Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisation pour AWS les applications et les services utilisant AWS Directory Service
Autorisation d'une AWS application sur un Active Directory
AWS Directory Service accorde des autorisations spécifiques aux applications sélectionnées afin qu'elles s'intègrent parfaitement à votre Active Directory lorsque vous autorisez une AWS application. AWS les applications ne reçoivent que l'accès nécessaire à leur cas d'utilisation. L'ensemble des autorisations internes accordées aux applications et aux administrateurs d'applications après autorisation est fourni ci-dessous :
Note
L'ds:AuthorizationApplicationautorisation est requise pour autoriser une nouvelle AWS application Active Directory. Les autorisations relatives à cette action ne doivent être accordées qu'aux administrateurs qui configurent les intégrations avec Directory Service.
Accès en lecture aux données des utilisateurs, des groupes, des unités organisationnelles, des ordinateurs ou des autorités de certification Active Directory dans toutes les unités organisationnelles (UO) des annuaires AWS Managed Microsoft AD, Simple AD, AD Connector, ainsi que dans les domaines approuvés pour AWS Managed Microsoft AD si une relation de confiance l'autorise.
Accès en écriture aux utilisateurs, aux groupes, aux membres de groupes, aux ordinateurs ou aux données d'autorité de certification dans votre unité organisationnelle de AWS Managed Microsoft AD. Accès en écriture à toutes les UO de Simple AD.
Authentification et gestion de session des utilisateurs d'Active Directory pour tous les types d'annuaires.
Certaines applications Microsoft AD AWS gérées, telles qu'Amazon RDS et Amazon, FSx s'intègrent via une connexion réseau directe à votre Active Directory. Dans ce cas, les interactions avec les annuaires utilisent des protocoles Active Directory natifs tels que LDAP Kerberos. Les autorisations de ces AWS applications sont contrôlées par un compte utilisateur d'annuaire créé dans l'unité organisationnelle AWS réservée (UO) lors de l'autorisation de l'application, qui inclut la DNS gestion et l'accès complet à une unité d'organisation personnalisée créée pour l'application. Pour utiliser ce compte, l'application doit être autorisée à ds:GetAuthorizedApplicationDetails agir par le biais des informations d'identification de l'appelant ou d'un IAM rôle.
Pour plus d'informations sur les autorisations AWS Directory Service API, consultez AWS Directory Service APIautorisations : référence aux actions, aux ressources et aux conditions.
Pour plus d'informations sur l'activation AWS des applications et des services pour AWS Managed Microsoft AD, consultezPermettre l'accès aux AWS applications et aux services. Pour plus d'informations sur l'activation AWS des applications et des services pour AD Connector, consultezPermettre l'accès aux AWS applications et aux services. Pour plus d'informations sur l'activation AWS des applications et des services pour Simple AD, consultezPermettre l'accès aux AWS applications et aux services.
Annulation de l'autorisation d'une AWS application sur un Active Directory
Pour supprimer les autorisations permettant à une AWS application d'accéder à Active Directory, l'ds:UnauthorizedApplicationautorisation est requise. Suivez les étapes indiquées par l'application pour la désactiver.
