Autorisierung für AWS Anwendungen und Dienste mit AWS Directory Service - AWS Directory Service
Autorisieren einer AWS Anwendung in einem Active Directory AWS Anwendungsautorisierung mit Directory Service Data

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Autorisierung für AWS Anwendungen und Dienste mit AWS Directory Service

In diesem Thema wird die Autorisierung von AWS Anwendungen und Diensten beschrieben, die AWS Verzeichnisdienstdaten verwenden AWS Directory Service .

Autorisieren einer AWS Anwendung in einem Active Directory

AWS Directory Service gewährt ausgewählten Anwendungen spezifische Berechtigungen für die nahtlose Integration in Ihr Active Directory, wenn Sie eine AWS Anwendung autorisieren. AWS Anwendungen wird nur der Zugriff gewährt, der für ihre spezifischen Anwendungsfälle erforderlich ist. Im Folgenden finden Sie eine Reihe interner Berechtigungen, die Anwendungen und Anwendungsadministratoren nach der Autorisierung gewährt werden:

Anmerkung

Die ds:AuthorizationApplication Berechtigung ist erforderlich, um eine neue AWS Anwendung für ein Active Directory zu autorisieren. Berechtigungen für diese Aktion sollten nur Administratoren gewährt werden, die Integrationen mit Directory Service konfigurieren.

  • Lesezugriff auf Active Directory-Benutzer-, Gruppen-, Organisationseinheiten-, Computer- oder Zertifizierungsstellendaten in allen Organisationseinheiten (OU) von AWS verwalteten Microsoft AD-, Simple AD- und AD Connector-Verzeichnissen sowie vertrauenswürdigen Domänen für AWS Managed Microsoft AD, sofern eine Vertrauensbeziehung dies zulässt.

  • Schreibzugriff auf Benutzer, Gruppen, Gruppenmitgliedschaften, Computer oder Zertifizierungsstellendaten in Ihrer Organisationseinheit von AWS Managed Microsoft AD. Schreibzugriff auf alle OUs von Simple AD.

  • Authentifizierung und Sitzungsverwaltung von Active-Directory-Benutzern für alle Verzeichnistypen.

Bestimmte AWS verwaltete Microsoft AD-Anwendungen wie Amazon RDS und Amazon FSx lassen sich über eine direkte Netzwerkverbindung in Ihr Active Directory integrieren. In diesem Fall verwenden die Verzeichnisinteraktionen native Active Directory-Protokolle wie LDAP Kerberos. Die Berechtigungen dieser AWS Anwendungen werden durch ein Verzeichnisbenutzerkonto gesteuert, das während der Anwendungsautorisierung in der AWS Reserved Organizational Unit (OU) erstellt wurde. Dies umfasst die DNS Verwaltung und den vollen Zugriff auf eine benutzerdefinierte Organisationseinheit, die für die Anwendung erstellt wurde. Um dieses Konto verwenden zu können, benötigt die Anwendung Zugriffsberechtigungen über Anruferanmeldedaten oder eine IAM Rolle. ds:GetAuthorizedApplicationDetails

Weitere Informationen zu AWS Directory Service API Berechtigungen finden Sie unterAWS Directory Service APIBerechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen.

Weitere Informationen zum Aktivieren von AWS Anwendungen und Diensten für AWS Managed Microsoft AD finden Sie unterZugriff auf AWS Anwendungen und Dienste von Ihrem AWS Managed Microsoft AD. Weitere Informationen zum Aktivieren von AWS Anwendungen und Diensten für Simple AD finden Sie unterZugriff auf AWS Anwendungen und Dienste von Ihrem Simple AD. Informationen zum Aktivieren von AWS Anwendungen und Diensten für AD Connector finden Sie unterZugriff auf AWS Anwendungen und Dienste von AD Connector.

Deautorisierung einer AWS Anwendung in einem Active Directory

Die ds:UnauthorizedApplication Berechtigung ist erforderlich, um einer AWS Anwendung die Berechtigungen für den Zugriff auf ein Active Directory zu entziehen. Folgen Sie dem von der Anwendung bereitgestellten Verfahren, um sie zu deaktivieren.

AWS Anwendungsautorisierung mit Directory Service Data

Für AWS verwaltete Microsoft AD-Verzeichnisse bieten die Directory Service Data (ds-data) programmgesteuerten API Zugriff auf Benutzer- und Gruppenverwaltungsaufgaben. Das Autorisierungsmodell von AWS Anwendungen ist von den Zugriffskontrollen für Verzeichnisdienstdaten getrennt, was bedeutet, dass Zugriffsrichtlinien für Verzeichnisdienstdatenaktionen die Autorisierung von AWS Anwendungen nicht beeinflussen. Die Verweigerung des Zugriffs auf ein Verzeichnis in DS-Data beeinträchtigt weder die AWS Anwendungsintegration noch die Anwendungsfälle von Anwendungen. AWS

Beachten Sie beim Schreiben von Zugriffsrichtlinien für AWS verwaltete Microsoft AD-Verzeichnisse, die AWS Anwendungen autorisieren, dass Benutzer- und Gruppenfunktionen möglicherweise verfügbar sind, wenn Sie entweder eine autorisierte AWS Anwendung oder Directory Service Data API aufrufen. Amazon WorkDocs, Amazon WorkMail WorkSpaces, Amazon und Amazon QuickSight Chime bieten alle Benutzer- und Gruppenverwaltungsaktionen in ihrenAPIs. Steuern Sie den Zugriff auf diese AWS Anwendungsfunktionen mithilfe von IAM Richtlinien.

Beispiele

Die folgenden Auszüge zeigen die falschen und korrekten Methoden, um DeleteUser Funktionen zu verweigern, wenn AWS Anwendungen wie Amazon WorkDocs und Amazon im WorkMail Verzeichnis autorisiert sind.

Falsch 

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ds-data:DeleteUser"
            ],
            "Resource": "*"
        }
    ]
}

Korrekt 

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ds-data:DeleteUser",
                "workmail:DeleteUser",
                "workdocs:DeleteUser"
            ],
            "Resource": "*"
        }
    ]
}