を使用した AWS アプリケーションとサービスの認可 AWS Directory Service - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用した AWS アプリケーションとサービスの認可 AWS Directory Service

このトピックでは、 および AWS Directory Service Data を使用する AWS アプリケーション AWS Directory Service とサービスの認可について説明します。

Active Directory での AWS アプリケーションの認可

AWS Directory Service は、アプリケーションを承認するときに、選択した AWS アプリケーションに Active Directory とシームレスに統合するための特定のアクセス許可を付与します。 AWS アプリケーションには、特定のユースケースに必要なアクセスのみが許可されます。以下は、承認後にアプリケーションとアプリケーション管理者に付与される内部アクセス許可のセットです。

注記

Active Directory の新しい AWS アプリケーションを認可するには、 アクセスds:AuthorizationApplication許可が必要です。このアクションを実行するアクセス許可は、ディレクトリサービスとの統合を設定する管理者にのみ提供してください。

  • AWS Managed Microsoft AD、Simple AD、AD Connector ディレクトリのすべての組織単位 (OU) の Active Directory ユーザー、グループ、組織単位、コンピュータ、または認証機関のデータ、および信頼関係で許可されている Managed Microsoft AD AWS の信頼されたドメインへの読み取りアクセス。

  • AWS Managed Microsoft AD の組織単位のユーザー、グループ、グループメンバーシップ、コンピュータ、または認証機関データへの書き込みアクセス。Simple AD のすべての OU への書き込みアクセス。

  • すべてのディレクトリタイプの Active Directory ユーザーの認証とセッション管理。

Amazon RDSや Amazon などの特定の AWS Managed Microsoft AD アプリケーションは、Active Directory への直接ネットワーク接続を介してFSx統合されます。この場合、ディレクトリインタラクションは LDAP や Kerberos などのネイティブ Active Directory プロトコルを使用します。これらの AWS アプリケーションのアクセス許可は、アプリケーション認証中に AWS リザーブド組織単位 (OU) で作成されたディレクトリユーザーアカウントによって制御されます。これには、アプリケーション用に作成されたカスタム OU DNSの管理とフルアクセスが含まれます。このアカウントを使用するには、アプリケーションが発信者の認証情報またはIAMロールを介してds:GetAuthorizedApplicationDetailsアクションするためのアクセス許可が必要です。

アクセス許可の詳細については、 AWS Directory Service API「」を参照してくださいAWS Directory Service API アクセス許可: アクション、リソース、および条件リファレンス

AWS Managed Microsoft AD の AWS アプリケーションとサービスの有効化の詳細については、「」を参照してくださいAWS Managed Microsoft AD からの AWS アプリケーションとサービスへのアクセス。Simple AD の AWS アプリケーションとサービスの有効化の詳細については、「」を参照してくださいSimple AD からの AWS アプリケーションとサービスへのアクセス。AD Connector の AWS アプリケーションとサービスを有効にする方法については、「」を参照してくださいAD Connector からの AWS アプリケーションとサービスへのアクセス

Active Directory での AWS アプリケーションの認証解除

AWS アプリケーションが Active Directory にアクセスするためのds:UnauthorizedApplicationアクセス許可を削除するには、 アクセス許可が必要です。アプリケーションが提供する手順に従って無効にします。

AWS Directory Service Data を使用したアプリケーション認証

AWS Managed Microsoft AD ディレクトリの場合、ディレクトリサービスデータ (ds-data) APIは、ユーザーとグループの管理タスクへのプログラムによるアクセスを提供します。 AWS アプリケーションの認可モデルは、ディレクトリサービスデータのアクセスコントロールとは別です。つまり、ディレクトリサービスデータアクションのアクセスポリシーは、 AWS アプリケーションの認可には影響しません。ds-data 内のディレクトリへのアクセスを拒否しても、 AWS アプリケーション統合や AWS アプリケーションのユースケースが中断されることはありません。

AWS アプリケーションを承認する AWS Managed Microsoft AD ディレクトリのアクセスポリシーを作成するときは、承認された AWS アプリケーションまたはディレクトリサービスデータ を呼び出すことで、ユーザーおよびグループの機能が利用可能になる可能性があることに注意してくださいAPI。Amazon WorkDocs、Amazon WorkMail、Amazon WorkSpaces、Amazon QuickSight、Amazon Chime はすべて、ユーザーとグループの管理アクションを で提供しますAPIs。IAM ポリシーを使用して、この AWS アプリケーション機能へのアクセスを制御します。

次のスニペットは、Amazon や Amazon WorkDocs などの AWS アプリケーションが ディレクトリで認可された場合 WorkMailに、DeleteUser正しく正しく正しくない機能を拒否する方法を示しています。

正しくない

{ "Version": "2012-10-17", "Statement": [{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": [ "ds-data:DeleteUser" ], "Resource": "*" } ] }

正解

{ "Version": "2012-10-17", "Statement": [{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": [ "ds-data:DeleteUser", "workmail:DeleteUser", "workdocs:DeleteUser" ], "Resource": "*" } ] }