Actions, ressources et clés de condition pour AWS Directory Service - Référence de l'autorisation de service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Actions, ressources et clés de condition pour AWS Directory Service

AWS Directory Service (préfixe de service : ds) fournit les ressources, les actions et les clés de contexte de condition spécifiques au service suivantes à utiliser dans les politiques d'autorisation IAM.

Références :

Actions définies par AWS Directory Service

Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une stratégie, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.

La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.

La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.

Note

Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.

Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.

Actions Description Niveau d'accès Types de ressources (*obligatoire) Clés de condition Actions dépendantes
AcceptSharedDirectory Accorde l'autorisation d'accepter une demande de partage d'annuaire qui a été envoyée depuis le compte propriétaire du répertoire Écrire

directory*

AddIpRoutes Accorde l'autorisation d'ajouter un bloc d'adresse CIDR pour acheminer correctement le trafic vers et depuis votre annuaire Microsoft AD on Amazon Web Services Écrire

directory*

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:DescribeSecurityGroups

AddRegion Accorde l'autorisation d'ajouter deux contrôleurs de domaine dans la région spécifiée pour le répertoire spécifié Écrire

directory*

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateNetworkInterface

ec2:CreateSecurityGroup

ec2:CreateTags

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

AddTagsToResource Accorde l'autorisation d'ajouter ou d'écraser une ou plusieurs identifications pour le répertoire Amazon Directory Services spécifié Identification

directory*

ec2:CreateTags

aws:RequestTag/${TagKey}

aws:TagKeys

AuthorizeApplication [autorisation uniquement] Accorde l'autorisation d'autoriser une application pour votre répertoire AWS Directory Écrire

directory*

CancelSchemaExtension Accorde l'autorisation d'annuler une extension de schéma en cours pour un répertoire Microsoft AD Écrire

directory*

CheckAlias [autorisation uniquement] Accorde l'autorisation de vérifier que l'alias est disponible pour être utilisé Lire
ConnectDirectory Accorde l'autorisation de créer un AD Connector pour se connecter à un répertoire sur site Écrire

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateNetworkInterface

ec2:CreateSecurityGroup

ec2:CreateTags

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

CreateAlias Accorde l'autorisation de créer un alias pour un annuaire et d'attribuer l'alias au répertoire Écrire

directory*

CreateComputer Accorde l'autorisation de créer un compte d'ordinateur dans l'annuaire spécifié et de joindre l'ordinateur au répertoire Écrire

directory*

CreateConditionalForwarder Accorde l'autorisation de créer un redirecteur conditionnel associé à votre répertoire AWS Écrire

directory*

CreateDirectory Accorde l'autorisation de créer un répertoire Simple AD Écrire

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateNetworkInterface

ec2:CreateSecurityGroup

ec2:CreateTags

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

CreateIdentityPoolDirectory [autorisation uniquement] Accorde l'autorisation de créer un répertoire IdentityPool dans le cloud AWS Écrire

aws:RequestTag/${TagKey}

aws:TagKeys

CreateLogSubscription Accorde l'autorisation de créer un abonnement pour transférer en temps réel les journaux de sécurité du contrôleur de domaine Directory Service au groupe de journaux CloudWatch spécifié dans votre Compte AWS Écrire

directory*

CreateMicrosoftAD Accorde l'autorisation de créer un annuaire Microsoft AD dans le cloud AWS Écrire

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateNetworkInterface

ec2:CreateSecurityGroup

ec2:CreateTags

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

CreateSnapshot Accorde l'autorisation de créer un instantané d'un répertoire Simple AD ou Microsoft AD dans le cloud AWS Écrire

directory*

CreateTrust Accorde l'autorisation d'initier la création du côté AWS d'une relation d'approbation entre un répertoire Microsoft AD dans le cloud AWS et un domaine externe Écrire

directory*

DeleteConditionalForwarder Accorde l'autorisation de supprimer un redirecteur conditionnel qui a été configuré pour votre répertoire AWS Écrire

directory*

DeleteDirectory Accorde l'autorisation de supprimer un répertoire AWS Directory Service Écrire

directory*

ec2:DeleteNetworkInterface

ec2:DeleteSecurityGroup

ec2:DescribeNetworkInterfaces

ec2:RevokeSecurityGroupEgress

ec2:RevokeSecurityGroupIngress

DeleteLogSubscription Accorde l'autorisation de supprimer l'abonnement au journal spécifié Écrire

directory*

DeleteSnapshot Accorde l'autorisation de supprimer un instantané d'un répertoire Écrire

directory*

DeleteTrust Accorde l'autorisation de supprimer une relation d'approbation existante entre votre répertoire Microsoft AD dans le cloud AWS et un domaine externe Écrire

directory*

DeregisterCertificate Accorde l'autorisation de supprimer du système le certificat qui a été enregistré pour une connexion LDAP sécurisée Écrire

directory*

DeregisterEventTopic Accorde l'autorisation de supprimer le répertoire spécifié en tant qu'éditeur de la rubrique SNS spécifiée Écrire

