AWS Directory Service APIBerechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen

Wenn Sie Berechtigungsrichtlinien einrichten Zugriffskontrolle und schreiben, die Sie einer IAM Identität zuordnen können (identitätsbasierte Richtlinien), können Sie die AWS Directory Service APIBerechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen Tabelle als Referenz verwenden. Jeder API Eintrag in der Tabelle enthält Folgendes:

Name der AWS Directory Service API Operation
Die entsprechenden Aktionen, für die Sie Berechtigungen zum Ausführen der Aktion erteilen können
Die AWS Ressource, für die Sie die Berechtigungen erteilen können

Die Aktionen geben Sie im Feld Action und den Wert für die Ressource im Feld Resource der Richtlinie an. Um eine Aktion anzugeben, verwenden Sie das ds: Präfix gefolgt vom Namen des API Vorgangs (z. B.ds:CreateDirectory). Einige AWS Anwendungen erfordern möglicherweise in ihren Richtlinien die Verwendung nicht öffentlicher AWS Directory Service API Operationen wie ds:AuthorizeApplication ds:CheckAlias ds:CreateIdentityPoolDirectoryds:GetAuthorizedApplicationDetails,ds:UpdateAuthorizedApplication,,, undds:UnauthorizeApplication.

Manche AWS Directory Service APIs können nur über den AWS Management Console aufgerufen werden. Sie sind nicht öffentlichAPIs, in dem Sinne, dass sie nicht programmgesteuert aufgerufen werden können, und sie werden von niemandem bereitgestellt. SDK Sie akzeptieren Benutzeranmeldedaten. Zu diesen API Operationen gehören ds:DisableRoleAccessds:EnableRoleAccess, undds:UpdateDirectory.

Sie können in Ihren AWS Directory Service Richtlinien AWS globale Bedingungsschlüssel verwenden, um Bedingungen auszudrücken. Eine vollständige Liste der AWS Schlüssel finden Sie im IAMBenutzerhandbuch unter Verfügbare globale Bedingungsschlüssel.

