Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour AWS Directory Service
AWS Directory Service (préfixe de service :ds
) fournit les ressources, actions et clés de contexte de condition spécifiques au service suivantes à utiliser dans les politiques d'autorisation IAM.
Références :
-
Découvrez comment configurer ce service.
-
Affichez la liste des opérations d'API disponibles pour ce service.
-
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.
Rubriques
Actions définies par AWS Directory Service
Vous pouvez indiquer les actions suivantes dans l'élément Action
d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource
de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resource
élément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition
d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
---|---|---|---|---|---|
AcceptSharedDirectory | Accorde l'autorisation d'accepter une demande de partage d'annuaire qui a été envoyée depuis le compte propriétaire du répertoire | Écrire | |||
AccessDSData [autorisation uniquement] | Accorde l'autorisation d'accéder aux données d'annuaire à l'aide de l'API Directory Service Data | Gestion des autorisations | |||
AddIpRoutes | Accorde l'autorisation d'ajouter un bloc d'adresse CIDR pour acheminer correctement le trafic vers et depuis votre annuaire Microsoft AD on Amazon Web Services | Écrire |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:DescribeSecurityGroups |
||
AddRegion | Accorde l'autorisation d'ajouter deux contrôleurs de domaine dans la région spécifiée pour le répertoire spécifié | Écrire |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
AddTagsToResource | Accorde l'autorisation d'ajouter ou d'écraser une ou plusieurs identifications pour le répertoire Amazon Directory Services spécifié | Identification |
ec2:CreateTags |
||
AuthorizeApplication [autorisation uniquement] | Accorde l'autorisation d'autoriser une application pour votre AWS annuaire | Écrire | |||
CancelSchemaExtension | Accorde l'autorisation d'annuler une extension de schéma en cours pour un répertoire Microsoft AD | Écrire | |||
CheckAlias [autorisation uniquement] | Accorde l'autorisation de vérifier que l'alias est disponible pour être utilisé | Lecture | |||
ConnectDirectory | Accorde l'autorisation de créer un AD Connector pour se connecter à un répertoire sur site | Écrire |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
CreateAlias | Accorde l'autorisation de créer un alias pour un annuaire et d'attribuer l'alias au répertoire | Écrire | |||
CreateComputer | Accorde l'autorisation de créer un compte d'ordinateur dans l'annuaire spécifié et de joindre l'ordinateur au répertoire | Écrire | |||
CreateConditionalForwarder | Accorde l'autorisation de créer un redirecteur conditionnel associé à votre répertoire AWS | Écrire | |||
CreateDirectory | Accorde l'autorisation de créer un répertoire Simple AD | Écrire |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
CreateIdentityPoolDirectory [autorisation uniquement] | Accorde l'autorisation de créer un IdentityPool annuaire dans le AWS cloud | Écrire | |||
CreateLogSubscription | Accorde l'autorisation de créer un abonnement pour transférer les journaux de sécurité du contrôleur de domaine Directory Service en temps réel vers le groupe de CloudWatch journaux spécifié dans votre Compte AWS | Écrire | |||
CreateMicrosoftAD | Accorde l'autorisation de créer un Microsoft AD dans le AWS cloud | Écrire |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
CreateSnapshot | Autorise la création d'un instantané d'un annuaire Simple AD ou Microsoft AD dans le AWS cloud | Écrire | |||
CreateTrust | Accorde l'autorisation d'initier la création AWS d'une relation de confiance entre un Microsoft AD dans le AWS cloud et un domaine externe | Écrire | |||
DeleteConditionalForwarder | Autorise la suppression d'un redirecteur conditionnel configuré pour votre annuaire AWS | Écrire | |||
DeleteDirectory | Accorde l'autorisation de supprimer un AWS annuaire du Directory Service | Écrire |
ec2:DeleteNetworkInterface ec2:DeleteSecurityGroup ec2:DescribeNetworkInterfaces ec2:RevokeSecurityGroupEgress ec2:RevokeSecurityGroupIngress |
||
DeleteLogSubscription | Accorde l'autorisation de supprimer l'abonnement au journal spécifié | Écrire | |||
DeleteSnapshot | Accorde l'autorisation de supprimer un instantané d'un répertoire | Écrire | |||
DeleteTrust | Accorde l'autorisation de supprimer une relation de confiance existante entre votre Microsoft AD dans le AWS cloud et un domaine externe | Écrire | |||
DeregisterCertificate | Accorde l'autorisation de supprimer du système le certificat qui a été enregistré pour une connexion LDAP sécurisée | Écrire | |||
DeregisterEventTopic | Accorde l'autorisation de supprimer le répertoire spécifié en tant qu'éditeur de la rubrique SNS spécifiée | Écrire | |||
DescribeCertificate | Accorde l'autorisation d'afficher des informations sur le certificat enregistré pour une connexion LDAP sécurisée | Lecture | |||
