任何使用者。這麼做可讓帳戶 B 的使用者建立或存取帳戶 A 的資源。如果您想要授與 AWS 服務許可以擔任該角色,則信任政策的主體可以是 AWS 服務主體。
如需使用 IAM 委派許可的詳細資訊,請參閱[存取管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)中的*IAM 使用者指南*。
下列許可政策會授予使用者執行開頭為 `Create` 之所有動作的許可。這些動作會顯示 Cloud Directory 資源 (如目錄或綱要) 的相關資訊。請注意,萬用字元 (\*)`Resource`元素表示可對帳戶擁有的所有 Cloud Directory 資源執行動作。
```
1. {
2. "Version":"2017-01-11",
3. "Statement":[
4. {
5. "Effect":"Allow",
6. "Action":"clouddirectory:Create*",
7. "Resource":"*"
8. }
9. ]
10. }
```
如需搭配 Cloud Directory 使用以身分為基礎的政策的詳細資訊,請參閱[在 Cloud Directory 使用以身分為基礎的政策 (IAM 政策)](iam_auth_access_accesscontrol_identitybased.md)。如需使用者、群組、角色和許可的詳細資訊,請參閱[身分 (使用者、群組和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)中的*IAM 使用者指南*。
### 資源類型政策
其他服務 (例如 Amazon S3) 也支援以資源為基礎的許可政策。例如,您可以將政策連接至 S3 儲存貯體,以管理該儲存貯體的存取許可。Cloud Directory 不支援以資源為基礎的政策。
## 指定政策元素:動作、效果、資源和委託人
針對每個 Cloud Directory 資源 (請參閱[Cloud Directory 資源與作業](#iam_auth_access_creatingiampolicies)),該服務會定義一組 API 操作。如需可用的 API 操作清單,請參閱[Amazon Cloud Directory 動作](https://docs.aws.amazon.com/clouddirectory/latest/APIReference/API_Operations.html)或[Directory Service 動作](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_Operations.html)。為了授予這些 API 操作的許可,Cloud Directory 會定義一組您可以在政策中指定的動作。請注意,執行 API 操作可能需要多個動作的許可。
以下是基本的政策元素:
+ **資源** – 在政策中,您可以使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。對於 Cloud Directory 資源,則一律在 IAM 政策中使用萬用字元 (\*)。如需詳細資訊,請參閱 [Cloud Directory 資源與作業](#iam_auth_access_creatingiampolicies)。
+ **動作** - 您使用動作關鍵字識別您要允許或拒絕的資源操作。例如,`clouddirectory:GetDirectory`許可允許使用者執行 Cloud Directory`GetDirectory`operation.
+ **效果**— 您可指定當使用者要求特定動作時會有什麼效果 — 這可以是允許或拒絕。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。
+ **委託人** - 在以身分為基礎的政策 (IAM 政策) 中,政策所連接的使用者就是隱含委託人。對於資源類型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源類型政策)。Cloud Directory 不支援以資源為基礎的政策。
如需進一步了解 IAM 政策語法和說明,請參閱[AWS IAM 參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)中的*IAM 使用者指南*。
如需詳列所有 Amazon Cloud Directory API 動作及適用資源的資料表,請參閱[Amazon Cloud Directory 許可:動作、資源和條件參考](iam_auth_access_usingwith_iam_resourcepermissions.md)。
## 在政策中指定條件
當您授予許可時,可以使用存取原則語言來指定政策應該何時生效的條件。例如,建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊,請參閱[Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中的*IAM 使用者指南*。
欲表示條件,您可以使用預先定義的條件金鑰。Cloud Directory 沒有專屬的條件金鑰。不過,您可以使用適合的全 AWS 條件鍵。如需全 AWS 鍵的完整清單,請參閱[可用的全球條件金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys)中的*IAM 使用者指南*。