Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktionen, Ressourcen und Bedingungsschlüssel für AWS Directory Service
AWS Directory Service (Servicepräfix: ds) stellt die folgenden servicespezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel für die Verwendung in IAM-Berechtigungsrichtlinien bereit.
Referenzen:
-
Erfahren Sie, wie Sie diesen Service konfigurieren.
-
Zeigen Sie eine Liste der API-Operationen an, die für diesen Service verfügbar sind.
-
Erfahren Sie, wie Sie diesen Service und seine Ressourcen mithilfe von IAM-Berechtigungsrichtlinien schützen.
Themen
Von AWS Directory Service definierte Aktionen
Sie können die folgenden Aktionen im Element Action einer IAM-Richtlinienanweisung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, erlauben oder verweigern Sie in der Regel den Zugriff auf die API-Operation oder den CLI-Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.
Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie einen ARN dieses Typs in einer Anweisung mit dieser Aktion angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Element Resource in einer IAM-Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp einen ARN oder ein Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.
Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.
Anmerkung
Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.
Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen
| Aktionen | Beschreibung | Zugriffsebene | Ressourcentypen (*erforderlich) | Bedingungsschlüssel | Abhängige Aktionen |
|---|---|---|---|---|---|
| AcceptSharedDirectory | Gewährt die Berechtigung zum Annehmen einer Verzeichnisfreigabeanforderung, die vom Konto des Verzeichniseigentümers gesendet wurde | Schreiben | |||
| AddIpRoutes | Gewährt die Berechtigung zum Hinzufügen eines CIDR-Adressblocks für die korrekte Weiterleitung des Datenverkehrs zu und von Ihrem Microsoft AD in Amazon Web Services | Schreiben |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:DescribeSecurityGroups |
||
| AddRegion | Gewährt die Berechtigung zum Hinzufügen von zwei Domain-Controllern in der angegebenen Region für das angegebene Verzeichnis | Schreiben |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| AddTagsToResource | Gewährt die Berechtigung zum Hinzufügen oder Überschreiben von einem oder mehreren Tags für das angegebene Amazon-Directory-Service-Verzeichnis | Markierung |
ec2:CreateTags |
||
| AuthorizeApplication [nur Berechtigung] | Gewährt die Berechtigung zur Autorisierung einer Anwendung für Ihr AWS-Verzeichnis | Schreiben | |||
| CancelSchemaExtension | Gewährt die Berechtigung zum Abbrechen einer laufenden Schemaerweiterung auf ein Microsoft-AD-Verzeichnis | Schreiben | |||
| CheckAlias [nur Berechtigung] | Gewährt die Berechtigung zum Überprüfen, ob der Alias zur Verwendung verfügbar ist | Lesen | |||
| ConnectDirectory | Gewährt die Berechtigung zum Erstellen eines AD Connectors zum Verbinden mit einem On-Premises-Verzeichnis | Schreiben |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateAlias | Gewährt die Berechtigung zum Erstellen einen Alias für ein Verzeichnis und weist den Alias dem Verzeichnis zu | Schreiben | |||
| CreateComputer | Gewährt die Berechtigung zum Erstellen eines Computerkontos im angegebenen Verzeichnis und verknüpft den Computer mit dem Verzeichnis | Schreiben | |||
| CreateConditionalForwarder | Gewährt die Berechtigung zum Erstellen einer bedingten Weiterleitung, die Ihrem AWS-Verzeichnis zugeordnet ist | Schreiben | |||
| CreateDirectory | Gewährt die Berechtigung zum Erstellen eines Simple AD-Verzeichnisses | Schreiben |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateIdentityPoolDirectory [nur Berechtigung] | Gewährt die Berechtigung zum Erstellen eines IdentityPool-Verzeichnisses in der AWS Cloud | Schreiben | |||
| CreateLogSubscription | Gewährt die Berechtigung zum Erstellen eines Abonnements zur Weiterleitung von Echtzeit-Sicherheitsprotokollen des Directory-Service-Domain-Controllers an die angegebene CloudWatch-Protokollgruppe in Ihrem AWS-Konto | Schreiben | |||
