AWS politiques gérées pour AWS Directory Service - AWS Directory Service
AWSDirectoryServiceFullAccessAWSDirectoryServiceReadOnlyAccessAWSDirectoryServiceDataFullAccessAWSDirectoryServiceDataReadOnlyAccessAWSDirectoryServiceServiceRolePolicy Mises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour AWS Directory Service

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.

Pour plus d’informations, consultez Politiques gérées par AWS dans le Guide de l’utilisateur IAM.

Les sections suivantes décrivent les politiques AWS gérées spécifiques à AWS Directory Service. Vous pouvez associer ces politiques aux utilisateurs de votre compte.

Pour plus d’informations, consultez Politiques gérées par AWS dans le Guide de l’utilisateur IAM.

AWS politique gérée : AWSDirectoryServiceFullAccess

Vous pouvez associer la politique AWSDirectoryServiceFullAccess à vos identités IAM. Pour consulter les autorisations complètes associées à cette politique, reportez-vous AWSDirectoryServiceFullAccessà la référence des politiques AWS gérées.

Cette politique accorde des autorisations administratives qui permettent au principal d'avoir un accès complet à toutes les AWS Directory Service actions. Les principaux titulaires de ces autorisations peuvent créer, configurer et gérer des annuaires, notamment Simple AD, AD Connector et Managed Microsoft AD. Ils peuvent également gérer le partage d'annuaires, les relations de confiance et les configurations de surveillance. Cette politique inclut des autorisations pour gérer l'infrastructure réseau sous-jacente requise pour les services d'annuaire.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • ds— Permet aux principaux un accès complet à toutes les AWS Directory Service actions.

  • ec2— Permet aux principaux de gérer les interfaces réseau, les groupes de sécurité et de décrire les ressources VPC requises pour les opérations d'annuaire.

  • sns— Permet aux principaux de créer et de gérer des rubriques SNS pour la surveillance des annuaires, en particulier les rubriques dont le nom commence par « »DirectoryMonitoring.

  • iam— Permet aux principaux de répertorier les rôles IAM pour les opérations de service d'annuaire.

  • organizations— Permet aux directeurs de gérer l'intégration des AWS Organisations et l'accès aux enable/disable services pour les services d'annuaire.

AWS politique gérée : AWSDirectoryServiceReadOnlyAccess

Vous pouvez associer la politique AWSDirectoryServiceReadOnlyAccess à vos identités IAM. Pour consulter les autorisations complètes associées à cette politique, reportez-vous AWSDirectoryServiceReadOnlyAccessà la référence des politiques AWS gérées.

Cette politique accorde des autorisations en lecture seule qui permettent aux utilisateurs de consulter les informations dans. AWS Directory Service Les directeurs auxquels cette politique est attachée ne peuvent effectuer aucune mise à jour des annuaires ou de leurs configurations. Par exemple, les principaux disposant de ces autorisations peuvent consulter les détails des annuaires, les relations de confiance et les configurations de surveillance, mais ne peuvent pas créer de nouveaux annuaires ni modifier les annuaires existants. Ils peuvent également consulter les ressources EC2 réseau associées et les rubriques SNS associées aux annuaires.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • ds— Permet aux utilisateurs d'effectuer des actions en lecture seule qui renvoient des informations d'annuaire. Cela inclut les opérations d'API qui commencent par Check DescribeGet,List, ouVerify.

  • ec2— Permet aux utilisateurs de décrire les interfaces réseau, les sous-réseaux et les services d'annuaire VPCs associés.

  • sns— Permet aux utilisateurs de répertorier et d'obtenir des informations sur les sujets et les abonnements SNS utilisés pour la surveillance des annuaires.

  • organizations— Permet aux utilisateurs de décrire les AWS Organizations comptes et les configurations d'accès aux services liés aux services d'annuaire.

AWS politique gérée : AWSDirectoryServiceDataFullAccess

Vous pouvez associer la politique AWSDirectoryServiceDataFullAccess à vos identités IAM. Pour consulter les autorisations complètes associées à cette politique, reportez-vous AWSDirectoryServiceDataFullAccessà la référence des politiques AWS gérées.

Cette politique accorde des autorisations administratives qui permettent un accès complet principal aux opérations relatives aux données du Directory Service. Les administrateurs disposant de ces autorisations peuvent créer, mettre à jour et supprimer des utilisateurs et des groupes Active Directory au sein d'annuaires gérés. Ils peuvent gérer les appartenances aux groupes, activer ou désactiver des utilisateurs et effectuer des opérations complètes de gestion des utilisateurs et des groupes. Cette politique est conçue pour les administrateurs qui doivent gérer des objets Active Directory par programmation.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • ds— Permet aux principaux d'accéder aux données du répertoire via l'API Directory Service Data.

