As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Directory Service Permissões de API: referência de ações, recursos e condições
Ao configurar o Controle de acesso e escrever políticas de permissões que podem ser anexadas a uma identidade do IAM (políticas baseadas em identidade), você pode usar a tabela Directory Service Permissões de API: referência de ações, recursos e condições como referência. Cada entrada de API na tabela inclui o seguinte:
-
O nome de cada operação da API
-
A ação ou ações correspondentes de cada operação da API nas quais você pode conceder permissões para executar a ação
-
O AWS recurso no qual você pode conceder as permissões
Especifique as ações no campo Action da política e o valor do recurso no campo Resource da política. Para especificar uma ação, use o prefixo ds: seguido do nome da operação da API (por exemplo, ds:CreateDirectory). Alguns AWS aplicativos podem exigir o uso de operações de Directory Service API não públicasds:AuthorizeApplication, comods:CheckAlias,ds:CreateIdentityPoolDirectory,ds:GetAuthorizedApplicationDetails,ds:UpdateAuthorizedApplication, e ds:UnauthorizeApplication em suas políticas.
Algumas Directory Service APIs só podem ser chamadas por meio do Console de gerenciamento da AWS. Elas não são APIs públicas, no sentido de que não podem ser chamadas programaticamente e não são fornecidas por nenhum SDK. Eles aceitam credenciais de usuário. Essas operações de API incluem ds:DisableRoleAccess, ds:EnableRoleAccess e ds:UpdateDirectory.
Você pode usar chaves de condição AWS globais em suas políticas Directory Service e nas políticas do Directory Service Data para expressar condições. Para obter uma lista completa das AWS chaves, consulte Chaves de condição globais disponíveis no Guia do usuário do IAM.
Directory Service API e permissões necessárias para ações
AWS API de dados do Directory Service e permissões necessárias para ações
nota
Para especificar uma ação, use o prefixo ds-data: seguido do nome da operação da API (por exemplo, ds-data:AddGroupMember).
| Operações da API do Directory Service Data | Permissões obrigatórias (ações de API): | Recursos |
|---|---|---|
| AddGroupMember |
|
* |
| CreateGroup |
|
* |
| CreateUser |
|
* |
| DeleteGroup |
|
* |
| DeleteUser |
|
* |
| DescribeGroup |
|
* |
| DescribeUser |
|
* |
| DisableUser |
|
* |
| ListGroups |
|
* |
| ListGroupMembers |
|
* |
| ListGroupsForMember |
|
* |
| ListUsers |
|
* |
| RemoveGroupMember |
|
* |
| SearchGroups |
|
* |
| SearchUsers |
|
* |
| UpdateGroup |
|
* |
| UpdateUser |
|
* |