Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS
Actions, ressources et clés de condition pour AWS Directory Service - Référence de l'autorisation de service
ActionsTypes de ressourcesClés de condition

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Actions, ressources et clés de condition pour AWS Directory Service

PDF

AWS Directory Service (préfixe de service :ds) fournit les ressources, actions et clés de contexte de condition spécifiques au service suivantes à utiliser dans les politiques d'autorisation IAM.

Références :

Actions définies par AWS Directory Service

Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.

La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.

La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.

Note

Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.

Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.

Actions Description Niveau d'accès Types de ressources (*obligatoire) Clés de condition Actions dépendantes
AcceptSharedDirectory Accorde l'autorisation d'accepter une demande de partage d'annuaire qui a été envoyée depuis le compte propriétaire du répertoire Écrire

directory*

AccessDSData [autorisation uniquement] Accorde l'autorisation d'accéder aux données d'annuaire à l'aide de l'API Directory Service Data Gestion des autorisations

directory*

AddIpRoutes Accorde l'autorisation d'ajouter un bloc d'adresse CIDR pour acheminer correctement le trafic vers et depuis votre annuaire Microsoft AD on Amazon Web Services Écrire

directory*

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:DescribeSecurityGroups

AddRegion Accorde l'autorisation d'ajouter deux contrôleurs de domaine dans la région spécifiée pour le répertoire spécifié Écrire

directory*

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateNetworkInterface

ec2:CreateSecurityGroup

ec2:CreateTags

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

AddTagsToResource Accorde l'autorisation d'ajouter ou d'écraser une ou plusieurs identifications pour le répertoire Amazon Directory Services spécifié Identification

directory*

ec2:CreateTags

aws:RequestTag/${TagKey}

aws:TagKeys

AuthorizeApplication [autorisation uniquement] Accorde l'autorisation d'autoriser une application pour votre AWS annuaire Écrire

directory*

CancelSchemaExtension Accorde l'autorisation d'annuler une extension de schéma en cours pour un répertoire Microsoft AD Écrire

directory*

CheckAlias [autorisation uniquement] Accorde l'autorisation de vérifier que l'alias est disponible pour être utilisé Lecture
ConnectDirectory Accorde l'autorisation de créer un AD Connector pour se connecter à un répertoire sur site Écrire

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateNetworkInterface

ec2:CreateSecurityGroup

ec2:CreateTags

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

CreateAlias Accorde l'autorisation de créer un alias pour un annuaire et d'attribuer l'alias au répertoire Écrire

directory*

CreateComputer Accorde l'autorisation de créer un compte d'ordinateur dans l'annuaire spécifié et de joindre l'ordinateur au répertoire Écrire

directory*

CreateConditionalForwarder Accorde l'autorisation de créer un redirecteur conditionnel associé à votre répertoire AWS Écrire

directory*

CreateDirectory Accorde l'autorisation de créer un répertoire Simple AD Écrire

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateNetworkInterface

ec2:CreateSecurityGroup

ec2:CreateTags

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

CreateIdentityPoolDirectory [autorisation uniquement] Accorde l'autorisation de créer un IdentityPool annuaire dans le AWS cloud Écrire

aws:RequestTag/${TagKey}

aws:TagKeys

CreateLogSubscription Accorde l'autorisation de créer un abonnement pour transférer les journaux de sécurité du contrôleur de domaine Directory Service en temps réel vers le groupe de CloudWatch journaux spécifié dans votre Compte AWS Écrire

directory*

CreateMicrosoftAD Accorde l'autorisation de créer un Microsoft AD dans le AWS cloud Écrire

