本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
授權使用的 AWS 應用程式和服務 AWS Directory Service
授權作用中目 AWS 錄上的應用程式
AWS Directory Service 授予所選應用程式的特定權限,以便在您授權應用 AWS 程式時與 Active Directory 無縫整合。 AWS 應用程式僅授與其使用案例所需的存取權。下面提供了授權後授予應用程式和應用程式管理員的內部許可集:
注意
需要ds:AuthorizationApplication權限才能授權新的 AWS 應用程序活動目錄。僅應向設定目錄服務整合的管理員提供此動作的許可。
讀取存取 Active Directory 使用者、群組、組織單位、電腦或憑證授權單位資料的受管理 Microsoft AD、Simple AD AD、AD 連接器目錄,以及 AWS 受管理 Microsoft AD 的受信任網域 (如果 AWS 受信任關係允許) 的所有組織單位 (OU) 中的資料。
寫入使用者、群組、群組成員資格、電腦或憑證授權單位資料的存取權限 ( AWS Managed Microsoft AD) 的組織單位中。對 Simple AD 的所有 OU 具有的寫入權限。
所有目錄類型 Active Directory 使用者的驗證和工作階段管理。
某些 AWS 受管 Microsoft AD 應用程序,如 Amazon RDS 和 FSx Amazon 通過直接網絡連接到您的活動目錄集成。在此情況下,目錄互動會使用原生的作用中目錄通訊協定,例如LDAP和 Kerberos。這些 AWS 應用程式的權限是由在應用程式授權期間在 AWS 保留組織單位 (OU) 中建立的目錄使用者帳戶所控制,其中包括DNS管理和對為應用程式建立之自訂 OU 的完整存取權。為了使用此帳戶,應用程序需要通過調用者憑據或IAM角色ds:GetAuthorizedApplicationDetails執行操作的權限。
如需有關 AWS Directory Service API權限的詳細資訊,請參閱AWS Directory Service API權限:動作、資源和條件參考。
如需針對 AWS 受管理的 Microsoft AD 啟 AWS 用應用程式和服務的詳細資訊,請參閱啟用對應用 AWS 程式和服務的存取。如需啟 AWS 用 AD Connector 之應用程式和服務的詳細資訊,請參閱啟用對應用 AWS 程式和服務的存取。如需啟 AWS 用 Simple AD 應用程式和服務的詳細資訊,請參閱啟用對應用 AWS 程式和服務的存取。
取消授權作用中目錄上的 AWS 應用程式
若要移除 AWS 應用程式存取 Active Directory 的權限,需要該ds:UnauthorizedApplication權限。按照應用程式提供的步驟將其停用。
