Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acciones, recursos y claves de condición para AWS Directory Service
AWS Directory Service (prefijo de servicio:ds) proporciona los siguientes recursos, acciones y claves de contexto de condiciones específicos del servicio para su uso en las políticas de permisos de IAM.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las operaciones de API disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos del AM.
Temas
Acciones definidas por AWS Directory Service
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| AcceptSharedDirectory | Concede permiso para aceptar una solicitud de directorio compartido enviada desde la cuenta del propietario del directorio | Write | |||
| AddIpRoutes | Concede permiso para agregar un bloque de direcciones de CIDR para dirigir correctamente el tráfico hacia y desde su Microsoft AD en Amazon Web Services | Escritura |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:DescribeSecurityGroups |
||
| AddRegion | Concede permiso para agregar dos controladores de dominio en la región establecida para el directorio especificado | Escritura |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| AddTagsToResource | Concede permiso para agregar o sobrescribir una o varias etiquetas para el directorio especificado de Amazon Directory Services | Etiquetado |
ec2:CreateTags |
||
| AuthorizeApplication [solo permiso] | Otorga permiso para autorizar una aplicación para su directorio AWS | Escritura | |||
| CancelSchemaExtension | Concede permiso para cancelar una extensión de esquema en curso a un directorio de Microsoft AD | Escritura | |||
| CheckAlias [solo permiso] | Concede permiso para verificar que el alias esté disponible para su uso | Leer | |||
| ConnectDirectory | Concede permiso para crear un AD Connector para conectarse a un directorio en las instalaciones | Escritura |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateAlias | Concede permiso para crear un alias para un directorio y asigna el alias al directorio | Escritura | |||
| CreateComputer | Concede permiso para crear una cuenta de computadora en el directorio especificado y une la computadora al directorio | Escritura | |||
| CreateConditionalForwarder | Otorga permiso para crear un reenviador condicional asociado a su directorio AWS | Escritura | |||
| CreateDirectory | Concede permiso para crear un directorio Simple AD | Escritura |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateIdentityPoolDirectory [solo permiso] | Otorga permiso para crear un IdentityPool directorio en la nube AWS | Escritura | |||
| CreateLogSubscription | Otorga permiso para crear una suscripción para reenviar los registros de seguridad del controlador de dominio de Directory Service en tiempo real al grupo de CloudWatch registros especificado en su Cuenta de AWS | Escritura | |||
| CreateMicrosoftAD | Otorga permiso para crear un Microsoft AD en la AWS nube | Escritura |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateSnapshot | Otorga permiso para crear una instantánea de un directorio de Simple AD o Microsoft AD en la AWS nube | Escritura | |||
| CreateTrust | Otorga permiso para iniciar la creación de la AWS parte de una relación de confianza entre un Microsoft AD en la AWS nube y un dominio externo | Escritura | |||
| DeleteConditionalForwarder | Otorga permiso para eliminar un reenviador condicional que se haya configurado para su directorio AWS | Escritura | |||
| DeleteDirectory | Concede permiso para eliminar un AWS directorio de Directory Service | Escritura |
ec2:DeleteNetworkInterface ec2:DeleteSecurityGroup ec2:DescribeNetworkInterfaces ec2:RevokeSecurityGroupEgress ec2:RevokeSecurityGroupIngress |
||
| DeleteLogSubscription | Concede permiso para eliminar el registro de la suscripción especificado | Escritura | |||
| DeleteSnapshot | Concede permiso para eliminar una instantánea de directorio | Escritura | |||
| DeleteTrust | Otorga permiso para eliminar una relación de confianza existente entre su Microsoft AD en la AWS nube y un dominio externo | Escritura | |||
| DeregisterCertificate | Concede permiso para eliminar del sistema el certificado que fue registrado para una conexión LDAP segura | Escritura | |||
| DeregisterEventTopic | Concede permiso para quitar el directorio especificado como publicador en el tema de SNS especificado | Escritura | |||
| DescribeCertificate | Concede permiso para mostrar información sobre el certificado registrado para una conexión LDAP segura | Leer | |||
