As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ações, recursos e chaves de condição para AWS Directory Service
AWS O Directory Service (prefixo do serviço:ds) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso em IAM políticas de permissão.
Referências:
-
Saiba como configurar este serviço.
-
Veja uma lista das APIoperações disponíveis para esse serviço.
-
Saiba como proteger esse serviço e seus recursos usando políticas de IAM permissão.
Tópicos
Ações definidas por AWS Directory Service
Você pode especificar as seguintes ações no Action elemento de uma declaração de IAM política. Use políticas para conceder permissões para realizar uma operação no AWS. Quando você usa uma ação em uma política, geralmente permite ou nega acesso à API operação ou ao CLI comando com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.
A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o Resource elemento em uma IAM política, deverá incluir um padrão ARN ou para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.
A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.
nota
As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.
Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.
| Ações | Descrição | Nível de acesso | Tipos de recursos (*necessários) | Chaves de condição | Ações dependentes |
|---|---|---|---|---|---|
| AcceptSharedDirectory | Concede permissão para aceitar uma solicitação de compartilhamento de diretório enviada da conta do proprietário do diretório | Escrever | |||
| AccessDSData [somente permissão] | Concede permissão para acessar dados do diretório usando o Directory Service Data API | Gerenciamento de permissões | |||
| AddIpRoutes | Concede permissão para adicionar um bloco de CIDR endereço para rotear corretamente o tráfego de e para seu Microsoft AD na Amazon Web Services | Escrever |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:DescribeSecurityGroups |
||
| AddRegion | Concede permissão para adicionar ao diretório selecionado dois controladores de domínio na região especificada para o diretório especificado | Escrever |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| AddTagsToResource | Concede permissão para adicionar ou substituir uma ou mais etiquetas do diretório especificado do Amazon Directory Services | Tags |
ec2:CreateTags |
||
| AuthorizeApplication [somente permissão] | Concede permissão para autorizar uma inscrição para seu AWS Diretório | Escrever | |||
| CancelSchemaExtension | Concede permissão para cancelar uma extensão de esquema em andamento para um diretório do Microsoft AD | Escrever | |||
| CheckAlias [somente permissão] | Concede permissão para verificar se o alias está disponível para uso | Leitura | |||
| ConnectDirectory | Concede permissão para criar um AD Connector para se conectar a um diretório on-premises | Escrever |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateAlias | Concede permissão para criar um alias para um diretório e atribuí-lo ao diretório | Escrever | |||
| CreateComputer | Concede permissão para criar uma conta de computador no diretório especificado e ingressa o computador no diretório | Escrever | |||
| CreateConditionalForwarder | Concede permissão para criar um encaminhador condicional associado ao seu AWS directory | Escrever | |||
| CreateDirectory | Concede permissão para criar um diretório Simple AD | Escrever |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateIdentityPoolDirectory [somente permissão] | Concede permissão para criar um IdentityPool diretório no AWS nuvem | Escrever | |||
| CreateLogSubscription | Concede permissão para criar uma assinatura para encaminhar registros de segurança do controlador de domínio do Directory Service em tempo real para o grupo de CloudWatch registros especificado em seu Conta da AWS | Escrever | |||
| CreateMicrosoftAD | Concede permissão para criar um Microsoft AD no AWS nuvem | Escrever |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateSnapshot | Concede permissão para criar um instantâneo de um diretório Simple AD ou Microsoft AD no AWS nuvem | Escrever | |||
| CreateTrust | Concede permissão para iniciar a criação do AWS lado de uma relação de confiança entre um Microsoft AD no AWS nuvem e um domínio externo | Escrever | |||
| DeleteConditionalForwarder | Concede permissão para excluir um encaminhador condicional que foi configurado para seu AWS directory | Escrever | |||
| DeleteDirectory | Concede permissão para excluir um AWS Diretório do Directory Service | Escrever |
ec2:DeleteNetworkInterface ec2:DeleteSecurityGroup ec2:DescribeNetworkInterfaces ec2:RevokeSecurityGroupEgress ec2:RevokeSecurityGroupIngress |
||
| DeleteLogSubscription | Concede permissão para excluir a assinatura de Log especificada | Escrever | |||
| DeleteSnapshot | Concede permissão para excluir um diretório snapshot | Escrever | |||
| DeleteTrust | Concede permissão para excluir uma relação de confiança existente entre seu Microsoft AD no AWS nuvem e um domínio externo | Escrever | |||
| DeregisterCertificate | Concede permissão para excluir do sistema o certificado que foi registrado para uma LDAP conexão segura | Escrever | |||
