Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour AWS Directory Service
AWS Directory Service (préfixe de service : ds
) fournit les ressources, les actions et les clés de contexte de condition spécifiques au service suivantes à utiliser dans les politiques d'autorisation IAM.
Références :
-
Découvrez comment configurer ce service.
-
Affichez la liste des opérations d'API disponibles pour ce service.
-
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.
Rubriques
Actions définies par AWS Directory Service
Vous pouvez indiquer les actions suivantes dans l'élément Action
d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une stratégie, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource
de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resource
élément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition
d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
---|---|---|---|---|---|
AcceptSharedDirectory | Accorde l'autorisation d'accepter une demande de partage d'annuaire qui a été envoyée depuis le compte propriétaire du répertoire | Écrire | |||
AddIpRoutes | Accorde l'autorisation d'ajouter un bloc d'adresse CIDR pour acheminer correctement le trafic vers et depuis votre annuaire Microsoft AD on Amazon Web Services | Écrire |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:DescribeSecurityGroups |
||
AddRegion | Accorde l'autorisation d'ajouter deux contrôleurs de domaine dans la région spécifiée pour le répertoire spécifié | Écrire |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
AddTagsToResource | Accorde l'autorisation d'ajouter ou d'écraser une ou plusieurs identifications pour le répertoire Amazon Directory Services spécifié | Identification |
ec2:CreateTags |
||
AuthorizeApplication [autorisation uniquement] | Accorde l'autorisation d'autoriser une application pour votre répertoire AWS Directory | Écrire | |||
CancelSchemaExtension | Accorde l'autorisation d'annuler une extension de schéma en cours pour un répertoire Microsoft AD | Écrire | |||
CheckAlias [autorisation uniquement] | Accorde l'autorisation de vérifier que l'alias est disponible pour être utilisé | Lire | |||
ConnectDirectory | Accorde l'autorisation de créer un AD Connector pour se connecter à un répertoire sur site | Écrire |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
CreateAlias | Accorde l'autorisation de créer un alias pour un annuaire et d'attribuer l'alias au répertoire | Écrire | |||
CreateComputer | Accorde l'autorisation de créer un compte d'ordinateur dans l'annuaire spécifié et de joindre l'ordinateur au répertoire | Écrire | |||
CreateConditionalForwarder | Accorde l'autorisation de créer un redirecteur conditionnel associé à votre répertoire AWS | Écrire | |||
CreateDirectory | Accorde l'autorisation de créer un répertoire Simple AD | Écrire |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
CreateIdentityPoolDirectory [autorisation uniquement] | Accorde l'autorisation de créer un répertoire IdentityPool dans le cloud AWS | Écrire | |||
CreateLogSubscription | Accorde l'autorisation de créer un abonnement pour transférer en temps réel les journaux de sécurité du contrôleur de domaine Directory Service au groupe de journaux CloudWatch spécifié dans votre Compte AWS | Écrire | |||
CreateMicrosoftAD | Accorde l'autorisation de créer un annuaire Microsoft AD dans le cloud AWS | Écrire |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
CreateSnapshot | Accorde l'autorisation de créer un instantané d'un répertoire Simple AD ou Microsoft AD dans le cloud AWS | Écrire | |||
CreateTrust | Accorde l'autorisation d'initier la création du côté AWS d'une relation d'approbation entre un répertoire Microsoft AD dans le cloud AWS et un domaine externe | Écrire | |||
DeleteConditionalForwarder | Accorde l'autorisation de supprimer un redirecteur conditionnel qui a été configuré pour votre répertoire AWS | Écrire | |||
DeleteDirectory | Accorde l'autorisation de supprimer un répertoire AWS Directory Service | Écrire |
ec2:DeleteNetworkInterface ec2:DeleteSecurityGroup ec2:DescribeNetworkInterfaces ec2:RevokeSecurityGroupEgress ec2:RevokeSecurityGroupIngress |
||
DeleteLogSubscription | Accorde l'autorisation de supprimer l'abonnement au journal spécifié | Écrire | |||
DeleteSnapshot | Accorde l'autorisation de supprimer un instantané d'un répertoire | Écrire | |||
DeleteTrust | Accorde l'autorisation de supprimer une relation d'approbation existante entre votre répertoire Microsoft AD dans le cloud AWS et un domaine externe | Écrire | |||
DeregisterCertificate | Accorde l'autorisation de supprimer du système le certificat qui a été enregistré pour une connexion LDAP sécurisée | Écrire | |||
DeregisterEventTopic | Accorde l'autorisation de supprimer le répertoire spécifié en tant qu'éditeur de la rubrique SNS spécifiée | Écrire | |||