directory*

DescribeCertificate Accorde l'autorisation d'afficher des informations sur le certificat enregistré pour une connexion LDAP sécurisée Lire

directory*

DescribeClientAuthenticationSettings Accorde l'autorisation de récupérer des informations sur le type d'authentification client pour le répertoire spécifié, si le type est spécifié. Si aucun type n'est spécifié, des informations sur tous les types d'authentification client pris en charge pour le répertoire spécifié sont récupérées. Actuellement, seule la carte à puce est prise en charge Lire

directory*

DescribeConditionalForwarders Accorde l'autorisation d'obtenir des informations sur les redirecteurs conditionnels pour ce compte Lire

directory*

DescribeDirectories Accorde l'autorisation d'obtenir des informations sur les annuaires qui appartiennent à ce compte Liste
DescribeDomainControllers Accorde l'autorisation d'obtenir des informations sur tous les contrôleurs de domaine dans votre répertoire Lire

directory*

DescribeEventTopics Accorde l'autorisation d'obtenir des informations sur les rubriques SNS qui reçoivent des messages d'état du répertoire spécifié Lire

directory*

DescribeLDAPSSettings Accorde l'autorisation de décrire l'état de la sécurité LDAP pour le répertoire spécifié Lire

directory*

DescribeRegions Accorde l'autorisation de fournir des informations sur les régions qui sont configurées pour la réplication multirégions Lire

directory*

DescribeSettings Accorde l'autorisation de récupérer des informations sur les paramètres configurables pour le répertoire spécifié Lire

directory*

DescribeSharedDirectories Accorde l'autorisation de renvoyer les annuaires partagés de votre compte Lire

directory*

DescribeSnapshots Accorde l'autorisation d'obtenir des informations sur les instantanés du répertoire qui appartiennent à ce compte Lire
DescribeTrusts Accorde l'autorisation d'obtenir des informations sur les relations d'approbation pour ce compte Lire
DescribeUpdateDirectory Accorde l’autorisation à décrire les mises à jour d'un répertoire pour un type de mise à jour particulier Lire

directory*

DisableClientAuthentication Accorde l'autorisation de désactiver les méthodes alternatives d'authentification client pour l'annuaire spécifié Écrire

directory*

DisableLDAPS Accorde l'autorisation de désactiver les appels sécurisés LDAP pour le répertoire spécifié Écrire

directory*

DisableRadius Accorde l'autorisation de désactiver l'authentification multifacteur (MFA) avec le serveur RADIUS (Remote Authentication Dial In User Service) pour un répertoire AD Connector Écrire

directory*

DisableRoleAccess [autorisation uniquement] Accorde l'autorisation de désactiver l'accès à AWS Management Console pour l'identité dans votre répertoire AWS. Écrire

directory*

DisableSso Accorde l'autorisation de désactiver l'authentification unique pour un répertoire Écrire

directory*

EnableClientAuthentication Accorde l'autorisation d'activer les méthodes alternatives d'authentification client pour le répertoire spécifié Écrire

directory*

EnableLDAPS Accorde l'autorisation d'activer le commutateur pour le répertoire spécifique afin de toujours utiliser les appels sécurisés LDAP Écrire

directory*

EnableRadius Accorde l'autorisation d'activer l'authentification multifacteur (MFA) avec le serveur RADIUS (Remote Authentication Dial In User Service) pour un répertoire AD Connector Écrire

directory*

EnableRoleAccess [autorisation uniquement] Accorde l'autorisation d'activer l'accès à AWS Management Console pour l'identité dans votre répertoire AWS. Écrire

directory*

iam:PassRole

EnableSso Accorde l'autorisation d'activer l'authentification unique pour un répertoire Écrire

directory*

GetAuthorizedApplicationDetails [autorisation uniquement] Accorde l'autorisation de récupérer les détails des applications autorisées dans un répertoire Lire

directory*

GetDirectoryLimits Accorde l'autorisation d'obtenir les informations sur les limites du répertoire pour la région actuelle Lire
GetSnapshotLimits Accorde l'autorisation d'obtenir les limites des instantanés manuels pour un répertoire Lire

directory*

ListAuthorizedApplications [autorisation uniquement] Accorde l'autorisation d'obtenir les applications AWS autorisées pour un répertoire Lire

directory*

ListCertificates Accorde l'autorisation de répertorier tous les certificats enregistrés pour une connexion LDAP sécurisée, pour le répertoire spécifié Liste

directory*

ListIpRoutes Accorde l'autorisation d'obtenir la liste des blocs d'adresses que vous avez ajoutés à un répertoire Lire

directory*

ListLogSubscriptions Accorde l'autorisation de répertorier les abonnements aux journaux actifs pour le Compte AWS Lire
ListSchemaExtensions Accorde l'autorisation de répertorier toutes les extensions de schéma appliquées à un répertoire Microsoft AD Liste

directory*

ListTagsForResource Accorde l'autorisation de répertorier toutes les identifications sur un répertoire Amazon Directory Services Lire

