AWS Directory Service API およびアクションに必要なアクセス許可 AWS Directory Service Data APIとアクションに必要なアクセス許可関連トピック

AWS Directory Service API アクセス許可: アクション、リソース、および条件リファレンス

ID にアタッチできるアクセス許可ポリシー IAM (アイデンティティベースのポリシー) を設定アクセスコントロールして記述する場合、 AWS Directory Service API アクセス許可: アクション、リソース、および条件リファレンステーブルをリファレンスとして使用できます。テーブルの各APIエントリには、次のものが含まれます。

各APIオペレーションの名前
各APIオペレーションの対応するアクション、またはアクションを実行するためのアクセス許可を付与できるアクション
アクセス許可を付与できる AWS リソース

ポリシーの Action フィールドでアクションを指定し、ポリシーの Resource フィールドでリソースの値を指定します。アクションを指定するには、 ds: プレフィックスの後にAPIオペレーション名 (例: ds:CreateDirectory) を使用します。 AWS アプリケーションによっては、ポリシーds:UnauthorizeApplicationで ds:AuthorizeApplication、ds:CheckAlias、、ds:CreateIdentityPoolDirectory、ds:UpdateAuthorizedApplication、 ds:GetAuthorizedApplicationDetailsなどの非公開 AWS Directory Service APIオペレーションの使用が必要になる場合があります。

一部の AWS Directory Service APIs は、を介してのみ呼び出すことができます AWS Management Console。これらはパブリックではなくAPIs、プログラムで呼び出すことはできず、によっても提供されませんSDK。このサーバーにはユーザー認証情報が必要です。これらのAPIオペレーションには、ds:DisableRoleAccess、ds:EnableRoleAccess、およびが含まれますds:UpdateDirectory。

AWS Directory Service および Directory Service Data ポリシーで AWS グローバル条件キーを使用して、条件を表現できます。 AWS キーの完全なリストについては、 IAMユーザーガイドの「利用可能なグローバル条件キー」を参照してください。

