Autorisierung für AWS Anwendungen und Dienste mit AWS Directory Service - AWS Directory Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Autorisierung für AWS Anwendungen und Dienste mit AWS Directory Service

Autorisieren einer AWS Anwendung in einem Active Directory

AWS Directory Service gewährt den ausgewählten Anwendungen spezifische Berechtigungen, sodass sie sich nahtlos in Ihr Active Directory integrieren lassen, wenn Sie eine AWS Anwendung autorisieren. AWS Anwendungen erhalten nur den Zugriff, der für ihren Anwendungsfall erforderlich ist. Nachfolgend sind die internen Berechtigungen aufgeführt, die Anwendungen und Anwendungsadministratoren nach der Autorisierung gewährt werden:

Anmerkung

Die ds:AuthorizationApplication Genehmigung ist erforderlich, um eine neue AWS Anwendung in Active Directory zu autorisieren. Berechtigungen für diese Aktion sollten nur Administratoren gewährt werden, die Integrationen mit Directory Service konfigurieren.

  • Lesezugriff auf Active Directory-Benutzer-, Gruppen-, Organisationseinheiten-, Computer- oder Zertifizierungsstellendaten in allen Organisationseinheiten (OU) von AWS verwalteten Microsoft AD-, Simple AD- und AD Connector-Verzeichnissen sowie vertrauenswürdigen Domänen für AWS Managed Microsoft AD, sofern eine Vertrauensbeziehung dies zulässt.

  • Schreibzugriff auf Benutzer, Gruppen, Gruppenmitgliedschaften, Computer oder Zertifizierungsstellendaten in Ihrer Organisationseinheit von AWS Managed Microsoft AD. Schreibzugriff auf alle OUs von Simple AD.

  • Authentifizierung und Sitzungsverwaltung von Active-Directory-Benutzern für alle Verzeichnistypen.

Bestimmte AWS verwaltete Microsoft AD-Anwendungen wie Amazon RDS und Amazon FSx lassen sich über eine direkte Netzwerkverbindung in Ihr Active Directory integrieren. In diesem Fall verwenden die Verzeichnisinteraktionen native Active-Directory-Protokolle wie LDAP und Kerberos. Die Berechtigungen dieser AWS Anwendungen werden durch ein Verzeichnisbenutzerkonto gesteuert, das während der Anwendungsautorisierung in der AWS Reserved Organizational Unit (OU) erstellt wurde. Dazu gehören DNS-Verwaltung und Vollzugriff auf eine benutzerdefinierte OU, die für die Anwendung erstellt wurde. Um dieses Konto verwenden zu können, benötigt die Anwendung Berechtigungen für ds:GetAuthorizedApplicationDetails-Aktionen über die Anmeldeinformationen des Anrufers oder eine IAM-Rolle.

Weitere Informationen zu AWS Directory Service API-Berechtigungen finden Sie unterAWS Directory Service API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen.

Weitere Informationen zum Aktivieren von AWS Anwendungen und Diensten für AWS Managed Microsoft AD finden Sie unterErmöglichen Sie den Zugriff auf AWS Anwendungen und Dienste. Weitere Informationen zum Aktivieren von AWS Anwendungen und Diensten für AD Connector finden Sie unterAktivieren des Zugriffs auf AWS Anwendungen und Services. Weitere Informationen zum Aktivieren von AWS Anwendungen und Diensten für Simple AD finden Sie unterAktivieren des Zugriffs auf AWS Anwendungen und Services.

Deautorisierung einer AWS Anwendung in einem Active Directory

Um einer AWS Anwendung die Zugriffsberechtigungen für das Active Directory zu entziehen, ist die ds:UnauthorizedApplication entsprechende Berechtigung erforderlich. Folgen Sie den von der Anwendung bereitgestellten Schritten, um sie zu deaktivieren.