DescribeClientAuthenticationSettings | Accorde l'autorisation de récupérer des informations sur le type d'authentification client pour le répertoire spécifié, si le type est spécifié. Si aucun type n'est spécifié, des informations sur tous les types d'authentification client pris en charge pour le répertoire spécifié sont récupérées. Actuellement, seul SmartCard est pris en charge | Lecture | |||
DescribeConditionalForwarders | Accorde l'autorisation d'obtenir des informations sur les redirecteurs conditionnels pour ce compte | Lecture | |||
DescribeDirectories | Accorde l'autorisation d'obtenir des informations sur les annuaires qui appartiennent à ce compte | Liste | |||
DescribeDirectoryDataAccess | Accorde l'autorisation de décrire le statut de l'API Directory Service Data pour le répertoire spécifié | Lecture | |||
DescribeDomainControllers | Accorde l'autorisation d'obtenir des informations sur tous les contrôleurs de domaine dans votre répertoire | Lecture | |||
DescribeEventTopics | Accorde l'autorisation d'obtenir des informations sur les rubriques SNS qui reçoivent des messages d'état du répertoire spécifié | Lecture | |||
DescribeLDAPSSettings | Accorde l'autorisation de décrire l'état de la sécurité LDAP pour le répertoire spécifié | Lecture | |||
DescribeRegions | Accorde l'autorisation de fournir des informations sur les régions qui sont configurées pour la réplication multirégions | Lecture | |||
DescribeSettings | Accorde l'autorisation de récupérer des informations sur les paramètres configurables pour le répertoire spécifié | Lecture | |||
DescribeSharedDirectories | Accorde l'autorisation de renvoyer les annuaires partagés de votre compte | Lecture | |||
DescribeSnapshots | Accorde l'autorisation d'obtenir des informations sur les instantanés du répertoire qui appartiennent à ce compte | Lecture | |||
DescribeTrusts | Accorde l'autorisation d'obtenir des informations sur les relations d'approbation pour ce compte | Lecture | |||
DescribeUpdateDirectory | Accorde l’autorisation à décrire les mises à jour d'un répertoire pour un type de mise à jour particulier | Lecture | |||
DisableClientAuthentication | Accorde l'autorisation de désactiver les méthodes alternatives d'authentification client pour l'annuaire spécifié | Écrire | |||
DisableDirectoryDataAccess | Accorde l'autorisation de désactiver l'API Directory Service Data pour le répertoire spécifié | Écrire | |||
DisableLDAPS | Accorde l'autorisation de désactiver les appels sécurisés LDAP pour le répertoire spécifié | Écrire | |||
DisableRadius | Accorde l'autorisation de désactiver l'authentification multifacteur (MFA) avec le serveur RADIUS (Remote Authentication Dial In User Service) pour un répertoire AD Connector | Écrire | |||
DisableRoleAccess [autorisation uniquement] | Accorde l'autorisation de désactiver AWS Management Console l'accès pour l'identité dans votre AWS annuaire | Écrire | |||
DisableSso | Accorde l'autorisation de désactiver l'authentification unique pour un répertoire | Écrire | |||
EnableClientAuthentication | Accorde l'autorisation d'activer les méthodes alternatives d'authentification client pour le répertoire spécifié | Écrire | |||
EnableDirectoryDataAccess | Accorde l'autorisation d'activer l'API Directory Service Data pour le répertoire spécifié | Écrire | |||
EnableLDAPS | Accorde l'autorisation d'activer le commutateur pour le répertoire spécifique afin de toujours utiliser les appels sécurisés LDAP | Écrire | |||
EnableRadius | Accorde l'autorisation d'activer l'authentification multifacteur (MFA) avec le serveur RADIUS (Remote Authentication Dial In User Service) pour un répertoire AD Connector | Écrire | |||
EnableRoleAccess [autorisation uniquement] | Accorde l'autorisation d'activer AWS Management Console l'accès pour l'identité dans votre AWS annuaire | Écrire |
iam:PassRole |
||
EnableSso | Accorde l'autorisation d'activer l'authentification unique pour un répertoire | Écrire | |||
GetAuthorizedApplicationDetails [autorisation uniquement] | Accorde l'autorisation de récupérer les détails des applications autorisées dans un répertoire | Lecture | |||
GetDirectoryLimits | Accorde l'autorisation d'obtenir les informations sur les limites du répertoire pour la région actuelle | Lecture | |||
GetSnapshotLimits | Accorde l'autorisation d'obtenir les limites des instantanés manuels pour un répertoire | Lecture | |||
ListAuthorizedApplications [autorisation uniquement] | Accorde l'autorisation d'obtenir les AWS applications autorisées pour un annuaire | Lecture | |||
ListCertificates | Accorde l'autorisation de répertorier tous les certificats enregistrés pour une connexion LDAP sécurisée, pour le répertoire spécifié | Liste | |||
ListIpRoutes | Accorde l'autorisation d'obtenir la liste des blocs d'adresses que vous avez ajoutés à un répertoire | Lecture | |||
ListLogSubscriptions | Accorde l'autorisation de répertorier les abonnements aux journaux actifs pour Compte AWS | Lecture | |||