  • ds-data— Permet aux principaux d'accéder à toutes les opérations relatives aux données du service d'annuaire, notamment à la création, à la mise à jour et à la suppression d'utilisateurs et de groupes, à la gestion des appartenances aux groupes et à la recherche d'objets de répertoire.

Politique gérée par AWS  : AWSDirectoryServiceDataReadOnlyAccess

Vous pouvez associer la politique AWSDirectoryServiceDataReadOnlyAccess à vos identités IAM. Pour consulter les autorisations complètes associées à cette politique, reportez-vous AWSDirectoryServiceDataReadOnlyAccessà la référence des politiques AWS gérées.

Cette politique accorde des autorisations en lecture seule qui permettent aux utilisateurs d'afficher et de rechercher des objets Active Directory dans des annuaires gérés. Les directeurs auxquels cette politique est attachée ne peuvent apporter aucune modification aux utilisateurs, aux groupes ou aux adhésions aux groupes. Par exemple, les administrateurs disposant de ces autorisations peuvent rechercher des utilisateurs et des groupes, consulter les détails des utilisateurs et des groupes et répertorier les appartenances aux groupes, mais ne peuvent pas créer, modifier ou supprimer des objets d'annuaire.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • ds— Permet aux principaux d'accéder aux données du répertoire via l'API Directory Service Data.

  • ds-data— Permet aux utilisateurs d'effectuer des actions en lecture seule qui renvoient des informations sur les objets du répertoire. Cela inclut les opérations d'API qui commencent par DescribeList, ouSearch.

AWSDirectoryServiceServiceRolePolicy

Vous ne pouvez pas associer la AWSDirectoryServiceServiceRolePolicy politique à vos identités IAM. Cette politique est associée à un rôle lié à un service qui permet à AWS Directory Service d'effectuer des actions en votre nom. Pour voir les autorisations de cette stratégie, consultez AWSDirectoryServiceServiceRolePolicy dans le AWS Guide de référence des stratégies gérées par.

Cette politique accorde des autorisations qui permettent AWS Directory Service de surveiller et d'évaluer les contrôleurs de domaine autogérés dans les environnements Active Directory hybrides. Le service utilise ces autorisations pour exécuter des évaluations de santé automatisées, exécuter des PowerShell scripts pour les tests de compatibilité et recueillir des informations de configuration réseau afin de garantir une connectivité hybride appropriée et des capacités de restauration automatique.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • ssm— Permet au service d'envoyer des PowerShell commandes aux contrôleurs de domaine locaux et de récupérer les résultats d'exécution des commandes à des fins de surveillance et d'évaluation.

  • ec2— Permet au service de décrire les ressources réseau telles que les sous-réseaux VPCs, les groupes de sécurité et les interfaces réseau afin de valider les configurations de connectivité hybrides.

IAM et AWS Directory Service mises à jour des politiques AWS gérées

Consultez les informations relatives aux mises à jour apportées à l'IAM et aux politiques AWS gérées depuis que le service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur les pages IAM et Historique des AWS Directory Service documents.

Modification Description Date

AWSDirectoryServiceServiceRolePolicy : nouvelle politique

AWS Directory Service a ajouté une nouvelle politique permettant de AWS surveiller les contrôleurs de domaine autogérés d'un client.

 30 juillet 2025

Politique gérée par AWS  : AWSDirectoryServiceDataReadOnlyAccess : nouvelle politique

AWS Directory Service a ajouté une nouvelle politique permettant à un utilisateur ou à un groupe d'accéder à l'affichage et à la recherche d'utilisateurs, de membres et de groupes AD.

 17 septembre 2024

AWS politique gérée : AWSDirectoryServiceDataFullAccess : nouvelle politique

AWS Directory Service a ajouté une nouvelle politique permettant à un utilisateur ou à un groupe d'accéder à la gestion d'objets intégrée avec Directory Service Data pour créer, gérer et afficher les utilisateurs, les membres et les groupes AD.

 17 septembre 2024

AWS Directory Service a commencé à suivre les modifications

AWS Directory Service a commencé à suivre les modifications apportées AWS à ses politiques gérées.

 17 septembre 2024