DescribeCertificate | Accorde l'autorisation d'afficher des informations sur le certificat enregistré pour une connexion LDAP sécurisée | Lire | |||
DescribeClientAuthenticationSettings | Accorde l'autorisation de récupérer des informations sur le type d'authentification client pour le répertoire spécifié, si le type est spécifié. Si aucun type n'est spécifié, des informations sur tous les types d'authentification client pris en charge pour le répertoire spécifié sont récupérées. Actuellement, seule la carte à puce est prise en charge | Lire | |||
DescribeConditionalForwarders | Accorde l'autorisation d'obtenir des informations sur les redirecteurs conditionnels pour ce compte | Lire | |||
DescribeDirectories | Accorde l'autorisation d'obtenir des informations sur les annuaires qui appartiennent à ce compte | Liste | |||
DescribeDomainControllers | Accorde l'autorisation d'obtenir des informations sur tous les contrôleurs de domaine dans votre répertoire | Lire | |||
DescribeEventTopics | Accorde l'autorisation d'obtenir des informations sur les rubriques SNS qui reçoivent des messages d'état du répertoire spécifié | Lire | |||
DescribeLDAPSSettings | Accorde l'autorisation de décrire l'état de la sécurité LDAP pour le répertoire spécifié | Lire | |||
DescribeRegions | Accorde l'autorisation de fournir des informations sur les régions qui sont configurées pour la réplication multirégions | Lire | |||
DescribeSettings | Accorde l'autorisation de récupérer des informations sur les paramètres configurables pour le répertoire spécifié | Lire | |||
DescribeSharedDirectories | Accorde l'autorisation de renvoyer les annuaires partagés de votre compte | Lire | |||
DescribeSnapshots | Accorde l'autorisation d'obtenir des informations sur les instantanés du répertoire qui appartiennent à ce compte | Lire | |||
DescribeTrusts | Accorde l'autorisation d'obtenir des informations sur les relations d'approbation pour ce compte | Lire | |||
DescribeUpdateDirectory | Accorde l’autorisation à décrire les mises à jour d'un répertoire pour un type de mise à jour particulier | Lire | |||
DisableClientAuthentication | Accorde l'autorisation de désactiver les méthodes alternatives d'authentification client pour l'annuaire spécifié | Écrire | |||
DisableLDAPS | Accorde l'autorisation de désactiver les appels sécurisés LDAP pour le répertoire spécifié | Écrire | |||
DisableRadius | Accorde l'autorisation de désactiver l'authentification multifacteur (MFA) avec le serveur RADIUS (Remote Authentication Dial In User Service) pour un répertoire AD Connector | Écrire | |||
DisableRoleAccess [autorisation uniquement] | Accorde l'autorisation de désactiver l'accès à AWS Management Console pour l'identité dans votre répertoire AWS. | Écrire | |||
DisableSso | Accorde l'autorisation de désactiver l'authentification unique pour un répertoire | Écrire | |||
EnableClientAuthentication | Accorde l'autorisation d'activer les méthodes alternatives d'authentification client pour le répertoire spécifié | Écrire | |||
EnableLDAPS | Accorde l'autorisation d'activer le commutateur pour le répertoire spécifique afin de toujours utiliser les appels sécurisés LDAP | Écrire | |||
EnableRadius | Accorde l'autorisation d'activer l'authentification multifacteur (MFA) avec le serveur RADIUS (Remote Authentication Dial In User Service) pour un répertoire AD Connector | Écrire | |||
EnableRoleAccess [autorisation uniquement] | Accorde l'autorisation d'activer l'accès à AWS Management Console pour l'identité dans votre répertoire AWS. | Écrire |
iam:PassRole |
||
EnableSso | Accorde l'autorisation d'activer l'authentification unique pour un répertoire | Écrire | |||
GetAuthorizedApplicationDetails [autorisation uniquement] | Accorde l'autorisation de récupérer les détails des applications autorisées dans un répertoire | Lire | |||
GetDirectoryLimits | Accorde l'autorisation d'obtenir les informations sur les limites du répertoire pour la région actuelle | Lire | |||
GetSnapshotLimits | Accorde l'autorisation d'obtenir les limites des instantanés manuels pour un répertoire | Lire | |||
ListAuthorizedApplications [autorisation uniquement] | Accorde l'autorisation d'obtenir les applications AWS autorisées pour un répertoire | Lire | |||
ListCertificates | Accorde l'autorisation de répertorier tous les certificats enregistrés pour une connexion LDAP sécurisée, pour le répertoire spécifié | Liste | |||
ListIpRoutes | Accorde l'autorisation d'obtenir la liste des blocs d'adresses que vous avez ajoutés à un répertoire | Lire | |||
ListLogSubscriptions | Accorde l'autorisation de répertorier les abonnements aux journaux actifs pour le Compte AWS | Lire | |||
ListSchemaExtensions | Accorde l'autorisation de répertorier toutes les extensions de schéma appliquées à un répertoire Microsoft AD | Liste | |||
ListTagsForResource | Accorde l'autorisation de répertorier toutes les identifications sur un répertoire Amazon Directory Services | Lire | |||