directory*

RegisterCertificate Accorde l'autorisation d'enregistrer un certificat pour une connexion LDAP sécurisée Écrire

directory*

RegisterEventTopic Accorde l'autorisation d'associer un répertoire à une rubrique SNS Écrire

directory*

sns:GetTopicAttributes

RejectSharedDirectory Accorde l'autorisation de rejeter une demande de partage de répertoire qui a été envoyée depuis le compte propriétaire du répertoire Écrire

directory*

RemoveIpRoutes Accorde l'autorisation de supprimer des blocs d'adresses IP d'un répertoire Écrire

directory*

RemoveRegion Accorde l'autorisation d'arrêter toutes les réplications et supprime les contrôleurs de domaine de la région spécifiée. Vous ne pouvez pas supprimer la région principale avec cette opération Écrire

directory*

RemoveTagsFromResource Accorde l'autorisation de supprimer les identifications d'un répertoire Amazon Directory Services Identification

directory*

ec2:DeleteTags

aws:RequestTag/${TagKey}

aws:TagKeys

ResetUserPassword Accorde l'autorisation de réinitialiser le mot de passe de tout utilisateur dans votre répertoire Microsoft AD ou Simple AD géré par AWS Écrire

directory*

RestoreFromSnapshot Accorde l'autorisation de restaurer un répertoire en utilisant un instantané de répertoire existant Écrire

directory*

ShareDirectory Accorde l'autorisation de partager un répertoire spécifié dans votre Compte AWS (propriétaire du répertoire) avec un autre Compte AWS (consommateur du répertoire). Cette opération vous permet d'utiliser votre répertoire depuis n'importe quel Compte AWS et n'importe quel VPC Amazon à l'intérieur d'une Région AWS Écrire

directory*

StartSchemaExtension Accorde l'autorisation d'appliquer une extension de schéma à un répertoire Microsoft AD Écrire

directory*

UnauthorizeApplication [autorisation uniquement] Accorde l'autorisation d'annuler l'autorisation d'une application de votre répertoire AWS Écrire

directory*

UnshareDirectory Accorde l'autorisation d'arrêter le partage du répertoire entre le propriétaire du répertoire et les comptes consommateurs Écrire

directory*

UpdateAuthorizedApplication [autorisation uniquement] Octroie l'autorisation de mettre à jour une application autorisée pour votre répertoire AWS. Écrire

directory*

UpdateConditionalForwarder Accorde l'autorisation de mettre à jour un redirecteur conditionnel qui a été configuré pour votre répertoire AWS Écrire

directory*

UpdateDirectory [autorisation uniquement] Accorde l'autorisation de mettre à jour les configurations telles que les informations d'identification du compte de service ou les adresses IP du serveur DNS pour le répertoire spécifié. Écrire

directory*

UpdateDirectorySetup Accorde l'autorisation de mettre à jour le répertoire pour un type de mise à jour particulier Écrire

directory*

UpdateNumberOfDomainControllers Accorde l'autorisation d'ajouter des contrôleurs de domaine au répertoire ou les supprimer de ce dernier. Selon la différence entre la valeur actuelle et la nouvelle valeur (fournie via cet appel d'API), les contrôleurs de domaine seront ajoutés ou supprimés. Un nouveau contrôleur de domaine peut mettre jusqu'à 45 minutes pour devenir pleinement actif une fois que le nombre demandé de contrôleurs de domaine a été mis à jour. Pendant ce temps, vous ne pouvez pas effectuer d'autre demande de mise à jour Écrire

directory*

UpdateRadius Accorde l'autorisation de mettre à jour les informations du serveur RADIUS (Remote Authentication Dial In User Service) pour un répertoire AD Connector Écrire

directory*

UpdateSettings Accorde l'autorisation de mettre à jour les paramètres configurables pour le répertoire spécifié Écrire

directory*

UpdateTrust Accorde l'autorisation de mettre à jour l'approbation qui a été configurée entre votre répertoire Microsoft AD géré par AWS et un Active Directory sur site Écrire

directory*

VerifyTrust Accorde l'autorisation de vérifier une relation d'approbation existante entre votre annuaire Microsoft AD dans le cloud AWS et un domaine externe Lire

directory*

Types de ressources définis par AWS Directory Service

Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.

Types de ressources ARN Clés de condition
directory arn:${Partition}:ds:${Region}:${Account}:directory/${DirectoryId}

aws:ResourceTag/${TagKey}

Clés de condition pour AWS Directory Service

AWS Directory Service définit les clés de condition suivantes que vous pouvez utiliser dans l'élément Condition d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.

Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.

Clés de condition Description Type
aws:RequestTag/${TagKey} Filtre l'accès en fonction de la valeur de la demande adressée à AWS DS Chaîne
aws:ResourceTag/${TagKey} Filtre l'accès en fonction de la ressource AWS DS sur laquelle porte l'action Chaîne
aws:TagKeys Filtre l'accès en fonction des clés d'identification qui sont transmises dans la demande ArrayOfString