AWS Directory Service API オペレーション	必要なアクセス許可 (API アクション）	リソース
AcceptSharedDirectory	`ds:AcceptSharedDirectory`	*
AddIpRoutes	`ds:AddIpRoutes` `ec2:DescribeSecurityGroup` `ec2:AuthorizeSecurityGroupIngress` `ec2:AuthorizeSecurityGroupEgress`	*
AddTagsToResource	`ds:AddTagsToResource` `ec2:CreateTags`	*
CancelSchemaExtension	`ds:CancelSchemaExtension`	*
ConnectDirectory	`ds:ConnectDirectory` `ec2:DescribeSubnets` `ec2:DescribeVpcs` `ec2:CreateSecurityGroup` `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:AuthorizeSecurityGroupIngress` `ec2:AuthorizeSecurityGroupEgress` `ec2:CreateTags`	*
CreateAlias	`ds:CreateAlias`	*
CreateComputer	`ds:CreateComputer`	*
CreateConditionalForwarder	`ds:CreateConditionalForwarder`	*
CreateDirectory	`ds:CreateDirectory` `ec2:DescribeSubnets` `ec2:DescribeVpcs` `ec2:CreateSecurityGroup` `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:AuthorizeSecurityGroupIngress` `ec2:AuthorizeSecurityGroupEgress` `ec2:CreateTags`	*
CreateLogSubscription	`ds:CreateLogSubscription`	*
CreateMicrosoftAD	`ds:CreateMicrosoftAD` `ec2:DescribeSubnets` `ec2:DescribeVpcs` `ec2:CreateSecurityGroup` `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:AuthorizeSecurityGroupIngress` `ec2:AuthorizeSecurityGroupEgress` `ec2:RevokeSecurityGroupEgress` `ec2:CreateTags`	*
CreateSnapshot	`ds:CreateSnapshot`	*
CreateTrust	`ds:CreateTrust`	*
DeleteConditionalForwarder	`ds:DeleteConditionalForwarder`	*
DeleteDirectory	`ds:DeleteDirectory` `ec2:DescribeNetworkInterfaces` `ec2:DeleteSecurityGroup` `ec2:DeleteNetworkInterface` `ec2:RevokeSecurityGroupIngress` `ec2:RevokeSecurityGroupEgress` `ec2:DeleteTags`	*
DeleteLogSubscription	`ds:DeleteLogSubscription`	*
DeleteSnapshot	`ds:DeleteSnapshot`	*
DeleteTrust	`ds:DeleteTrust`	*
DeregisterEventTopic	`ds:DeregisterEventTopic`	*
DescribeConditionalForwarders	`ds:DescribeConditionalForwarders`	*
DescribeDirectories	`ds:DescribeDirectories`	*
DescribeDomainControllers	`ds:DescribeDomainControllers`	*
DescribeEventTopics	`ds:DescribeEventTopics`	*
DescribeSharedDirectories	`ds:DescribeSharedDirectories`	*
DescribeSnapshots	`ds:DescribeSnapshots`	*
DescribeTrusts	`ds:DescribeTrusts`	*
DisableRadius	`ds:DisableRadius`	*
DisableSso	`ds:DisableSso`	*
EnableRadius	`ds:EnableRadius`	*
EnableSso	`ds:EnableSso`	*
GetDirectoryLimits	`ds:GetDirectoryLimits`	*
GetSnapshotLimits	`ds:GetSnapshotLimits`	*
ListIpRoutes	`ds:ListIpRoutes`	*
ListLogSubscriptions	`ds:ListLogSubscriptions`	*
ListSchemaExtensions	`ds:ListSchemaExtensions`	*
ListTagsForResource	`ds:ListTagsForResource`	*
RegisterEventTopic	`ds:RegisterEventTopic` `sns:GetTopicAttributes`	*
RejectSharedDirectory	`ds:RejectSharedDirectory`	*
RemoveIpRoutes	`ds:RemoveIpRoutes`	*
RemoveTagsFromResource	`ds:RemoveTagsFromResource` `ec2:DeleteTags`	*
ResetUserPassword	`ds:ResetUserPassword`	*
RestoreFromSnapshot	`ds:RestoreFromSnapshot`	*
ShareDirectory	`ds:ShareDirectory` `organizations:DescribeAccount` `organizations:DescribeOrganization` `organizations:ListAWSServiceAccessForOrganization`	*
StartSchemaExtension	`ds:StartSchemaExtension`	*
UnshareDirectory	`ds:UnshareDirectory`	*
UpdateConditionalForwarder	`ds:UpdateConditionalForwarder`	*
UpdateNumberOfDomainControllers	`ds:UpdateNumberOfDomainControllers` `ec2:DescribeSubnets` `ec2:DescribeVpcs` `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:DeleteNetworkInterface`	*
UpdateRadius	`ds:UpdateRadius`	*
UpdateTrust	`ds:UpdateTrust`	*
VerifyTrust	`ds:VerifyTrust`	*

AWS Directory Service Data APIとアクションに必要なアクセス許可

注記

アクションを指定するには、ds-data:プレフィックスに続けてAPIオペレーションの名前 (例: ds-data:AddGroupMember) を使用します。

Directory Service データAPIオペレーション	必要なアクセス許可 (API アクション）	リソース
AddGroupMember	`ds-data:AddGroupMember`	*
CreateGroup	`ds-data:CreateGroup`	*
CreateUser	`ds-data:CreateUser`	*
DeleteGroup	`ds-data:DeleteGroup`	*
DeleteUser	`ds-data:DeleteUser`	*
DescribeGroup	`ds-data:DescribeGroup`	*
DescribeUser	`ds-data:DescribeUser`	*
DisableUser	`ds-data:DisableUser`	*
ListGroupMembers	`ds-data:ListGroupMembers`	*
ListGroupsForMember	`ds-data:ListGroupsForMember`	*
ListUsers	`ds-data:ListUsers`	*
RemoveGroupMember	`ds-data:RemoveGroupMember`	*
SearchGroups	`ds-data:DescribeGroup` `ds-data:SearchGroups`	*
SearchUsers	`ds-data:DescribeUser` `ds-data:SearchUsers`	*
UpdateGroup	`ds-data:UpdateGroup`	*
UpdateUser	`ds-data:UpdateUser`	*

AWS Directory Service API アクセス許可: アクション、リソース、および条件リファレンス

AWS Directory Service API および アクションに必要なアクセス許可

AWS Directory Service Data APIとアクションに必要なアクセス許可

注記

関連トピック

AWS Directory Service API およびアクションに必要なアクセス許可