를 사용하여 AWS 애플리케이션 및 서비스에 대한 권한 부여 AWS Directory Service - AWS Directory Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

를 사용하여 AWS 애플리케이션 및 서비스에 대한 권한 부여 AWS Directory Service

이 주제에서는 AWS Directory Service 및 AWS 디렉터리 서비스 데이터를 사용한 AWS 애플리케이션 및 서비스에 대한 권한 부여에 대해 설명합니다.

Active Directory에서 AWS 애플리케이션 권한 부여

AWS Directory Service 는 애플리케이션을 승인할 때 선택한 AWS 애플리케이션이 Active Directory와 원활하게 통합될 수 있도록 특정 권한을 부여합니다. AWS 애플리케이션에는 특정 사용 사례에 필요한 액세스 권한만 부여됩니다. 다음은 권한 부여 후 애플리케이션 및 애플리케이션 관리자에게 부여된 내부 권한 세트입니다.

참고

Active Directory에 대한 새 AWS 애플리케이션을 승인하려면 ds:AuthorizationApplication 권한이 필요합니다. 이 작업에 대한 권한은 Directory Service와의 통합을 구성하는 관리자에게만 제공되어야 합니다.

  • AWS 관리형 Microsoft AD, Simple AD, AD Connector 디렉터리의 모든 조직 단위(OU)의 Active Directory 사용자, 그룹, 조직 단위, 컴퓨터 또는 인증 기관 데이터와 신뢰 관계에서 허용하는 경우 관리 AWS 형 Microsoft AD의 신뢰할 수 있는 도메인에 대한 읽기 액세스 권한.

  • AWS Managed Microsoft AD의 조직 단위에서 사용자, 그룹, 그룹 멤버십, 컴퓨터 또는 인증 기관 데이터에 대한 쓰기 액세스 권한. Simple AD의 모든 OU에 대한 쓰기 권한.

  • 모든 디렉터리 유형에 대한 Active Directory 사용자의 인증 및 세션 관리.

Amazon RDS 및 Amazon과 같은 특정 AWS 관리형 Microsoft AD 애플리케이션은 Active Directory에 대한 직접 네트워크 연결을 통해 FSx 통합됩니다. 이 경우 디렉터리 상호 작용은 LDAP 및 Kerberos와 같은 기본 Active Directory 프로토콜을 사용합니다. 이러한 AWS 애플리케이션의 권한은 애플리케이션 권한 부여 중에 AWS 예약 조직 단위(OU)에서 생성된 디렉터리 사용자 계정으로 제어되며, 여기에는 애플리케이션에 대해 생성된 사용자 지정 OU에 대한 DNS 관리 및 전체 액세스가 포함됩니다. 이 계정을 사용하려면 애플리케이션에 발신자 자격 증명 또는 IAM 역할을 통해 ds:GetAuthorizedApplicationDetails 작업을 수행할 수 있는 권한이 필요합니다.

권한에 대한 AWS Directory Service API 자세한 내용은 섹션을 참조하세요AWS Directory Service API 권한: 작업, 리소스 및 조건 참조.

AWS Managed Microsoft AD에 대한 AWS 애플리케이션 및 서비스 활성화에 대한 자세한 내용은 섹션을 참조하세요AWS Managed Microsoft AD에서 AWS 애플리케이션 및 서비스에 액세스. Simple AD에 대한 AWS 애플리케이션 및 서비스 활성화에 대한 자세한 내용은 섹션을 참조하세요Simple AD에서 AWS 애플리케이션 및 서비스에 액세스. AD Connector용 AWS 애플리케이션 및 서비스 활성화에 대한 자세한 내용은 섹션을 참조하세요AD Connector에서 AWS 애플리케이션 및 서비스에 액세스.

Active Directory에서 AWS 애플리케이션 권한 취소

AWS 애플리케이션이 Active Directory에 액세스할 수 있는 권한을 제거하려면 ds:UnauthorizedApplication 권한이 필요합니다. 애플리케이션이 제공하는 절차에 따라 비활성화합니다.

AWS 디렉터리 서비스 데이터를 사용한 애플리케이션 권한 부여

AWS 관리형 Microsoft AD 디렉터리의 경우 디렉터리 서비스 데이터(ds-data)는 사용자 및 그룹 관리 작업에 프로그래밍 방식으로 액세스할 수 있는 권한을 API 제공합니다. AWS 애플리케이션의 권한 부여 모델은 Directory Service Data의 액세스 제어와는 별개입니다. 즉, Directory Service Data 작업에 대한 액세스 정책은 AWS 애플리케이션에 대한 권한 부여에 영향을 주지 않습니다. ds-data의 디렉터리에 대한 액세스를 거부해도 AWS 애플리케이션 통합 또는 AWS 애플리케이션 사용 사례는 중단되지 않습니다.

AWS 애플리케이션을 승인하는 AWS Managed Microsoft AD 디렉터리에 대한 액세스 정책을 작성할 때는 승인된 AWS 애플리케이션 또는 디렉터리 서비스 데이터 를 호출하여 사용자 및 그룹 기능을 사용할 수 있다는 점에 유의하세요API. Amazon WorkDocs, Amazon WorkMail, Amazon WorkSpaces, Amazon , Amazon QuickSight, Amazon Chime 모두 에서 사용자 및 그룹 관리 작업을 제공합니다APIs. IAM 정책을 사용하여 이 AWS 애플리케이션 기능에 대한 액세스를 제어합니다.

예시

다음 조각은 Amazon 및 Amazon과 같은 AWS 애플리케이션이 디렉터리에서 승인 WorkMail될 때 DeleteUser 기능을 거부하는 올바르지 WorkDocs 않고 올바른 방법을 보여줍니다.

오답

{ "Version": "2012-10-17", "Statement": [{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": [ "ds-data:DeleteUser" ], "Resource": "*" } ] }

정답

{ "Version": "2012-10-17", "Statement": [{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": [ "ds-data:DeleteUser", "workmail:DeleteUser", "workdocs:DeleteUser" ], "Resource": "*" } ] }