AWS Directory Service API 権限:アクション、リソース、条件リファレンス

アクセスコントロール をセットアップし、IAM ID (ID ベースのポリシー) にアタッチできるアクセス許可ポリシーを作成する際、AWS Directory Service API 権限:アクション、リソース、条件リファレンス の表をリファレンスとして使用できます。テーブル内の各 API エントリには以下が含まれます。

• AWS Directory Service API オペレーションの名前

• アクションを実行するためのアクセス許可を付与できる、対応するアクション

• AWS 権限を付与できるリソース。

ポリシーの Action フィールドでアクションを指定し、ポリシーの Resource フィールドでリソースの値を指定します。アクションを指定するには、API オペレーション名 (ds:CreateDirectory など) の前に ds: プレフィックスを使用します。 AWS アプリケーションによってはds:AuthorizeApplication、、、ds:CheckAliasds:CreateIdentityPoolDirectoryds:UpdateAuthorizedApplication、などの非公開 AWS Directory Service API オペレーションをポリシーで使用する必要がある場合があります。ds:UnauthorizeApplication

AWS Directory Service API の中には、を通してしか呼び出せないものもあります。 AWS Management Consoleこれらはプログラムで呼び出すことができないという意味ではパブリック API ではなく、どの SDK からも提供されていません。このサーバーにはユーザー認証情報が必要です。これらの API オペレーションにはds:DisableRoleAccess、ds:EnableRoleAccess、およびが含まれますds:UpdateDirectory。

AWS AWS Directory Service ポリシーではグローバル条件キーを使用して条件を表現できます。 AWS キーの全リストについては、IAM ユーザーガイドの「使用可能なグローバル条件キー」を参照してください。

AWS Directory Service API とアクションに必要な権限
AWS Directory Service API オペレーション	必要な許可 (API アクション)	リソース
AcceptSharedDirectory	ds:AcceptSharedDirectory	*
AddIpRoutes	ds:AddIpRoutes ec2:DescribeSecurityGroup ec2:AuthorizeSecurityGroupIngress ec2:AuthorizeSecurityGroupEgress	*
AddTagsToResource	ds:AddTagsToResource ec2:CreateTags	*
CancelSchemaExtension	ds:CancelSchemaExtension	*
ConnectDirectory	ds:ConnectDirectory ec2:DescribeSubnets ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:CreateNetworkInterface ec2:DescribeNetworkInterfaces ec2:AuthorizeSecurityGroupIngress ec2:AuthorizeSecurityGroupEgress ec2:CreateTags	*
CreateAlias	ds:CreateAlias	*
CreateComputer	ds:CreateComputer	*
CreateConditionalForwarder	ds:CreateConditionalForwarder	*
CreateDirectory	ds:CreateDirectory ec2:DescribeSubnets ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:CreateNetworkInterface ec2:DescribeNetworkInterfaces ec2:AuthorizeSecurityGroupIngress ec2:AuthorizeSecurityGroupEgress ec2:CreateTags	*
CreateLogSubscription	ds:CreateLogSubscription	*
CreateMicrosoft広告	ds:CreateMicrosoftAD ec2:DescribeSubnets ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:CreateNetworkInterface ec2:DescribeNetworkInterfaces ec2:AuthorizeSecurityGroupIngress ec2:AuthorizeSecurityGroupEgress ec2:RevokeSecurityGroupEgress ec2:CreateTags	*
CreateSnapshot	ds:CreateSnapshot	*
CreateTrust	ds:CreateTrust	*
DeleteConditionalForwarder	ds:DeleteConditionalForwarder	*
DeleteDirectory	ds:DeleteDirectory ec2:DescribeNetworkInterfaces ec2:DeleteSecurityGroup ec2:DeleteNetworkInterface ec2:RevokeSecurityGroupIngress ec2:RevokeSecurityGroupEgress ec2:DeleteTags	*
DeleteLogSubscription	ds:DeleteLogSubscription	*
DeleteSnapshot	ds:DeleteSnapshot	*
DeleteTrust	ds:DeleteTrust	*
DeregisterEventTopic	ds:DeregisterEventTopic	*
DescribeConditionalForwarders	ds:DescribeConditionalForwarders	*
DescribeDirectories	ds:DescribeDirectories	*
DescribeDomainControllers	ds:DescribeDomainControllers	*
DescribeEventTopics	ds:DescribeEventTopics	*
DescribeSharedDirectories	ds:DescribeSharedDirectories	*
DescribeSnapshots	ds:DescribeSnapshots	*
DescribeTrusts	ds:DescribeTrusts	*
DisableRadius	ds:DisableRadius	*
DisableSso	ds:DisableSso	*
EnableRadius	ds:EnableRadius	*
EnableSso	ds:EnableSso	*
GetDirectoryLimits	ds:GetDirectoryLimits	*
GetSnapshotLimits	ds:GetSnapshotLimits	*
ListIpRoutes	ds:ListIpRoutes	*
ListLogSubscriptions	ds:ListLogSubscriptions	*
ListSchemaExtensions	ds:ListSchemaExtensions	*
ListTagsForResource	ds:ListTagsForResource	*
RegisterEventTopic	ds:RegisterEventTopic sns:GetTopicAttributes	*
RejectSharedDirectory	ds:RejectSharedDirectory	*
RemoveIpRoutes	ds:RemoveIpRoutes	*
RemoveTagsFromResource	ds:RemoveTagsFromResource ec2:DeleteTags	*
ResetUserPassword	ds:ResetUserPassword	*
RestoreFromSnapshot	ds:RestoreFromSnapshot	*
ShareDirectory	ds:ShareDirectory organizations:DescribeAccount organizations:DescribeOrganization organizations:ListAWSServiceAccessForOrganization	*
StartSchemaExtension	ds:StartSchemaExtension	*
UnshareDirectory	ds:UnshareDirectory	*
UpdateConditionalForwarder	ds:UpdateConditionalForwarder	*
UpdateNumberOfDomainControllers	ds:UpdateNumberOfDomainControllers ec2:DescribeSubnets ec2:DescribeVpcs ec2:CreateNetworkInterface ec2:DescribeNetworkInterfaces ec2:DeleteNetworkInterface	*
UpdateRadius	ds:UpdateRadius	*
UpdateTrust	ds:UpdateTrust	*
VerifyTrust	ds:VerifyTrust	*

関連トピック

• アクセスコントロール