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateNetworkInterface

ec2:CreateSecurityGroup

ec2:CreateTags

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

CreateSnapshot Autorise la création d'un instantané d'un annuaire Simple AD ou Microsoft AD dans le AWS cloud Écrire

directory*

CreateTrust Accorde l'autorisation d'initier la création AWS d'une relation de confiance entre un Microsoft AD dans le AWS cloud et un domaine externe Écrire

directory*

DeleteConditionalForwarder Autorise la suppression d'un redirecteur conditionnel configuré pour votre annuaire AWS Écrire

directory*

DeleteDirectory Accorde l'autorisation de supprimer un AWS annuaire du Directory Service Écrire

directory*

ec2:DeleteNetworkInterface

ec2:DeleteSecurityGroup

ec2:DescribeNetworkInterfaces

ec2:RevokeSecurityGroupEgress

ec2:RevokeSecurityGroupIngress

DeleteLogSubscription Accorde l'autorisation de supprimer l'abonnement au journal spécifié Écrire

directory*

DeleteSnapshot Accorde l'autorisation de supprimer un instantané d'un répertoire Écrire

directory*

DeleteTrust Accorde l'autorisation de supprimer une relation de confiance existante entre votre Microsoft AD dans le AWS cloud et un domaine externe Écrire

directory*

DeregisterCertificate Accorde l'autorisation de supprimer du système le certificat qui a été enregistré pour une connexion LDAP sécurisée Écrire

directory*

DeregisterEventTopic Accorde l'autorisation de supprimer le répertoire spécifié en tant qu'éditeur de la rubrique SNS spécifiée Écrire

directory*

DescribeCertificate Accorde l'autorisation d'afficher des informations sur le certificat enregistré pour une connexion LDAP sécurisée Lecture

directory*

DescribeClientAuthenticationSettings Accorde l'autorisation de récupérer des informations sur le type d'authentification client pour le répertoire spécifié, si le type est spécifié. Si aucun type n'est spécifié, des informations sur tous les types d'authentification client pris en charge pour le répertoire spécifié sont récupérées. Actuellement, seul SmartCard est pris en charge Lecture

directory*

DescribeConditionalForwarders Accorde l'autorisation d'obtenir des informations sur les redirecteurs conditionnels pour ce compte Lecture

directory*

DescribeDirectories Accorde l'autorisation d'obtenir des informations sur les annuaires qui appartiennent à ce compte Liste
DescribeDirectoryDataAccess Accorde l'autorisation de décrire le statut de l'API Directory Service Data pour le répertoire spécifié Lecture

directory*

DescribeDomainControllers Accorde l'autorisation d'obtenir des informations sur tous les contrôleurs de domaine dans votre répertoire Lecture

directory*

DescribeEventTopics Accorde l'autorisation d'obtenir des informations sur les rubriques SNS qui reçoivent des messages d'état du répertoire spécifié Lecture

directory*

DescribeLDAPSSettings Accorde l'autorisation de décrire l'état de la sécurité LDAP pour le répertoire spécifié Lecture

directory*

DescribeRegions Accorde l'autorisation de fournir des informations sur les régions qui sont configurées pour la réplication multirégions Lecture

directory*

DescribeSettings Accorde l'autorisation de récupérer des informations sur les paramètres configurables pour le répertoire spécifié Lecture

directory*

DescribeSharedDirectories Accorde l'autorisation de renvoyer les annuaires partagés de votre compte Lecture

directory*

DescribeSnapshots Accorde l'autorisation d'obtenir des informations sur les instantanés du répertoire qui appartiennent à ce compte Lecture
DescribeTrusts Accorde l'autorisation d'obtenir des informations sur les relations d'approbation pour ce compte Lecture
DescribeUpdateDirectory Accorde l’autorisation à décrire les mises à jour d'un répertoire pour un type de mise à jour particulier Lecture

directory*

DisableClientAuthentication Accorde l'autorisation de désactiver les méthodes alternatives d'authentification client pour l'annuaire spécifié Écrire

directory*

DisableDirectoryDataAccess Accorde l'autorisation de désactiver l'API Directory Service Data pour le répertoire spécifié Écrire

