を使用した AWS アプリケーションとサービスの承認 AWS Directory Service - AWS Directory Service
Active Directory での AWS アプリケーションの認可 AWS Directory Service Data によるアプリケーション認可

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用した AWS アプリケーションとサービスの承認 AWS Directory Service

このトピックでは、 および AWS Directory Service Data を使用する AWS アプリケーション AWS Directory Service とサービスの認可について説明します。

Active Directory での AWS アプリケーションの認可

AWS Directory Service は、選択したアプリケーションに、 AWS アプリケーションを認可するときに Active Directory とシームレスに統合するための特定のアクセス許可を付与します。 AWS アプリケーションには、特定のユースケースに必要なアクセス許可のみが付与されます。承認後にアプリケーションとアプリケーション管理者に付与される内部アクセス許可のセットは次のとおりです:

注記

Active Directory の新しい AWS アプリケーションを認可するには、 アクセスds:AuthorizationApplication許可が必要です。このアクションを実行するアクセス許可は、ディレクトリサービスとの統合を設定する管理者にのみ提供してください。

  • AWS Managed Microsoft AD、Simple AD、AD Connector ディレクトリのすべての組織単位 (OU) 内の Active Directory ユーザー、グループ、組織単位、コンピュータ、または認証機関のデータへの読み取りアクセス、および信頼関係で許可されている場合は AWS Managed Microsoft AD の信頼されたドメインへの読み取りアクセス。

  • AWS Managed Microsoft AD の組織単位のユーザー、グループ、グループメンバーシップ、コンピュータ、または認証機関データへの書き込みアクセス。Simple AD のすべての OU への書き込みアクセス。

  • すべてのディレクトリタイプの Active Directory ユーザーの認証とセッション管理。

Amazon RDS や Amazon FSx などの特定の AWS Managed Microsoft AD アプリケーションは、Active Directory への直接ネットワーク接続を介して統合されます。この場合、ディレクトリインタラクションには LDAP や Kerberos などのネイティブの Active Directory プロトコルが使用されます。これらの AWS アプリケーションのアクセス許可は、アプリケーション認可中に AWS リザーブド組織単位 (OU) で作成されたディレクトリユーザーアカウントによって制御されます。これには、DNS 管理と、アプリケーション用に作成されたカスタム OU へのフルアクセスが含まれます。このアカウントを使用するには、アプリケーションに呼び出し元の認証情報または IAM ロールを介した ds:GetAuthorizedApplicationDetails アクションへのアクセス許可が必要です。

AWS Directory Service API アクセス許可の詳細については、「」を参照してくださいAWS Directory Service API アクセス許可: アクション、リソース、および条件リファレンス

AWS Managed Microsoft AD の AWS アプリケーションとサービスの有効化の詳細については、「」を参照してくださいAWS Managed Microsoft AD からの AWS アプリケーションとサービスアクセス許可。Simple AD の AWS アプリケーションとサービスの有効化の詳細については、「」を参照してくださいSimple AD から AWS アプリケーションとサービスへのアクセス。AD Connector の AWS アプリケーションとサービスを有効にする方法については、「」を参照してくださいAD Connector からの AWS アプリケーションとサービスへのアクセス

Active Directory での AWS アプリケーションの認証解除

AWS アプリケーションが Active Directory にアクセスするためのds:UnauthorizedApplicationアクセス許可を削除するには、 アクセス許可が必要です。アプリケーションに表示される指示に従ってそれを無効化します。

AWS Directory Service Data によるアプリケーション認可

AWS Managed Microsoft AD ディレクトリの場合、Directory Service Data (ds-data) API は、ユーザーとグループの管理タスクへのプログラムによるアクセスを提供します。 AWS アプリケーションの認可モデルは、Directory Service Data のアクセスコントロールとは別のものです。つまり、Directory Service Data アクションのアクセスポリシーは、 AWS アプリケーションの認可には影響しません。ds-data のディレクトリへのアクセスを拒否しても、 AWS アプリケーション統合や AWS アプリケーションのユースケースが中断されることはありません。

AWS アプリケーションを許可する AWS Managed Microsoft AD ディレクトリのアクセスポリシーを記述するときは、承認された AWS アプリケーションまたは Directory Service Data API を呼び出すことで、ユーザーとグループの機能が利用可能になる可能性があることに注意してください。Amazon WorkDocs、Amazon WorkMail、Amazon WorkSpaces、Amazon QuickSight、および Amazon Chime はすべて API でユーザーとグループの管理アクションを提供します。IAM ポリシーを使用して、この AWS アプリケーション機能へのアクセスを制御します。

次のスニペットは、Amazon WorkDocs や Amazon WorkMail などの AWS アプリケーションがディレクトリで承認されている場合に、正しくない方法でDeleteUser機能を拒否する方法を示しています。

正確ではない 

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ds-data:DeleteUser"
            ],
            "Resource": "*"
        }
    ]
}

正確 

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ds-data:DeleteUser",
                "workmail:DeleteUser",
                "workdocs:DeleteUser"
            ],
            "Resource": "*"
        }
    ]
}