AWS Directory Service API und erforderliche Berechtigungen für Aktionen AWS Directory Service Data API und erforderliche Berechtigungen für Aktionen Verwandte Themen

AWS Directory Service API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen

Wenn Sie Zugriffskontrolle einrichten und Berechtigungsrichtlinien schreiben, die Sie an eine IAM-Identität anhängen können (identitätsbasierte Richtlinien), können Sie die AWS Directory Service API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen-Tabelle als Referenz verwenden. Jeder API-Eintrag in der Tabelle enthält Folgendes:

Der Name jeder API-Operation
Die entsprechende Aktion oder Aktionen jeder API-Operation, für die Sie Berechtigungen zur Durchführung der Aktion erteilen können
Die AWS Ressource, für die Sie die Berechtigungen erteilen können

Die Aktionen geben Sie im Feld Action und den Wert für die Ressource im Feld Resource der Richtlinie an. Um eine Aktion anzugeben, verwenden Sie das Präfix ds: gefolgt vom Namen der API-Operation (z. B. ds:CreateDirectory). Einige AWS Anwendungen erfordern möglicherweise die Verwendung von nichtöffentlichen AWS Directory Service API-Operationen wieds:AuthorizeApplication,ds:CheckAlias,ds:CreateIdentityPoolDirectory, ds:GetAuthorizedApplicationDetailsds:UpdateAuthorizedApplication, und ds:UnauthorizeApplication in ihren Richtlinien.

Einige AWS Directory Service APIs können nur über den AWS Management Console aufgerufen werden. Sie sind nicht öffentlich APIs, in dem Sinne, dass sie nicht programmgesteuert aufgerufen werden können, und sie werden von keinem SDK bereitgestellt. Sie akzeptieren Benutzeranmeldedaten. Zu diesen API-Operationen gehören ds:DisableRoleAccessds:EnableRoleAccess, undds:UpdateDirectory.

Sie können AWS globale Bedingungsschlüssel in Ihren Richtlinien AWS Directory Service und in den Richtlinien für Verzeichnisdienstdaten verwenden, um Bedingungen auszudrücken. Eine vollständige Liste der AWS Schlüssel finden Sie unter Verfügbare globale Bedingungsschlüssel im IAM-Benutzerhandbuch.