| CreateMicrosoftAD | Gewährt die Berechtigung zum Erstellen eines Microsoft AD in der AWS Cloud | Schreiben |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateSnapshot | Gewährt die Berechtigung zum Erstellen eines Snapshots eines Simple AD- oder Microsoft AD-Verzeichnisses in der AWS Cloud | Schreiben | |||
| CreateTrust | Gewährt die Berechtigung zum Initiieren der Erstellung der AWS-Seite einer Vertrauensstellung zwischen einem Microsoft AD in der AWS Cloud und einer externen Domain | Schreiben | |||
| DeleteConditionalForwarder | Gewährt die Berechtigung zum Löschen einer bedingten Weiterleitung, die für Ihr AWS-Verzeichnis eingerichtet wurde. | Schreiben | |||
| DeleteDirectory | Gewährt die Berechtigung zum Löschen eines AWS-Directory-Service-Verzeichnisses | Schreiben |
ec2:DeleteNetworkInterface ec2:DeleteSecurityGroup ec2:DescribeNetworkInterfaces ec2:RevokeSecurityGroupEgress ec2:RevokeSecurityGroupIngress |
||
| DeleteLogSubscription | Gewährt die Berechtigung zum Löschen der angegebenen Protokollabonnements | Schreiben | |||
| DeleteSnapshot | Gewährt die Berechtigung zum Löschen eines Verzeichnis-Snapshots | Schreiben | |||
| DeleteTrust | Gewährt die Berechtigung zum Löschen einer bestehenden Vertrauensstellung zwischen Ihrem Microsoft AD in der AWS Cloud und einer externen Domain | Schreiben | |||
| DeregisterCertificate | Gewährt die Berechtigung zum Löschen des Zertifikats, das für eine gesicherte LDAP-Verbindung registriert wurde, aus dem System | Schreiben | |||
| DeregisterEventTopic | Gewährt die Berechtigung zum Entfernen des angegebenen Verzeichnisses als Publisher für das angegebene SNS-Thema | Schreiben | |||
| DescribeCertificate | Gewährt die Berechtigung zum Anzeigen von Informationen über das Zertifikat, das für eine gesicherte LDAP-Verbindung registriert ist | Lesen | |||
| DescribeClientAuthenticationSettings | Gewährt die Berechtigung zum Abrufen von Informationen über den Typ der Clientauthentifizierung für das angegebene Verzeichnis, wenn der Typ angegeben ist. Wenn kein Typ angegeben ist, werden Informationen zu allen Client-Authentifizierungstypen abgerufen, die für das angegebene Verzeichnis unterstützt werden. Derzeit wird nur SmartCard unterstützt. | Lesen | |||
| DescribeConditionalForwarders | Gewährt die Berechtigung zum Erhalten von Informationen über die bedingten Weiterleitungen für dieses Konto | Lesen | |||
| DescribeDirectories | Gewährt die Berechtigung zum Erhalten von Informationen über die Verzeichnisse, die zu diesem Konto gehören | Auflisten | |||
| DescribeDomainControllers | Gewährt die Berechtigung zum Bereitstellen von Informationen über Domain-Controller in Ihrem Verzeichnis | Lesen | |||
| DescribeEventTopics | Gewährt die Berechtigung zum Erhalten von Informationen darüber, welche SNS-Themen Statusmeldungen vom angegebenen Verzeichnis erhalten | Lesen | |||
| DescribeLDAPSSettings | Gewährt die Berechtigung zum Beschreiben des Status der LDAP-Sicherheit für das angegebene Verzeichnis | Lesen | |||
| DescribeRegions | Gewährt die Berechtigung zum Bereitstellen von Informationen zu den Regionen, die für multiregionale Replikation konfiguriert sind | Lesen | |||
| DescribeSettings | Erteilt die Berechtigung zum Abrufen von Informationen zu den konfigurierbaren Einstellungen für das angegebene Verzeichnis. | Lesen | |||
| DescribeSharedDirectories | Gewährt die Berechtigung zum Zurückgeben der freigegebenen Verzeichnisse in Ihrem Konto | Lesen | |||
| DescribeSnapshots | Gewährt die Berechtigung zum Erhalten von Informationen über die Verzeichnis-Snapshots, die zu diesem Konto gehören | Lesen | |||
| DescribeTrusts | Gewährt die Berechtigung zum Erhalten von Informationen über die Vertrauensstellungen für dieses Konto | Lesen | |||
| DescribeUpdateDirectory | Gewährt die Berechtigung zum Beschreiben der Aktualisierungen eines Verzeichnisses für einen bestimmten Aktualisierungstyp | Lesen | |||
| DisableClientAuthentication | Gewährt die Berechtigung zum Deaktivieren alternativer Client-Authentifizierungsmethoden für das angegebene Verzeichnis | Schreiben | |||
| DisableLDAPS | Gewährt die Berechtigung zum Deaktivieren sicherer LDAP-Aufrufe für das angegebene Verzeichnis | Schreiben | |||