ListSchemaExtensions | Accorde l'autorisation de répertorier toutes les extensions de schéma appliquées à un répertoire Microsoft AD | Liste | |||
ListTagsForResource | Accorde l'autorisation de répertorier toutes les identifications sur un répertoire Amazon Directory Services | Lecture | |||
RegisterCertificate | Accorde l'autorisation d'enregistrer un certificat pour une connexion LDAP sécurisée | Écrire | |||
RegisterEventTopic | Accorde l'autorisation d'associer un répertoire à une rubrique SNS | Écrire |
sns:GetTopicAttributes |
||
RejectSharedDirectory | Accorde l'autorisation de rejeter une demande de partage de répertoire qui a été envoyée depuis le compte propriétaire du répertoire | Écrire | |||
RemoveIpRoutes | Accorde l'autorisation de supprimer des blocs d'adresses IP d'un répertoire | Écrire | |||
RemoveRegion | Accorde l'autorisation d'arrêter toutes les réplications et supprime les contrôleurs de domaine de la région spécifiée. Vous ne pouvez pas supprimer la région principale avec cette opération | Écrire | |||
RemoveTagsFromResource | Accorde l'autorisation de supprimer les identifications d'un répertoire Amazon Directory Services | Identification |
ec2:DeleteTags |
||
ResetUserPassword | Permet de réinitialiser le mot de passe de n'importe quel utilisateur de votre annuaire AWS Managed Microsoft AD ou Simple AD | Écrire | |||
RestoreFromSnapshot | Accorde l'autorisation de restaurer un répertoire en utilisant un instantané de répertoire existant | Écrire | |||
ShareDirectory | Accorde l'autorisation de partager un répertoire spécifié dans votre répertoire Compte AWS (propriétaire du répertoire) avec un autre Compte AWS (consommateur du répertoire). Avec cette opération, vous pouvez utiliser votre répertoire depuis n'importe quel Compte AWS Amazon VPC au sein d'un Région AWS | Écrire | |||
StartSchemaExtension | Accorde l'autorisation d'appliquer une extension de schéma à un répertoire Microsoft AD | Écrire | |||
UnauthorizeApplication [autorisation uniquement] | Accorde l'autorisation d'annuler l'autorisation d'une application de votre annuaire AWS | Écrire | |||
UnshareDirectory | Accorde l'autorisation d'arrêter le partage du répertoire entre le propriétaire du répertoire et les comptes consommateurs | Écrire | |||
UpdateAuthorizedApplication [autorisation uniquement] | Autorise la mise à jour d'une application autorisée pour votre AWS annuaire | Écrire | |||
UpdateConditionalForwarder | Autorise la mise à jour d'un redirecteur conditionnel configuré pour votre annuaire AWS | Écrire | |||
UpdateDirectory [autorisation uniquement] | Accorde l'autorisation de mettre à jour les configurations telles que les informations d'identification du compte de service ou les adresses IP du serveur DNS pour le répertoire spécifié. | Écrire | |||
UpdateDirectorySetup | Accorde l'autorisation de mettre à jour le répertoire pour un type de mise à jour particulier | Écrire | |||
UpdateNumberOfDomainControllers | Accorde l'autorisation d'ajouter des contrôleurs de domaine au répertoire ou les supprimer de ce dernier. Selon la différence entre la valeur actuelle et la nouvelle valeur (fournie via cet appel d'API), les contrôleurs de domaine seront ajoutés ou supprimés. Un nouveau contrôleur de domaine peut mettre jusqu'à 45 minutes pour devenir pleinement actif une fois que le nombre demandé de contrôleurs de domaine a été mis à jour. Pendant ce temps, vous ne pouvez pas effectuer d'autre demande de mise à jour | Écrire | |||
UpdateRadius | Accorde l'autorisation de mettre à jour les informations du serveur RADIUS (Remote Authentication Dial In User Service) pour un répertoire AD Connector | Écrire | |||
UpdateSettings | Accorde l'autorisation de mettre à jour les paramètres configurables pour le répertoire spécifié | Écrire | |||
UpdateTrust | Accorde l'autorisation de mettre à jour la confiance établie entre votre annuaire Microsoft AD AWS géré et un Active Directory local | Écrire | |||
VerifyTrust | Accorde l'autorisation de vérifier une relation de confiance entre votre Microsoft AD dans le AWS cloud et un domaine externe | Lecture |
Types de ressources définis par AWS Directory Service
Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource
élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
Types de ressources | ARN | Clés de condition |
---|---|---|
directory |
arn:${Partition}:ds:${Region}:${Account}:directory/${DirectoryId}
|
Clés de condition pour AWS Directory Service
AWS Directory Service définit les clés de condition suivantes qui peuvent être utilisées dans l'Condition
élément d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d’application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
Clés de condition | Description | Type |
---|---|---|
aws:RequestTag/${TagKey} | Filtre l'accès en fonction de la valeur de la demande adressée à AWS DS | Chaîne |
aws:ResourceTag/${TagKey} | Filtre l'accès par la ressource AWS DS utilisée | Chaîne |
aws:TagKeys | Filtre l'accès en fonction des clés d'identification qui sont transmises dans la demande | ArrayOfString |