AWS Directory Service API-Operationen	Erforderliche Berechtigungen (API-Aktionen)	Ressourcen
AcceptSharedDirectory	`ds:AcceptSharedDirectory`	*
AddIpRoutes	`ds:AddIpRoutes` `ec2:DescribeSecurityGroup` `ec2:AuthorizeSecurityGroupIngress` `ec2:AuthorizeSecurityGroupEgress`	*
AddTagsToResource	`ds:AddTagsToResource` `ec2:CreateTags`	*
CancelSchemaExtension	`ds:CancelSchemaExtension`	*
ConnectDirectory	`ds:ConnectDirectory` `ec2:DescribeSubnets` `ec2:DescribeVpcs` `ec2:CreateSecurityGroup` `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:AuthorizeSecurityGroupIngress` `ec2:AuthorizeSecurityGroupEgress` `ec2:CreateTags`	*
CreateAlias	`ds:CreateAlias`	*
CreateComputer	`ds:CreateComputer`	*
CreateConditionalForwarder	`ds:CreateConditionalForwarder`	*
CreateDirectory	`ds:CreateDirectory` `ec2:DescribeSubnets` `ec2:DescribeVpcs` `ec2:CreateSecurityGroup` `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:AuthorizeSecurityGroupIngress` `ec2:AuthorizeSecurityGroupEgress` `ec2:CreateTags`	*
CreateLogSubscription	`ds:CreateLogSubscription`	*
CreateMicrosoftAD	`ds:CreateMicrosoftAD` `ec2:DescribeSubnets` `ec2:DescribeVpcs` `ec2:CreateSecurityGroup` `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:AuthorizeSecurityGroupIngress` `ec2:AuthorizeSecurityGroupEgress` `ec2:RevokeSecurityGroupEgress` `ec2:CreateTags`	*
CreateSnapshot	`ds:CreateSnapshot`	*
CreateTrust	`ds:CreateTrust`	*
DeleteConditionalForwarder	`ds:DeleteConditionalForwarder`	*
DeleteDirectory	`ds:DeleteDirectory` `ec2:DescribeNetworkInterfaces` `ec2:DeleteSecurityGroup` `ec2:DeleteNetworkInterface` `ec2:RevokeSecurityGroupIngress` `ec2:RevokeSecurityGroupEgress` `ec2:DeleteTags`	*
DeleteLogSubscription	`ds:DeleteLogSubscription`	*
DeleteSnapshot	`ds:DeleteSnapshot`	*
DeleteTrust	`ds:DeleteTrust`	*
DeregisterEventTopic	`ds:DeregisterEventTopic`	*
DescribeConditionalForwarders	`ds:DescribeConditionalForwarders`	*
DescribeDirectories	`ds:DescribeDirectories`	*
DescribeDomainControllers	`ds:DescribeDomainControllers`	*
DescribeEventTopics	`ds:DescribeEventTopics`	*
DescribeSharedDirectories	`ds:DescribeSharedDirectories`	*
DescribeSnapshots	`ds:DescribeSnapshots`	*
DescribeTrusts	`ds:DescribeTrusts`	*
DisableRadius	`ds:DisableRadius`	*
DisableSso	`ds:DisableSso`	*
EnableRadius	`ds:EnableRadius`	*
EnableSso	`ds:EnableSso`	*
GetDirectoryLimits	`ds:GetDirectoryLimits`	*
GetSnapshotLimits	`ds:GetSnapshotLimits`	*
ListIpRoutes	`ds:ListIpRoutes`	*
ListLogSubscriptions	`ds:ListLogSubscriptions`	*
ListSchemaExtensions	`ds:ListSchemaExtensions`	*
ListTagsForResource	`ds:ListTagsForResource`	*
RegisterEventTopic	`ds:RegisterEventTopic` `sns:GetTopicAttributes`	*
RejectSharedDirectory	`ds:RejectSharedDirectory`	*
RemoveIpRoutes	`ds:RemoveIpRoutes`	*
RemoveTagsFromResource	`ds:RemoveTagsFromResource` `ec2:DeleteTags`	*
ResetUserPassword	`ds:ResetUserPassword`	*
RestoreFromSnapshot	`ds:RestoreFromSnapshot`	*
ShareDirectory	`ds:ShareDirectory` `organizations:DescribeAccount` `organizations:DescribeOrganization` `organizations:ListAWSServiceAccessForOrganization`	*
StartSchemaExtension	`ds:StartSchemaExtension`	*
UnshareDirectory	`ds:UnshareDirectory`	*
UpdateConditionalForwarder	`ds:UpdateConditionalForwarder`	*
UpdateNumberOfDomainControllers	`ds:UpdateNumberOfDomainControllers` `ec2:DescribeSubnets` `ec2:DescribeVpcs` `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:DeleteNetworkInterface`	*
UpdateRadius	`ds:UpdateRadius`	*
UpdateTrust	`ds:UpdateTrust`	*
VerifyTrust	`ds:VerifyTrust`	*

AWS Directory Service Data API und erforderliche Berechtigungen für Aktionen

Anmerkung

Um eine Aktion anzugeben, verwenden Sie das ds-data: Präfix, gefolgt vom Namen der API-Operation (z. B.ds-data:AddGroupMember).

API-Operationen Directory Service Verzeichnisdienstdaten	Erforderliche Berechtigungen (API-Aktionen)	Ressourcen
AddGroupMember	`ds-data:AddGroupMember`	*
CreateGroup	`ds-data:CreateGroup`	*
CreateUser	`ds-data:CreateUser`	*
DeleteGroup	`ds-data:DeleteGroup`	*
DeleteUser	`ds-data:DeleteUser`	*
DescribeGroup	`ds-data:DescribeGroup`	*
DescribeUser	`ds-data:DescribeUser`	*
DisableUser	`ds-data:DisableUser`	*
ListGroupMembers	`ds-data:ListGroupMembers`	*
ListGroupsForMember	`ds-data:ListGroupsForMember`	*
ListUsers	`ds-data:ListUsers`	*
RemoveGroupMember	`ds-data:RemoveGroupMember`	*
SearchGroups	`ds-data:DescribeGroup` `ds-data:SearchGroups`	*
SearchUsers	`ds-data:DescribeUser` `ds-data:SearchUsers`	*
UpdateGroup	`ds-data:UpdateGroup`	*
UpdateUser	`ds-data:UpdateUser`	*