Claves de condición, recursos y acciones de AWS Directory Service - AWS Identity and Access Management

Si proporcionásemos una traducción de la versión en inglés de la guía, prevalecerá la versión en inglés de la guía si hubiese algún conflicto. La traducción se proporciona mediante traducción automática.

Claves de condición, recursos y acciones de AWS Directory Service

AWS Directory Service (prefijo de servicio: ds) proporciona las siguientes claves de contexto de condición, recursos y acciones específicas de servicios para usarlas en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS Directory Service

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. Sin embargo, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Actions Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AcceptSharedDirectory Admite una solicitud de directorio compartido enviada desde la cuenta del propietario del directorio. Escritura

directory*

AddIpRoutes Añade un bloque de direcciones de CIDR para dirigir correctamente el tráfico hacia y desde su Microsoft AD en Amazon Web Services. Escritura

directory*

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:DescribeSecurityGroups

AddTagsToResource Añade o sobrescribe una o varias etiquetas para el directorio especificado de Amazon Directory Services. Etiquetado

directory*

ec2:CreateTags

aws:RequestTag/${TagKey}

aws:TagKeys

AuthorizeApplication [solo permiso] Autoriza una aplicación para su directorio de AWS. Escritura

directory*

CancelSchemaExtension Cancela una extensión de esquema en curso a un directorio de Microsoft AD. Escritura

directory*

CheckAlias [solo permiso] Comprueba que el alias esté disponible para su uso. Lectura
ConnectDirectory Crea un AD Connector para conectarse a un directorio local. Etiquetado

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateNetworkInterface

ec2:CreateSecurityGroup

ec2:CreateTags

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

CreateAlias Crea un alias para un directorio y asigna el alias al directorio. Escritura

directory*

CreateComputer Crea una cuenta de equipo en el directorio especificado y une el equipo al directorio. Escritura

directory*

CreateConditionalForwarder Crea un reenviador condicional asociado a su directorio de AWS. Escritura

directory*

CreateDirectory Crea un directorio de Simple AD. Etiquetado

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateNetworkInterface

ec2:CreateSecurityGroup

ec2:CreateTags

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

CreateIdentityPoolDirectory [solo permiso] Crea un directorio IdentityPool en la nube de AWS. Etiquetado

aws:RequestTag/${TagKey}

aws:TagKeys

CreateLogSubscription Crea una suscripción para reenviar registros de seguridad del controlador de dominio de Directory Service al grupo de registros de CloudWatch especificado en su cuenta de AWS. Escritura

directory*

CreateMicrosoftAD Crea un Microsoft AD en la nube de AWS. Etiquetado

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateNetworkInterface

ec2:CreateSecurityGroup

ec2:CreateTags

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

CreateSnapshot Crea una instantánea de un directorio de Simple AD o de Microsoft AD en la nube de AWS. Escritura

directory*

CreateTrust Comienza la creación del lado de AWS de una relación de confianza entre un proveedor de Microsoft AD en la nube de AWS y un dominio externo. Escritura

directory*

DeleteConditionalForwarder Elimina un reenviador condicional que se ha configurado para su directorio de AWS. Escritura

directory*

DeleteDirectory Elimina un directorio de AWS Directory Service. Escritura

directory*

ec2:DeleteNetworkInterface

ec2:DeleteSecurityGroup

ec2:DescribeNetworkInterfaces

ec2:RevokeSecurityGroupEgress

ec2:RevokeSecurityGroupIngress

DeleteLogSubscription Elimina la suscripción de registro especificada. Escritura

directory*

DeleteSnapshot Elimina una instantánea de directorio. Escritura

directory*

DeleteTrust Elimina una relación de confianza existente entre su Microsoft AD en la nube de AWS y un dominio externo. Escritura

directory*

DeregisterCertificate Elimina del sistema el certificado registrado para una conexión LDAP segura. Escritura

directory*

DeregisterEventTopic Elimina el directorio especificado como publicador en el tema de SNS especificado. Escritura

directory*

DescribeCertificate Muestra información sobre el certificado registrado para una conexión LDAP segura. Lectura

directory*

DescribeConditionalForwarders Obtiene información acerca de los reenviadores condicionales de esta cuenta. Lectura

directory*

DescribeDirectories Obtiene información acerca de los directorios que pertenecen a esta cuenta. List
DescribeDomainControllers Proporciona información acerca de los controladores de dominio de su directorio. Lectura

directory*

DescribeEventTopics Obtiene información acerca de qué temas de SNS reciben mensajes de estado desde el directorio especificado. Lectura

directory*

DescribeLDAPSSettings Describe el estado de la seguridad LDAP para el directorio especificado. Lectura

directory*

DescribeSharedDirectories Devuelve los directorios compartidos de su cuenta. Lectura

directory*

DescribeSnapshots Obtiene información acerca de las instantáneas de directorios que pertenecen a esta cuenta. Lectura
DescribeTrusts Obtiene información acerca de las relaciones de confianza de esta cuenta. Lectura
DisableLDAPS Desactiva las llamadas seguras LDAP para el directorio especificado. Escritura