| DescribeClientAuthenticationSettings | Concede permiso para recuperar información sobre el tipo de autenticación de cliente para el directorio especificado, si se especifica el tipo. Si no se especifica ningún tipo, se recupera información sobre todos los tipos de autenticación de clientes que se admiten para el directorio especificado. Actualmente, solo SmartCard es compatible | Leer | |||
| DescribeConditionalForwarders | Concede permiso para obtener información acerca de los reenviadores condicionales para esta cuenta | Leer | |||
| DescribeDirectories | Concede permiso para obtener información acerca de los directorios que pertenecen a esta cuenta | Enumeración | |||
| DescribeDomainControllers | Concede permiso para proporcionar información acerca de los controladores de dominio de su directorio | Leer | |||
| DescribeEventTopics | Concede permiso para obtener información acerca de qué temas de SNS reciben mensajes de estado desde el directorio especificado | Leer | |||
| DescribeLDAPSSettings | Concede permiso para escribir el estado de la seguridad de LDAP para el directorio especificado | Leer | |||
| DescribeRegions | Concede permiso para proporcionar información acerca de las regiones configuradas para la replicación de varias regiones | Leer | |||
| DescribeSettings | Concede permiso para recuperar información sobre los ajustes configurables para el directorio especificado. | Leer | |||
| DescribeSharedDirectories | Concede permiso para devolver los directorios compartidos de su cuenta | Leer | |||
| DescribeSnapshots | Concede permiso para obtener información acerca de las instantáneas de directorios que pertenecen a esta cuenta | Leer | |||
| DescribeTrusts | Concede permiso para obtener información acerca de las relaciones de confianza de esta cuenta | Leer | |||
| DescribeUpdateDirectory | Concede permiso para describir las actualizaciones de un directorio correspondientes a un determinado tipo de actualización | Leer | |||
| DisableClientAuthentication | Concede permiso para desactivar los métodos alternativos de autenticación de clientes para el directorio especificado | Escritura | |||
| DisableLDAPS | Concede permiso para desactivar las llamadas seguras LDAP para el directorio especificado | Escritura | |||
| DisableRadius | Concede permiso para desactivar la autenticación multifactor (MFA) con el servidor Remote Authentication Dial In User Service (RADIUS) para un directorio de AD Connector | Escritura | |||
| DisableRoleAccess [solo permiso] | Otorga permiso para deshabilitar el AWS Management Console acceso a la identidad en su AWS directorio | Escritura | |||
| DisableSso | Concede permiso para desactivar un ingreso de única vez para un directorio | Escritura | |||
| EnableClientAuthentication | Concede permiso para habilitar métodos alternativos de autenticación de clientes para el directorio especificado | Escritura | |||
| EnableLDAPS | Concede permiso para activar el control para que el directorio específico utilice llamadas seguras LDAP | Escritura | |||
| EnableRadius | Concede permiso para habilitar la autenticación multifactor (MFA) con el servidor Remote Authentication Dial In User Service (RADIUS) para un directorio de AD Connector | Escritura | |||
| EnableRoleAccess [solo permiso] | Otorga permiso para permitir el AWS Management Console acceso a la identidad en su AWS Directorio | Escritura |
iam:PassRole |
||
| EnableSso | Concede permiso para habilitar el inicio de sesión único para un directorio | Escritura | |||
| GetAuthorizedApplicationDetails [solo permiso] | Concede permiso para recuperar los detalles de las aplicaciones autorizadas de un directorio | Leer | |||
| GetDirectoryLimits | Concede permiso para obtener información acerca del límite de directorios para la región actual | Leer | |||
| GetSnapshotLimits | Concede permiso para obtener los límites de la instantánea manual para un directorio | Leer | |||
| ListAuthorizedApplications [solo permiso] | Otorga permiso para obtener las AWS aplicaciones autorizadas para un directorio | Leer | |||
| ListCertificates | Concede permiso para enumerar todos los certificados registrados para una conexión LDAP segura, para el directorio especificado | Enumeración | |||
| ListIpRoutes | Concede permiso para enumerar los bloques de direcciones que ha agregado a un directorio | Leer | |||
| ListLogSubscriptions | Otorga permiso para enumerar las suscripciones de registro activas para Cuenta de AWS | Leer | |||
| ListSchemaExtensions | Concede permiso para enumerar todas las extensiones de esquema que se aplican a un directorio de Microsoft AD | Enumeración | |||
