Otorisasi untuk AWS aplikasi dan layanan menggunakan AWS Directory Service - AWS Directory Service
Mengotorisasi sebuah AWS aplikasi pada Direktori Aktif AWS otorisasi aplikasi dengan Directory Service Data

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Otorisasi untuk AWS aplikasi dan layanan menggunakan AWS Directory Service

Topik ini menjelaskan otorisasi untuk AWS aplikasi dan layanan menggunakan AWS Directory Service and AWS Directory Service Data

Mengotorisasi sebuah AWS aplikasi pada Direktori Aktif

AWS Directory Service memberikan izin khusus untuk aplikasi yang dipilih untuk diintegrasikan secara mulus dengan Direktori Aktif Anda saat Anda mengotorisasi AWS aplikasi. AWS aplikasi hanya diberikan akses yang diperlukan untuk kasus penggunaan spesifiknya. Berikut ini adalah seperangkat izin internal yang diberikan kepada aplikasi dan administrator aplikasi setelah otorisasi:

catatan

ds:AuthorizationApplicationIzin diperlukan untuk mengotorisasi yang baru AWS aplikasi untuk Active Directory. Izin untuk tindakan ini hanya boleh diberikan kepada Administrator yang mengonfigurasi integrasi dengan Directory Service.

  • Baca akses ke data pengguna, grup, unit organisasi, komputer, atau otoritas sertifikasi Active Directory di semua Unit Organisasi (OU) AWS Direktori Microsoft AD, Simple AD, AD Connector yang dikelola, serta domain tepercaya untuk AWS Microsoft AD yang dikelola jika diizinkan oleh hubungan kepercayaan.

  • Menulis akses ke pengguna, grup, keanggotaan grup, komputer, atau data otoritas sertifikasi di unit organisasi Anda AWS Microsoft AD yang dikelola. Tulis akses ke semua OU Simple AD.

  • Otentikasi dan manajemen sesi pengguna Active Directory untuk semua jenis direktori.

Tertentu AWS Aplikasi Microsoft AD yang dikelola seperti Amazon RDS dan Amazon FSx terintegrasi melalui koneksi jaringan langsung ke Active Directory Anda. Dalam hal ini, interaksi direktori menggunakan protokol Active Directory asli seperti LDAP dan Kerberos. Izin ini AWS aplikasi dikendalikan oleh akun pengguna direktori yang dibuat di AWS Unit Organisasi Cadangan (OU) selama otorisasi aplikasi, yang mencakup DNS manajemen dan akses penuh ke OU khusus yang dibuat untuk aplikasi. Untuk menggunakan akun ini, aplikasi memerlukan izin untuk ds:GetAuthorizedApplicationDetails bertindak melalui kredensi pemanggil atau peran. IAM

Untuk informasi lebih lanjut tentang AWS Directory Service APIizin, lihatAWS Directory Service APIizin: Referensi tindakan, sumber daya, dan kondisi.

Untuk informasi lebih lanjut tentang mengaktifkan AWS aplikasi dan layanan untuk AWS Microsoft AD yang dikelola, lihatAktifkan akses ke AWS aplikasi dan layanan. Untuk informasi lebih lanjut tentang mengaktifkan AWS aplikasi dan layanan untuk Simple AD, lihatAktifkan akses ke AWS aplikasi dan layanan. Untuk informasi tentang mengaktifkan AWS aplikasi dan layanan untuk AD Connector, lihatAktifkan akses ke AWS aplikasi dan layanan.

Menanggalkan otorisasi AWS aplikasi pada Direktori Aktif

ds:UnauthorizedApplicationIzin diperlukan untuk menghapus izin untuk AWS aplikasi untuk mengakses Active Directory. Ikuti prosedur yang disediakan aplikasi untuk menonaktifkannya.

AWS otorisasi aplikasi dengan Directory Service Data

Untuk AWS Direktori Microsoft AD yang dikelola, Directory Service Data (ds-data) API menyediakan akses terprogram ke tugas manajemen pengguna dan grup. Model otorisasi AWS aplikasi terpisah dari kontrol akses Directory Service Data, yang berarti bahwa kebijakan akses untuk tindakan Directory Service Data tidak mempengaruhi otorisasi untuk AWS aplikasi. Menolak akses ke direktori di ds-data tidak akan mengganggu AWS Integrasi aplikasi atau kasus penggunaan AWS aplikasi.

Saat menulis kebijakan akses untuk AWS Direktori Microsoft AD terkelola yang mengotorisasi AWS aplikasi, ketahuilah bahwa fungsionalitas pengguna dan grup mungkin tersedia dengan memanggil salah satu yang berwenang AWS Aplikasi atau Directory Service DataAPI. Amazon WorkDocs, Amazon WorkMail, Amazon WorkSpaces, Amazon QuickSight, dan Amazon Chime semuanya menyediakan tindakan manajemen pengguna dan grup di dalamnya. APIs Kontrol akses ke ini AWS fungsionalitas aplikasi dengan IAM kebijakan.

Contoh

Cuplikan berikut menunjukkan cara yang salah dan benar untuk menolak DeleteUser fungsionalitas saat AWS aplikasi, seperti Amazon WorkDocs dan Amazon WorkMail, diotorisasi di direktori.

Salah 

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ds-data:DeleteUser"
            ],
            "Resource": "*"
        }
    ]
}

Benar 

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ds-data:DeleteUser",
                "workmail:DeleteUser",
                "workdocs:DeleteUser"
            ],
            "Resource": "*"
        }
    ]
}