| DeregisterEventTopic | Concede permissão para remover o diretório especificado como editor do SNS tópico especificado | Escrever | |||
| DescribeCertificate | Concede permissão para exibir informações sobre o certificado registrado para uma LDAP conexão segura | Leitura | |||
| DescribeClientAuthenticationSettings | Concede permissão para recuperar informações sobre o tipo de autenticação de cliente para o diretório especificado, se o tipo for especificado. Se nenhum tipo for especificado, as informações sobre todos os tipos de autenticação do cliente compatíveis com o diretório especificado serão recuperadas. Atualmente, somente SmartCard é suportado | Leitura | |||
| DescribeConditionalForwarders | Concede permissão para obter informações sobre os encaminhadores condicionais dessa conta | Leitura | |||
| DescribeDirectories | Concede permissão para obter informações sobre os diretórios que pertencem a essa conta | Listar | |||
| DescribeDirectoryDataAccess | Concede permissão para descrever o API status dos Dados do Directory Service para o diretório especificado | Leitura | |||
| DescribeDomainControllers | Concede permissão para fornecer informações sobre todos os controladores de domínio em seu diretório | Leitura | |||
| DescribeEventTopics | Concede permissão para obter informações sobre quais SNS tópicos recebem mensagens de status do diretório especificado | Leitura | |||
| DescribeLDAPSSettings | Concede permissão para descrever o status de LDAP segurança do diretório especificado | Leitura | |||
| DescribeRegions | Concede permissão para fornecer informações sobre as regiões configuradas para replicação multirregional | Leitura | |||
| DescribeSettings | Concede permissão para recuperar informações sobre as configurações ajustáveis para o diretório especificado | Leitura | |||
| DescribeSharedDirectories | Concede permissão para devolver os diretórios compartilhados em sua conta | Leitura | |||
| DescribeSnapshots | Concede permissão para obter informações sobre os snapshots de diretório que pertencem a essa conta | Leitura | |||
| DescribeTrusts | Concede permissão para obter informações sobre as relações de confiança dessa conta | Leitura | |||
| DescribeUpdateDirectory | Concede permissão para descrever as atualizações de um diretório para um determinado tipo de atualização | Leitura | |||
| DisableClientAuthentication | Concede permissão para desabilitar métodos alternativos de autenticação de clientes do diretório especificado | Escrever | |||
| DisableDirectoryDataAccess | Concede permissão para desativar os Dados do Directory Service API para o diretório especificado | Escrever | |||
| DisableLDAPS | Concede permissão para desativar chamadas LDAP seguras para o diretório especificado | Escrever | |||
| DisableRadius | Concede permissão para desativar a autenticação multifator (MFA) com o servidor Remote Authentication Dial In User Service (RADIUS) para um diretório AD Connector | Escrever | |||
| DisableRoleAccess [somente permissão] | Concede permissão para desativar AWS Management Console acesso para identidade em seu AWS Diretório | Escrever | |||
| DisableSso | Concede permissão para desabilitar o Single Sign-On para um diretório | Escrever | |||
| EnableClientAuthentication | Concede permissão para habilitar métodos alternativos de autenticação de clientes do diretório especificado | Escrever | |||
| EnableDirectoryDataAccess | Concede permissão para habilitar os Dados do Directory Service API para o diretório especificado | Escrever | |||
| EnableLDAPS | Concede permissão para ativar o switch do diretório específico para sempre usar chamadas LDAP seguras | Escrever | |||
| EnableRadius | Concede permissão para habilitar a autenticação multifator (MFA) com o servidor Remote Authentication Dial In User Service (RADIUS) para um diretório AD Connector | Escrever | |||
| EnableRoleAccess [somente permissão] | Concede permissão para habilitar AWS Management Console acesso para identidade em seu AWS Diretório | Escrever |
iam:PassRole |
||
| EnableSso | Concede permissão para habilitar o single sign-on para um diretório | Escrever | |||
| GetAuthorizedApplicationDetails [somente permissão] | Concede permissão para recuperar as informações das aplicações autorizadas em um diretório | Leitura | |||
| GetDirectoryLimits | Concede permissão para obter informações sobre limites de diretório para a região atual | Leitura | |||
| GetSnapshotLimits | Concede permissão para obter os limites do snapshot manual de um diretório | Leitura | |||
| ListAuthorizedApplications [somente permissão] | Concede permissão para obter o AWS aplicativos autorizados para um diretório | Leitura | |||
| ListCertificates | Concede permissão para listar todos os certificados registrados para uma LDAP conexão segura, para o diretório especificado | Listar | |||
| ListIpRoutes | Concede permissão para listar os blocos de endereços que você adicionou a um diretório | Leitura | |||
| ListLogSubscriptions | Concede permissão para listar as assinaturas de registro ativas do Conta da AWS | Leitura | |||