| DisableRadius | Gewährt die Berechtigung zum Deaktivieren von Multi-Faktor-Authentifizierung (MFA) mit dem Server des Remote Authentication Dial In User Service (RADIUS) für ein AD-Connector-Verzeichnis | Schreiben | |||
| DisableRoleAccess [nur Berechtigung] | Gewährt die Berechtigung zum Deaktivieren des AWS Management Console-Zugriffs auf Identitäten in Ihrem AWS-Verzeichnis | Schreiben | |||
| DisableSso | Gewährt die Berechtigung zum Deaktivieren von Single-Sign-On für ein Verzeichnis | Schreiben | |||
| EnableClientAuthentication | Gewährt die Berechtigung zum Aktivieren alternativer Client-Authentifizierungsmethoden für das angegebene Verzeichnis | Schreiben | |||
| EnableLDAPS | Gewährt die Berechtigung zum Aktivieren des Switches für das angegebene Verzeichnis, um immer sichere LDAP-Aufrufe zu verwenden | Schreiben | |||
| EnableRadius | Gewährt die Berechtigung zum Aktivieren von Multi-Faktor-Authentifizierung (MFA) mit dem Server des Remote Authentication Dial In User Service (RADIUS) für ein AD-Connector-Verzeichnis | Schreiben | |||
| EnableRoleAccess [nur Berechtigung] | Gewährt die Berechtigung zum Aktivieren des AWS Management Console-Zugriffs auf Identitäten in Ihrem AWS-Verzeichnis | Schreiben |
iam:PassRole |
||
| EnableSso | Gewährt die Berechtigung zum Aktivieren von Single-Sign-On für ein Verzeichnis | Schreiben | |||
| GetAuthorizedApplicationDetails [nur Berechtigung] | Gewährt die Berechtigung zum Abrufen der Details der autorisierten Anwendungen in einem Verzeichnis | Lesen | |||
| GetDirectoryLimits | Gewährt die Berechtigung zum Erhalten von Informationen über das Verzeichnislimit für die aktuelle Region | Lesen | |||
| GetSnapshotLimits | Gewährt die Berechtigung zum Erhalten des manuellen Snapshot-Limits für ein Verzeichnis | Lesen | |||
| ListAuthorizedApplications [nur Berechtigung] | Gewährt die Berechtigung zum Erhalten der AWS-Anwendungen, die für ein Verzeichnis autorisiert sind | Lesen | |||
| ListCertificates | Gewährt die Berechtigung, alle Zertifikate, die für eine gesicherte LDAP-Verbindung registriert sind, für das angegebene Verzeichnis aufzulisten | Auflisten | |||
| ListIpRoutes | Gewährt die Berechtigung zum Auflisten der Adressblöcke, die Sie einem Verzeichnis hinzugefügt haben | Lesen | |||
| ListLogSubscriptions | Gewährt die Berechtigung zum Auflisten der aktiven Protokollabonnements für das AWS-Konto | Lesen | |||
| ListSchemaExtensions | Gewährt die Berechtigung zum Auflisten aller Schemaerweiterungen, die auf ein Microsoft AD-Verzeichnis angewendet wurden | Auflisten | |||
| ListTagsForResource | Gewährt die Berechtigung zum Auflisten aller Tags für ein Amazon-Directory-Service-Verzeichnis | Lesen | |||
| RegisterCertificate | Gewährt die Berechtigung zum Registrieren eines Zertifikats für eine gesicherte LDAP-Verbindung | Schreiben | |||
| RegisterEventTopic | Gewährt die Berechtigung zum Verknüpfen eines Verzeichnisses mit einem SNS-Thema | Schreiben |
sns:GetTopicAttributes |
||
| RejectSharedDirectory | Gewährt die Berechtigung zum Ablehnen einer Verzeichnisfreigabeanforderung, die vom Konto des Verzeichniseigentümers gesendet wurde | Schreiben | |||
| RemoveIpRoutes | Gewährt die Berechtigung zum Entfernen von IP-Adressblöcken aus einem Verzeichnis | Schreiben | |||
| RemoveRegion | Gewährt die Berechtigung zum Stoppen der gesamten Replikation und entfernt die Domain-Controller aus der angegebenen Region Sie können mit diesem Vorgang die primäre Region nicht entfernen. | Schreiben | |||
| RemoveTagsFromResource | Gewährt die Berechtigung zum Entfernen von Tags aus einem Amazon-Directory-Service-Verzeichnis | Markierung |
ec2:DeleteTags |
||
| ResetUserPassword | Gewährt die Berechtigung zum Zurücksetzen des Passworts für Benutzer in Ihrem von AWS verwalteten Microsoft AD- oder Simple AD-Verzeichnis | Schreiben | |||
| RestoreFromSnapshot | Gewährt die Berechtigung zum Wiederherstellen eines Verzeichnisses mithilfe eines vorhandenen Verzeichnis-Snapshots | Schreiben | |||
| ShareDirectory | Gewährt die Berechtigung zum Freigeben eines angegebenen Verzeichnisses in Ihrem AWS-Konto (Verzeichnisbesitzer) für ein anderes AWS-Konto (Verzeichnisverbraucher). Für diesen Vorgang können Sie Ihr Verzeichnis aus einem beliebigen AWS-Konto und aus einer beliebigen Amazon VPC innerhalb einer AWS-Region verwenden. | Schreiben | |||