| ListTagsForResource | Concede permiso para enumerar todas las etiquetas de un directorio de Amazon Directory Services | Leer | |||
| RegisterCertificate | Concede permiso para registrar un certificado para una conexión LDAP segura | Escritura | |||
| RegisterEventTopic | Concede permiso para asociar un directorio a un tema de SNS | Escritura |
sns:GetTopicAttributes |
||
| RejectSharedDirectory | Concede permiso para reflejar una solicitud de directorio compartido que se envió desde la cuenta del propietario del directorio | Escritura | |||
| RemoveIpRoutes | Concede permiso para eliminar bloques de direcciones IP de un directorio | Escritura | |||
| RemoveRegion | Concede permiso para detener toda la replicación y elimina los controladores de dominio de la región especificada. No puede eliminar la región principal con esta operación | Escritura | |||
| RemoveTagsFromResource | Concede permiso para eliminar las etiquetas de un directorio de Amazon Directory Services | Etiquetado |
ec2:DeleteTags |
||
| ResetUserPassword | Otorga permiso para restablecer la contraseña de cualquier usuario del directorio Microsoft AD AWS administrado o Simple AD | Escritura | |||
| RestoreFromSnapshot | Concede permiso para restaurar un directorio usando una instantánea de directorio existente | Escritura | |||
| ShareDirectory | Otorga permiso para compartir un directorio específico de su Cuenta de AWS (propietario del directorio) con otro Cuenta de AWS (consumidor del directorio). Con esta operación, puede utilizar su directorio desde cualquier Cuenta de AWS Amazon VPC dentro de un Región de AWS | Escritura | |||
| StartSchemaExtension | Concede permiso para aplicar una extensión de esquema a un directorio de Microsoft AD | Escritura | |||
| UnauthorizeApplication [solo permiso] | Otorga permiso para desautorizar una aplicación de su directorio AWS | Escritura | |||
| UnshareDirectory | Concede permiso para detener el uso compartido de directorios entre el propietario del directorio y las cuentas del consumidor | Escritura | |||
| UpdateAuthorizedApplication [solo permiso] | Otorga permiso para actualizar una aplicación autorizada para su Directorio AWS | Escritura | |||
| UpdateConditionalForwarder | Otorga permiso para actualizar un reenviador condicional que se haya configurado para su directorio AWS | Escritura | |||
| UpdateDirectory [solo permiso] | Concede permiso para actualizar las configuraciones, tales como credenciales de la cuenta de servicio o direcciones IP del servidor DNS, para el directorio especificado | Escritura | |||
| UpdateDirectorySetup | Concede permiso para actualizar el directorio con un determinado tipo de actualización | Escritura | |||
| UpdateNumberOfDomainControllers | Concede permiso para agregar o quitar controladores de dominio en el directorio o hacia el directorio. En función de la diferencia entre el valor actual y el valor nuevo (proporcionada a través de esta llamada a la API), los controladores de dominio se agregarán o eliminarán. Esta operación puede tardar hasta 45 minutos para que cualquier controlador de dominio nuevo pase a estar totalmente activo una vez que el número de controladores de dominio solicitados se actualice. Durante este tiempo, no puede realizar ninguna otra solicitud de actualización | Escritura | |||
| UpdateRadius | Concede permiso para actualizar la información del servidor Remote Authentication Dial In User Service (RADIUS) para un directorio de AD Connector | Escritura | |||
| UpdateSettings | Concede permiso para actualizar la configuración del directorio especificado. | Escritura | |||
| UpdateTrust | Otorga permiso para actualizar la confianza que se ha establecido entre el directorio AWS administrado de Microsoft AD y un Active Directory local | Escritura | |||
| VerifyTrust | Otorga permiso para verificar una relación de confianza entre su Microsoft AD en la AWS nube y un dominio externo | Leer |
Tipos de recursos definidos por AWS Directory Service
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| directory |
arn:${Partition}:ds:${Region}:${Account}:directory/${DirectoryId}
|
Claves de condición para AWS Directory Service
AWS Directory Service define las siguientes claves de condición que se pueden usar en el Condition elemento de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.
Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra el acceso según el valor de la solicitud a DS AWS | Cadena |
| aws:ResourceTag/${TagKey} | Filtra el acceso por parte del recurso AWS de DS sobre el que se está actuando | Cadena |
| aws:TagKeys | Filtra el acceso por las claves de etiquetas que se pasan en la solicitud | ArrayOfString |