AWS Directory Service APIund die erforderlichen Berechtigungen für Aktionen
AWS Directory Service APIOperationen	Erforderliche Berechtigungen (APIAktionen)	Ressourcen
AcceptSharedDirectory	`ds:AcceptSharedDirectory`	*
AddIpRoutes	`ds:AddIpRoutes` `ec2:DescribeSecurityGroup` `ec2:DescribeVpcs` `ec2:AuthorizeSecurityGroupIngress` `ec2:AuthorizeSecurityGroupEgress`	*
AddRegion	`ec2:AuthorizeSecurityGroupEgress` `ec2:AuthorizeSecurityGroupIngress` `ec2:CreateNetworkInterface` `ec2:CreateSecurityGroup` `ec2:CreateTags` `ec2:DescribeNetworkInterfaces` `ec2:DescribeSubnets` `ec2:DescribeVpcs`	*
AddTagsToResource	`ds:AddTagsToResource` `ec2:CreateTags`	*
CancelSchemaExtension	`ds:CancelSchemaExtension`	*
ConnectDirectory	`ds:ConnectDirectory` `ec2:DescribeSubnets` `ec2:DescribeVpcs` `ec2:CreateSecurityGroup` `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:AuthorizeSecurityGroupIngress` `ec2:AuthorizeSecurityGroupEgress` `ec2:CreateTags`	*
CreateAlias	`ds:CreateAlias`	*
CreateComputer	`ds:CreateComputer`	*
CreateConditionalForwarder	`ds:CreateConditionalForwarder`	*
CreateDirectory	`ds:CreateDirectory` `ec2:DescribeSubnets` `ec2:DescribeVpcs` `ec2:CreateSecurityGroup` `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:AuthorizeSecurityGroupIngress` `ec2:AuthorizeSecurityGroupEgress` `ec2:CreateTags`	*
CreateLogSubscription	`ds:CreateLogSubscription`	*
CreateMicrosoftAD	`ds:CreateMicrosoftAD` `ec2:DescribeSubnets` `ec2:DescribeVpcs` `ec2:CreateSecurityGroup` `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:AuthorizeSecurityGroupIngress` `ec2:AuthorizeSecurityGroupEgress` `ec2:RevokeSecurityGroupEgress` `ec2:CreateTags`	*
CreateSnapshot	`ds:CreateSnapshot`	*
CreateTrust	`ds:CreateTrust`	*
DeleteConditionalForwarder	`ds:DeleteConditionalForwarder`	*
DeleteDirectory	`ds:DeleteDirectory` `ec2:DescribeNetworkInterfaces` `ec2:DeleteSecurityGroup` `ec2:DeleteNetworkInterface` `ec2:RevokeSecurityGroupIngress` `ec2:RevokeSecurityGroupEgress` `ec2:DeleteTags`	*
DeleteLogSubscription	`ds:DeleteLogSubscription`	*
DeleteSnapshot	`ds:DeleteSnapshot`	*
DeleteTrust	`ds:DeleteTrust`	*
DeregisterEventTopic	`ds:DeregisterEventTopic`	*
DescribeConditionalForwarders	`ds:DescribeConditionalForwarders`	*
DescribeDirectories	`ds:DescribeDirectories`	*
DescribeDomainControllers	`ds:DescribeDomainControllers`	*
DescribeEventTopics	`ds:DescribeEventTopics`	*
DescribeRegions	`ds:DescribeRegions`	*
DescribeSharedDirectories	`ds:DescribeSharedDirectories`	*
DescribeSnapshots	`ds:DescribeSnapshots`	*
DescribeTrusts	`ds:DescribeTrusts`	*
DisableRadius	`ds:DisableRadius`	*
DisableSso	`ds:DisableSso`	*
EnableRadius	`ds:EnableRadius`	*
EnableSso	`ds:EnableSso`	*
GetDirectoryLimits	`ds:GetDirectoryLimits`	*
GetSnapshotLimits	`ds:GetSnapshotLimits`	*
ListIpRoutes	`ds:ListIpRoutes`	*
ListLogSubscriptions	`ds:ListLogSubscriptions`	*
ListSchemaExtensions	`ds:ListSchemaExtensions`	*
ListTagsForResource	`ds:ListTagsForResource`	*
RegisterEventTopic	`ds:RegisterEventTopic` `sns:GetTopicAttributes`	*
RejectSharedDirectory	`ds:RejectSharedDirectory`	*
RemoveIpRoutes	`ds:RemoveIpRoutes`	*
RemoveRegion	`ds:RemoveRegion` `ec2:DescribeNetworkInterfaces` `ec2:DeleteSecurityGroup` `ec2:DeleteNetworkInterface` `ec2:RevokeSecurityGroupIngress` `ec2:RevokeSecurityGroupEgress` `ec2:DeleteTags`	*
RemoveTagsFromResource	`ds:RemoveTagsFromResource` `ec2:DeleteTags`	*
ResetUserPassword	`ds:ResetUserPassword`	*
RestoreFromSnapshot	`ds:RestoreFromSnapshot`	*
ShareDirectory	`ds:ShareDirectory` `organizations:DescribeAccount` `organizations:DescribeOrganization` `organizations:ListAWSServiceAccessForOrganization`	*
StartSchemaExtension	`ds:StartSchemaExtension`	*
UnshareDirectory	`ds:UnshareDirectory`	*
UpdateConditionalForwarder	`ds:UpdateConditionalForwarder`	*
UpdateNumberOfDomainControllers	`ds:UpdateNumberOfDomainControllers` `ec2:DescribeSubnets` `ec2:DescribeVpcs` `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:DeleteNetworkInterface`	*
UpdateRadius	`ds:UpdateRadius`	*
UpdateTrust	`ds:UpdateTrust`	*
VerifyTrust	`ds:VerifyTrust`	*

AWS Directory Service APIBerechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen

Verwandte Themen