Внедрение RBAC с использованием сервиса Amazon Cloud Directory

Я пытался внедрить систему RBAC, которая отвечает на следующие вопросы:

1) Имеет ли этот "пользователь" "роль", содержащую "разрешения" для выполнения определенной "задачи" в определенной "области" или "группе людей"?

2) Каковы все "разрешения" и "роли", связанные с конкретным "пользователем" и что такое "область действия"?

Допустим, у пользователя есть роль менеджера, тогда разрешение может утверждать выходной, а область действия - это прямые отчеты пользователя.

Способен ли AWS Amazon Cloud Directory хранить данные и иметь политики, и достаточно ли его API для такого случая использования?