| ListSchemaExtensions | Concede permissão para listar todas as extensões de esquema aplicadas a um diretório do Microsoft AD | Listar | |||
| ListTagsForResource | Concede permissão para listar todas as etiquetas em um diretório do Amazon Directory Services | Leitura | |||
| RegisterCertificate | Concede permissão para registrar um certificado para LDAP conexão segura | Escrever | |||
| RegisterEventTopic | Concede permissão para associar um diretório a um SNS tópico | Escrever |
sns:GetTopicAttributes |
||
| RejectSharedDirectory | Concede permissão para rejeitar uma solicitação de compartilhamento de diretório enviada da conta do proprietário do diretório | Escrever | |||
| RemoveIpRoutes | Concede permissão para remover blocos de endereço IP de um diretório | Escrever | |||
| RemoveRegion | Concede permissão para interromper toda a replicação e remover os controladores de domínio da região especificada. Não é possível remover a região principal com essa operação | Escrever | |||
| RemoveTagsFromResource | Concede permissão para remover as etiquetas de um diretório do Amazon Directory Services | Tags |
ec2:DeleteTags |
||
| ResetUserPassword | Concede permissão para redefinir a senha de qualquer usuário em seu AWS Diretório gerenciado do Microsoft AD ou Simple AD | Escrever | |||
| RestoreFromSnapshot | Concede permissão para restaurar um diretório usando um snapshot existente do diretório | Escrever | |||
| ShareDirectory | Concede permissão para compartilhar um diretório específico em seu Conta da AWS (proprietário do diretório) com outro Conta da AWS (consumidor do diretório). Com esta operação, você pode usar seu diretório a partir de qualquer Conta da AWS e de qualquer Amazon VPC dentro de um Região da AWS | Escrever | |||
| StartSchemaExtension | Concede permissão para aplicar uma extensão de esquema a um diretório do Microsoft AD | Escrever | |||
| UnauthorizeApplication [somente permissão] | Concede permissão para não autorizar um aplicativo do seu AWS Diretório | Escrever | |||
| UnshareDirectory | Concede a permissão de interromper o compartilhamento de diretório entre as contas proprietárias e consumidoras do diretório | Escrever | |||
| UpdateAuthorizedApplication [somente permissão] | Concede permissão para atualizar um aplicativo autorizado para seu AWS Diretório | Escrever | |||
| UpdateConditionalForwarder | Concede permissão para atualizar um encaminhador condicional que foi configurado para seu AWS directory | Escrever | |||
| UpdateDirectory [somente permissão] | Concede permissão para atualizar as configurações, como credenciais da conta de serviço ou endereços IP DNS do servidor, para o diretório especificado | Escrever | |||
| UpdateDirectorySetup | Concede permissão para atualizar o diretório para um tipo de atualização específico | Escrever | |||
| UpdateNumberOfDomainControllers | Concede a permissão de adicionar ou remover os controladores de domínio de ou para o diretório. Com base na diferença entre o valor atual e o novo valor (fornecida por meio dessa API chamada), os controladores de domínio serão adicionados ou removidos. Pode levar até 45 minutos para que qualquer novo controlador de domínio se torne totalmente ativo depois que o número solicitado de controladores de domínio for atualizado. Durante esse período, não é possível fazer outra solicitação de atualização | Escrever | |||
| UpdateRadius | Concede permissão para atualizar as informações do servidor Remote Authentication Dial In User Service (RADIUS) para um diretório AD Connector | Escrever | |||
| UpdateSettings | Concede permissão para atualizar as configurações ajustáveis para o diretório especificado | Escrever | |||
| UpdateTrust | Concede permissão para atualizar a relação de confiança que foi configurada entre seus AWS Diretório gerenciado do Microsoft AD e um Active Directory local | Escrever | |||
| VerifyTrust | Concede permissão para verificar uma relação de confiança entre seu Microsoft AD no AWS nuvem e um domínio externo | Leitura |
Tipos de recursos definidos por AWS Directory Service
Os tipos de recursos a seguir são definidos por esse serviço e podem ser usados no Resource elemento das declarações de política de IAM permissão. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.
| Tipos de recursos | ARN | Chaves de condição |
|---|---|---|
| directory |
arn:${Partition}:ds:${Region}:${Account}:directory/${DirectoryId}
|
Chaves de condição para AWS Directory Service
AWS O Directory Service define as seguintes chaves de condição que podem ser usadas no Condition elemento de uma IAM política. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.
Para ver as chaves de condição globais que estão disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.
| Chaves de condição | Descrição | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra o acesso pelo valor da solicitação para AWS ANÚNCIOS | String |
| aws:ResourceTag/${TagKey} | Filtra o acesso pelo AWS O recurso DS está sendo utilizado | String |
| aws:TagKeys | Filtra o acesso pelas chaves da etiqueta que são transmitidas na solicitação | ArrayOfString |
