Autorizar una AWS aplicación en un Active Directory AWS autorización de aplicaciones con Directory Service Data

Autorización para AWS aplicaciones y servicios que utilizan AWS Directory Service

En este tema se describe la autorización de AWS aplicaciones y servicios que utilizan AWS Directory Service datos de AWS Directory Service

Autorizar una AWS aplicación en un Active Directory

AWS Directory Service concede permisos específicos para que determinadas aplicaciones se integren sin problemas con su Active Directory al autorizar una AWS aplicación. AWS a las aplicaciones solo se les concede el acceso necesario para sus casos de uso específicos. A continuación se detalla el conjunto de permisos internos que se conceden a las aplicaciones y a los administradores de aplicaciones tras la autorización:

nota

El ds:AuthorizationApplication permiso es necesario para autorizar una nueva AWS aplicación para un Active Directory. Los permisos para esta acción solo se deben proporcionar a los administradores que configuran las integraciones con Directory Service.

Acceso de lectura a los datos de usuarios, grupos, unidades organizativas, ordenadores o entidades de certificación de Active Directory en todas las unidades organizativas (OU) de los directorios AWS gestionados de Microsoft AD, Simple AD y AD Connector, así como en los dominios de confianza de Microsoft AD AWS gestionado, si lo permite una relación de confianza.
Escriba el acceso a los datos de usuarios, grupos, miembros de grupos, ordenadores o entidades de certificación en su unidad organizativa de AWS Managed Microsoft AD. Acceso por escrito a todas las unidades organizativas de Simple AD.
Autenticación y administración de sesiones de los usuarios de Active Directory para todos los tipos de directorios.

Algunas aplicaciones AWS gestionadas de Microsoft AD, como Amazon RDS y Amazon, se FSx integran mediante una conexión de red directa a su Active Directory. En este caso, las interacciones de los directorios utilizan protocolos nativos de Active Directory, como LDAP y Kerberos. Los permisos de estas AWS aplicaciones se controlan mediante una cuenta de usuario del directorio creada en la unidad organizativa AWS reservada (OU) durante la autorización de la aplicación, que incluye la administración del DNS y el acceso total a una OU personalizada creada para la aplicación. Para poder utilizar esta cuenta, la aplicación necesita permisos para la acción ds:GetAuthorizedApplicationDetails mediante las credenciales de la persona que llama o un rol de IAM.

Para obtener más información sobre los permisos de la AWS Directory Service API, consulteAWS Directory Service Permisos de API: referencia a acciones, recursos y condiciones.

Para obtener más información sobre cómo habilitar AWS aplicaciones y servicios para Microsoft AD AWS administrado, consulteAcceso a las aplicaciones y los servicios de AWS desde el AWS Managed Microsoft AD. Para obtener más información sobre cómo habilitar AWS aplicaciones y servicios para Simple AD, consulteAcceso a AWS aplicaciones y servicios desde su Simple AD. Para obtener información sobre cómo habilitar AWS aplicaciones y servicios para AD Connector, consulteAcceso a las aplicaciones y los servicios de AWS desde el Conector AD.

Desautorizar una AWS aplicación en un Active Directory

El ds:UnauthorizedApplication permiso es necesario para eliminar los permisos de acceso de una AWS aplicación a Active Directory. Siga el procedimiento que se indica en la aplicación para deshabilitarla.

AWS autorización de aplicaciones con Directory Service Data

Para los directorios AWS gestionados de Microsoft AD, la API Directory Service Data (ds-data) proporciona acceso mediante programación a las tareas de administración de usuarios y grupos. El modelo de autorización de AWS las aplicaciones es independiente de los controles de acceso de Directory Service Data, lo que significa que las políticas de acceso para las acciones de Directory Service Data no afectan a la autorización de AWS las aplicaciones. Denegar el acceso a un directorio en ds-data no interrumpirá la integración de las AWS aplicaciones ni sus casos de uso. AWS

Al escribir políticas de acceso para los directorios AWS administrados de Microsoft AD que autorizan AWS aplicaciones, tenga en cuenta que la funcionalidad de usuario y grupo puede estar disponible llamando a una API de datos de AWS aplicaciones o de Directory Service autorizada. Amazon WorkDocs, Amazon WorkMail, Amazon WorkSpaces QuickSight, Amazon y Amazon Chime proporcionan acciones de administración de usuarios y grupos en sus. APIs Controle el acceso a la funcionalidad de esta AWS aplicación con las políticas de IAM.

Ejemplos

Los siguientes fragmentos muestran las formas correctas e incorrectas de denegar la DeleteUser funcionalidad cuando AWS las aplicaciones, como Amazon y WorkDocs Amazon WorkMail, están autorizadas en el directorio.

Incorrecto


{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ds-data:DeleteUser"
            ],
            "Resource": "*"
        }
    ]
}

Correcto


{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ds-data:DeleteUser",
                "workmail:DeleteUser",
                "workdocs:DeleteUser"
            ],
            "Resource": "*"
        }
    ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Claves de condición de Directory Service Data

Registro y supervisión