Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Autorización para AWS aplicaciones y servicios que utilizan AWS Directory Service
Autorizar una AWS aplicación en un Active Directory
AWS Directory Service concede permisos específicos para que las aplicaciones seleccionadas se integren sin problemas con su Active Directory al autorizar una AWS aplicación. AWS a las aplicaciones solo se les concede el acceso necesario para su caso de uso. A continuación se detalla el conjunto de permisos internos que se conceden a las aplicaciones y a los administradores de aplicaciones tras la autorización:
nota
El ds:AuthorizationApplication permiso es necesario para autorizar una nueva AWS aplicación en Active Directory. Los permisos para esta acción solo se deben proporcionar a los administradores que configuran las integraciones con Directory Service.
Acceso de lectura a los datos de usuarios, grupos, unidades organizativas, ordenadores o entidades de certificación de Active Directory en todas las unidades organizativas (OU) de los directorios AWS gestionados de Microsoft AD, Simple AD y AD Connector, así como en los dominios de confianza de Microsoft AD AWS gestionado, si lo permite una relación de confianza.
Escriba el acceso a los datos de usuarios, grupos, miembros de grupos, ordenadores o entidades de certificación en su unidad organizativa de AWS Managed Microsoft AD. Acceso por escrito a todas las unidades organizativas de Simple AD.
Autenticación y administración de sesiones de los usuarios de Active Directory para todos los tipos de directorios.
Algunas aplicaciones AWS gestionadas de Microsoft AD, como Amazon RDS y Amazon, se FSx integran mediante una conexión de red directa a su Active Directory. En este caso, las interacciones de los directorios utilizan protocolos nativos de Active Directory, como LDAP Kerberos. Los permisos de estas AWS aplicaciones se controlan mediante una cuenta de usuario del directorio creada en la unidad organizativa AWS reservada (OU) durante la autorización de la aplicación, que incluye la DNS administración y el acceso total a una OU personalizada creada para la aplicación. Para poder utilizar esta cuenta, la aplicación necesita permisos para ds:GetAuthorizedApplicationDetails actuar mediante las credenciales de la persona que llama o cualquier IAM función.
Para obtener más información sobre AWS Directory Service API los permisos, consulteAWS Directory Service APIpermisos: referencia de acciones, recursos y condiciones.
Para obtener más información sobre cómo habilitar AWS aplicaciones y servicios para Microsoft AD AWS administrado, consulteHabilite el acceso a AWS aplicaciones y servicios. Para obtener más información sobre cómo habilitar AWS aplicaciones y servicios para AD Connector, consulteHabilite el acceso a AWS aplicaciones y servicios. Para obtener más información sobre cómo habilitar AWS aplicaciones y servicios para Simple AD, consulteHabilite el acceso a AWS aplicaciones y servicios.
Desautorizar una AWS aplicación en un Active Directory
Para eliminar los permisos de acceso de una AWS aplicación a Active Directory, se requiere el ds:UnauthorizedApplication permiso. Siga los pasos que se indican en la aplicación para deshabilitarla.