directory*

DisableRadius Deshabilita Multi-Factor Authentication (MFA) con el servidor Remote Authentication Dial In User Service (RADIUS) para un directorio de AD Connector. Escritura

directory*

DisableSso Deshabilita el inicio de sesión único para un directorio. Escritura

directory*

EnableLDAPS Activa el control para que el directorio específico utilice siempre llamadas seguras LDAP. Escritura

directory*

EnableRadius Habilita Multi-Factor Authentication (MFA) con el servidor Remote Authentication Dial In User Service (RADIUS) para un directorio de AD Connector. Escritura

directory*

EnableSso Habilita el inicio de sesión único para un directorio. Escritura

directory*

GetAuthorizedApplicationDetails [solo permiso] Lectura

directory*

GetDirectoryLimits Obtiene información acerca del límite de directorios de la región actual. Lectura
GetSnapshotLimits Obtiene los límites de la instantánea manual de un directorio. Lectura

directory*

ListAuthorizedApplications [solo permiso] Obtiene las aplicaciones AWS autorizadas para un directorio. Lectura

directory*

ListCertificates Para el directorio especificado, muestra todos los certificados registrados para una conexión LDAP segura. List

directory*

ListIpRoutes Muestra una lista de los bloques de direcciones que ha añadido a un directorio. Lectura

directory*

ListLogSubscriptions Muestra una lista de todas las suscripciones de registro de la cuenta de AWS. Lectura
ListSchemaExtensions Muestra una lista de todas las extensiones de esquema que se aplican a un directorio de Microsoft AD. List

directory*

ListTagsForResource Muestra una lista de todas las etiquetas de un directorio de Amazon Directory Services. Lectura

directory*

RegisterCertificate Registra un certificado para una conexión LDAP segura. Escritura

directory*

RegisterEventTopic Asocia un directorio a un tema de SNS. Escritura

directory*

sns:GetTopicAttributes

RejectSharedDirectory Refleja una solicitud de directorio compartido que se envió desde la cuenta del propietario del directorio. Escritura

directory*

RemoveIpRoutes Elimina los bloques de direcciones IP de un directorio. Escritura

directory*

RemoveTagsFromResource Elimina las etiquetas de un directorio de Amazon Directory Services. Etiquetado

directory*

ec2:DeleteTags

aws:RequestTag/${TagKey}

aws:TagKeys

ResetUserPassword Restablece la contraseña de cualquier usuario de su directorio de AWS Managed Microsoft AD o Simple AD. Escritura

directory*

RestoreFromSnapshot Restaura un directorio usando una instantánea de directorio existente. Escritura

directory*

ShareDirectory Comparte un directorio especificado en su cuenta de AWS (propietario de directorio) con otra cuenta de AWS (consumidor de directorio). Con esta operación puede utilizar su directorio desde cualquier cuenta de AWS y desde cualquier Amazon VPC dentro de una región de AWS. Escritura

directory*

StartSchemaExtension Aplica una extensión de esquema a un directorio de Microsoft AD. Escritura

directory*

UnauthorizeApplication [solo permiso] Anula la autorización de una aplicación de su directorio de AWS. Escritura

directory*

UnshareDirectory Detiene el uso compartido de directorios entre el propietario del directorio y las cuentas del consumidor. Escritura

directory*

UpdateConditionalForwarder Actualiza un reenviador condicional que se ha configurado para su directorio de AWS. Escritura

directory*

UpdateNumberOfDomainControllers Añade o elimina controladores de dominio en el directorio o del directorio. En función de la diferencia entre el valor actual y el valor nuevo (proporcionada a través de esta llamada a la API), los controladores de dominio se añadirán o eliminarán. Esta operación puede tardar hasta 45 minutos para que cualquier controlador de dominio nuevo pase a estar totalmente activo una vez que el número de controladores de dominio solicitados se actualice. Durante este tiempo, no puede realizar ninguna otra solicitud de actualización. Escritura

directory*

UpdateRadius Actualiza la información del servidor Remote Authentication Dial In User Service (RADIUS) para un directorio de AD Connector. Escritura

directory*

UpdateTrust Actualiza la relación de confianza que se ha configurado entre el directorio de AWS Managed Microsoft AD y una instancia de Active Directory local. Escritura

directory*

VerifyTrust Verifica una relación de confianza entre su Microsoft AD en la nube de AWS y un dominio externo. Lectura

directory*

Tipos de recurso definidos por AWS Directory Service

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recurso que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recursos.

Tipos de recurso ARN Claves de condición
directory arn:${Partition}:ds:${Region}:${Account}:directory/${DirectoryId}

aws:ResourceTag/${TagKey}

Claves de condición de AWS Directory Service

AWS Directory Service define las siguientes claves de condiciones que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles en la Referencia de políticas de IAM.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Cadena
aws:ResourceTag/${TagKey} Cadena
aws:TagKeys Cadena