| StartSchemaExtension | Gewährt die Berechtigung zum Anwenden einer Schemaerweiterung auf ein Microsoft AD-Verzeichnis | Schreiben | |||
| UnauthorizeApplication [nur Berechtigung] | Gewährt die Berechtigung zum Aufheben der Autorisierung einer Anwendung für Ihr AWS-Verzeichnis | Schreiben | |||
| UnshareDirectory | Gewährt die Berechtigung zum Stoppen der Verzeichnisfreigabe zwischen den Konten des Verzeichnisbesitzers und -verbrauchers | Schreiben | |||
| UpdateAuthorizedApplication [nur Berechtigung] | Gewährt die Berechtigung zum Aktualisieren einer autorisierten Anwendung für Ihr AWS-Verzeichnis | Schreiben | |||
| UpdateConditionalForwarder | Gewährt die Berechtigung zum Aktualisieren einer bedingten Weiterleitung, die für Ihr AWS-Verzeichnis eingerichtet wurde | Schreiben | |||
| UpdateDirectory [nur Berechtigung] | Gewährt die Berechtigung zum Aktualisieren der Konfigurationen wie Servicekontoanmeldeinformationen oder DNS-Server-IP-Adressen für das angegebene Verzeichnis | Schreiben | |||
| UpdateDirectorySetup | Gewährt die Berechtigung zum Aktualisieren des Verzeichnisses für einen bestimmten Aktualisierungstyp | Schreiben | |||
| UpdateNumberOfDomainControllers | Gewährt die Berechtigung zum Hinzufügen oder Entfernen von Domain-Controllern zu bzw. aus dem Verzeichnis Basierend auf dem Unterschied zwischen dem aktuellen Wert und dem neuen Wert (der durch diesen API-Aufruf bereitgestellt wird), werden Domain-Controller hinzugefügt oder entfernt. Es kann bis zu 45 Minuten dauern, bis neue Domain-Controller vollständig aktiv werden, nachdem die angeforderte Anzahl von Domain-Controllern aktualisiert wurde. Während dieser Zeit können Sie keine andere Aktualisierungsanforderung durchführen. | Schreiben | |||
| UpdateRadius | Gewährt die Berechtigung zum Aktualisieren der Serverinformationen des Remote Authentication Dial In User Service (RADIUS) für ein AD-Connector-Verzeichnis | Schreiben | |||
| UpdateSettings | Gewährt die Berechtigung zum Aktualisieren der Beendigungseinstellungen für den angegebenen Voice Connector. | Schreiben | |||
| UpdateTrust | Gewährt die Berechtigung zum Aktualisieren der Vertrauensstellung, die zwischen Ihrem von AWS verwalteten Microsoft AD-Verzeichnis und einem On-Premises Active Directory eingerichtet wurde | Schreiben | |||
| VerifyTrust | Gewährt die Berechtigung zum Verifizieren einer Vertrauensstellung zwischen Ihrem Microsoft AD in der AWS Cloud und einer externen Domain | Lesen |
Von AWS Directory Service definierte Ressourcentypen
Die folgenden Ressourcentypen werden von diesem Service definiert und können im Element Resource von IAM-Berechtigungsrichtlinienanweisungen verwendet werden. Jede Aktion in der Tabelle "Actions" (Aktionen) identifiziert die Ressourcentypen, die mit der Aktion angegeben werden können. Ein Ressourcentyp kann auch definieren, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können. Diese Schlüssel werden in der letzten Spalte der Tabelle der Ressourcentypen angezeigt. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Resource types.
| Ressourcentypen | ARN | Bedingungsschlüssel |
|---|---|---|
| directory |
arn:${Partition}:ds:${Region}:${Account}:directory/${DirectoryId}
|
Bedingungsschlüssel für AWS Directory Service
AWS Directory Service definiert die folgenden Bedingungsschlüssel, die im Element Condition einer IAM-Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Bedingungsschlüssel.
Eine Liste der globalen Bedingungsschlüssel, die für alle Services verfügbar sind, finden Sie unter Verfügbare globale Bedingungsschlüssel.
| Bedingungsschlüssel | Beschreibung | Typ |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtert den Zugriff nach dem Wert der Anforderung an AWS DS | Zeichenfolge |
| aws:ResourceTag/${TagKey} | Filtert den Zugriff nach der AWS-DS-Ressource, für die Maßnahmen ergriffen werden | Zeichenfolge |
| aws:TagKeys | Filtert den Zugriff basierend auf den Tag-Schlüssel, die in der Anfrage übergeben werden | ArrayOfString |