directory*

DisableLDAPS Accorde l'autorisation de désactiver les appels sécurisés LDAP pour le répertoire spécifié Écrire

directory*

DisableRadius Accorde l'autorisation de désactiver l'authentification multifacteur (MFA) avec le serveur RADIUS (Remote Authentication Dial In User Service) pour un répertoire AD Connector Écrire

directory*

DisableRoleAccess [autorisation uniquement] Accorde l'autorisation de désactiver AWS Management Console l'accès pour l'identité dans votre AWS annuaire Écrire

directory*

DisableSso Accorde l'autorisation de désactiver l'authentification unique pour un répertoire Écrire

directory*

EnableClientAuthentication Accorde l'autorisation d'activer les méthodes alternatives d'authentification client pour le répertoire spécifié Écrire

directory*

EnableDirectoryDataAccess Accorde l'autorisation d'activer l'API Directory Service Data pour le répertoire spécifié Écrire

directory*

EnableLDAPS Accorde l'autorisation d'activer le commutateur pour le répertoire spécifique afin de toujours utiliser les appels sécurisés LDAP Écrire

directory*

EnableRadius Accorde l'autorisation d'activer l'authentification multifacteur (MFA) avec le serveur RADIUS (Remote Authentication Dial In User Service) pour un répertoire AD Connector Écrire

directory*

EnableRoleAccess [autorisation uniquement] Accorde l'autorisation d'activer AWS Management Console l'accès pour l'identité dans votre AWS annuaire Écrire

directory*

iam:PassRole

EnableSso Accorde l'autorisation d'activer l'authentification unique pour un répertoire Écrire

directory*

GetAuthorizedApplicationDetails [autorisation uniquement] Accorde l'autorisation de récupérer les détails des applications autorisées dans un répertoire Lecture

directory*

GetDirectoryLimits Accorde l'autorisation d'obtenir les informations sur les limites du répertoire pour la région actuelle Lecture
GetSnapshotLimits Accorde l'autorisation d'obtenir les limites des instantanés manuels pour un répertoire Lecture

directory*

ListAuthorizedApplications [autorisation uniquement] Accorde l'autorisation d'obtenir les AWS applications autorisées pour un annuaire Lecture

directory*

ListCertificates Accorde l'autorisation de répertorier tous les certificats enregistrés pour une connexion LDAP sécurisée, pour le répertoire spécifié Liste

directory*

ListIpRoutes Accorde l'autorisation d'obtenir la liste des blocs d'adresses que vous avez ajoutés à un répertoire Lecture

directory*

ListLogSubscriptions Accorde l'autorisation de répertorier les abonnements aux journaux actifs pour Compte AWS Lecture
ListSchemaExtensions Accorde l'autorisation de répertorier toutes les extensions de schéma appliquées à un répertoire Microsoft AD Liste

directory*

ListTagsForResource Accorde l'autorisation de répertorier toutes les identifications sur un répertoire Amazon Directory Services Lecture

directory*

RegisterCertificate Accorde l'autorisation d'enregistrer un certificat pour une connexion LDAP sécurisée Écrire

directory*

RegisterEventTopic Accorde l'autorisation d'associer un répertoire à une rubrique SNS Écrire

directory*

sns:GetTopicAttributes

RejectSharedDirectory Accorde l'autorisation de rejeter une demande de partage de répertoire qui a été envoyée depuis le compte propriétaire du répertoire Écrire

directory*

RemoveIpRoutes Accorde l'autorisation de supprimer des blocs d'adresses IP d'un répertoire Écrire

directory*

RemoveRegion Accorde l'autorisation d'arrêter toutes les réplications et supprime les contrôleurs de domaine de la région spécifiée. Vous ne pouvez pas supprimer la région principale avec cette opération Écrire

directory*

RemoveTagsFromResource Accorde l'autorisation de supprimer les identifications d'un répertoire Amazon Directory Services Identification