RegisterCertificate | Accorde l'autorisation d'enregistrer un certificat pour une connexion LDAP sécurisée | Écrire | |||
RegisterEventTopic | Accorde l'autorisation d'associer un répertoire à une rubrique SNS | Écrire |
sns:GetTopicAttributes |
||
RejectSharedDirectory | Accorde l'autorisation de rejeter une demande de partage de répertoire qui a été envoyée depuis le compte propriétaire du répertoire | Écrire | |||
RemoveIpRoutes | Accorde l'autorisation de supprimer des blocs d'adresses IP d'un répertoire | Écrire | |||
RemoveRegion | Accorde l'autorisation d'arrêter toutes les réplications et supprime les contrôleurs de domaine de la région spécifiée. Vous ne pouvez pas supprimer la région principale avec cette opération | Écrire | |||
RemoveTagsFromResource | Accorde l'autorisation de supprimer les identifications d'un répertoire Amazon Directory Services | Identification |
ec2:DeleteTags |
||
ResetUserPassword | Accorde l'autorisation de réinitialiser le mot de passe de tout utilisateur dans votre répertoire Microsoft AD ou Simple AD géré par AWS | Écrire | |||
RestoreFromSnapshot | Accorde l'autorisation de restaurer un répertoire en utilisant un instantané de répertoire existant | Écrire | |||
ShareDirectory | Accorde l'autorisation de partager un répertoire spécifié dans votre Compte AWS (propriétaire du répertoire) avec un autre Compte AWS (consommateur du répertoire). Cette opération vous permet d'utiliser votre répertoire depuis n'importe quel Compte AWS et n'importe quel VPC Amazon à l'intérieur d'une Région AWS | Écrire | |||
StartSchemaExtension | Accorde l'autorisation d'appliquer une extension de schéma à un répertoire Microsoft AD | Écrire | |||
UnauthorizeApplication [autorisation uniquement] | Accorde l'autorisation d'annuler l'autorisation d'une application de votre répertoire AWS | Écrire | |||
UnshareDirectory | Accorde l'autorisation d'arrêter le partage du répertoire entre le propriétaire du répertoire et les comptes consommateurs | Écrire | |||
UpdateAuthorizedApplication [autorisation uniquement] | Octroie l'autorisation de mettre à jour une application autorisée pour votre répertoire AWS. | Écrire | |||
UpdateConditionalForwarder | Accorde l'autorisation de mettre à jour un redirecteur conditionnel qui a été configuré pour votre répertoire AWS | Écrire | |||
UpdateDirectory [autorisation uniquement] | Accorde l'autorisation de mettre à jour les configurations telles que les informations d'identification du compte de service ou les adresses IP du serveur DNS pour le répertoire spécifié. | Écrire | |||
UpdateDirectorySetup | Accorde l'autorisation de mettre à jour le répertoire pour un type de mise à jour particulier | Écrire | |||
UpdateNumberOfDomainControllers | Accorde l'autorisation d'ajouter des contrôleurs de domaine au répertoire ou les supprimer de ce dernier. Selon la différence entre la valeur actuelle et la nouvelle valeur (fournie via cet appel d'API), les contrôleurs de domaine seront ajoutés ou supprimés. Un nouveau contrôleur de domaine peut mettre jusqu'à 45 minutes pour devenir pleinement actif une fois que le nombre demandé de contrôleurs de domaine a été mis à jour. Pendant ce temps, vous ne pouvez pas effectuer d'autre demande de mise à jour | Écrire | |||
UpdateRadius | Accorde l'autorisation de mettre à jour les informations du serveur RADIUS (Remote Authentication Dial In User Service) pour un répertoire AD Connector | Écrire | |||
UpdateSettings | Accorde l'autorisation de mettre à jour les paramètres configurables pour le répertoire spécifié | Écrire | |||
UpdateTrust | Accorde l'autorisation de mettre à jour l'approbation qui a été configurée entre votre répertoire Microsoft AD géré par AWS et un Active Directory sur site | Écrire | |||
VerifyTrust | Accorde l'autorisation de vérifier une relation d'approbation existante entre votre annuaire Microsoft AD dans le cloud AWS et un domaine externe | Lire |
Types de ressources définis par AWS Directory Service
Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource
élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
Types de ressources | ARN | Clés de condition |
---|---|---|
directory |
arn:${Partition}:ds:${Region}:${Account}:directory/${DirectoryId}
|
Clés de condition pour AWS Directory Service
AWS Directory Service définit les clés de condition suivantes que vous pouvez utiliser dans l'élément Condition
d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
Clés de condition | Description | Type |
---|---|---|
aws:RequestTag/${TagKey} | Filtre l'accès en fonction de la valeur de la demande adressée à AWS DS | Chaîne |
aws:ResourceTag/${TagKey} | Filtre l'accès en fonction de la ressource AWS DS sur laquelle porte l'action | Chaîne |
aws:TagKeys | Filtre l'accès en fonction des clés d'identification qui sont transmises dans la demande | ArrayOfString |