directory*

ec2:DeleteTags

aws:RequestTag/${TagKey}

aws:TagKeys

ResetUserPassword Permet de réinitialiser le mot de passe de n'importe quel utilisateur de votre annuaire AWS Managed Microsoft AD ou Simple AD Écrire

directory*

RestoreFromSnapshot Accorde l'autorisation de restaurer un répertoire en utilisant un instantané de répertoire existant Écrire

directory*

ShareDirectory Accorde l'autorisation de partager un répertoire spécifié dans votre répertoire Compte AWS (propriétaire du répertoire) avec un autre Compte AWS (consommateur du répertoire). Avec cette opération, vous pouvez utiliser votre répertoire depuis n'importe quel Compte AWS Amazon VPC au sein d'un Région AWS Écrire

directory*

StartSchemaExtension Accorde l'autorisation d'appliquer une extension de schéma à un répertoire Microsoft AD Écrire

directory*

UnauthorizeApplication [autorisation uniquement] Accorde l'autorisation d'annuler l'autorisation d'une application de votre annuaire AWS Écrire

directory*

UnshareDirectory Accorde l'autorisation d'arrêter le partage du répertoire entre le propriétaire du répertoire et les comptes consommateurs Écrire

directory*

UpdateAuthorizedApplication [autorisation uniquement] Autorise la mise à jour d'une application autorisée pour votre AWS annuaire Écrire

directory*

UpdateConditionalForwarder Autorise la mise à jour d'un redirecteur conditionnel configuré pour votre annuaire AWS Écrire

directory*

UpdateDirectory [autorisation uniquement] Accorde l'autorisation de mettre à jour les configurations telles que les informations d'identification du compte de service ou les adresses IP du serveur DNS pour le répertoire spécifié. Écrire

directory*

UpdateDirectorySetup Accorde l'autorisation de mettre à jour le répertoire pour un type de mise à jour particulier Écrire

directory*

UpdateNumberOfDomainControllers Accorde l'autorisation d'ajouter des contrôleurs de domaine au répertoire ou les supprimer de ce dernier. Selon la différence entre la valeur actuelle et la nouvelle valeur (fournie via cet appel d'API), les contrôleurs de domaine seront ajoutés ou supprimés. Un nouveau contrôleur de domaine peut mettre jusqu'à 45 minutes pour devenir pleinement actif une fois que le nombre demandé de contrôleurs de domaine a été mis à jour. Pendant ce temps, vous ne pouvez pas effectuer d'autre demande de mise à jour Écrire

directory*

UpdateRadius Accorde l'autorisation de mettre à jour les informations du serveur RADIUS (Remote Authentication Dial In User Service) pour un répertoire AD Connector Écrire

directory*

UpdateSettings Accorde l'autorisation de mettre à jour les paramètres configurables pour le répertoire spécifié Écrire

directory*

UpdateTrust Accorde l'autorisation de mettre à jour la confiance établie entre votre annuaire Microsoft AD AWS géré et un Active Directory local Écrire

directory*

VerifyTrust Accorde l'autorisation de vérifier une relation de confiance entre votre Microsoft AD dans le AWS cloud et un domaine externe Lecture

directory*

Types de ressources définis par AWS Directory Service

Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.

Types de ressources ARN Clés de condition
directory arn:${Partition}:ds:${Region}:${Account}:directory/${DirectoryId}

aws:ResourceTag/${TagKey}

Clés de condition pour AWS Directory Service

AWS Directory Service définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d’application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.

Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.

Clés de condition Description Type
aws:RequestTag/${TagKey} Filtre l'accès en fonction de la valeur de la demande adressée à AWS DS Chaîne
aws:ResourceTag/${TagKey} Filtre l'accès par la ressource AWS DS utilisée Chaîne
aws:TagKeys Filtre l'accès en fonction des clés d'identification qui sont transmises dans la demande ArrayOfString

Rubrique précédente :

AWS Direct Connect

Avez-vous besoin d’aide ?

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.