AWS kebijakan terkelola untuk AWS Directory Service - AWS Directory Service
AWSDirectoryServiceFullAccessAWSDirectoryServiceReadOnlyAccessAWSDirectoryServiceDataFullAccessAWSDirectoryServiceDataReadOnlyAccessAWSDirectoryServiceServiceRolePolicy Pembaruan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk AWS Directory Service

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat Kebijakan terkelola AWS dalam Panduan Pengguna IAM.

Bagian berikut menjelaskan kebijakan AWS terkelola yang khusus untuk AWS Directory Service. Anda dapat melampirkan kebijakan ini ke pengguna di akun Anda.

Untuk informasi selengkapnya, lihat Kebijakan terkelola AWS dalam Panduan Pengguna IAM.

AWS kebijakan terkelola: AWSDirectoryServiceFullAccess

Anda dapat melampirkan kebijakan AWSDirectoryServiceFullAccess ke identitas IAM Anda. Untuk melihat izin lengkap untuk kebijakan ini, lihat AWSDirectoryServiceFullAccessdi Referensi Kebijakan AWS Terkelola.

Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh utama ke semua AWS Directory Service tindakan. Prinsipal dengan izin ini dapat membuat, mengkonfigurasi, dan mengelola direktori, termasuk Simple AD, AD Connector, dan Managed Microsoft AD. Mereka juga dapat mengelola berbagi direktori, hubungan kepercayaan, dan konfigurasi pemantauan. Kebijakan ini mencakup izin untuk mengelola infrastruktur jaringan dasar yang diperlukan untuk layanan direktori.

Detail izin

Kebijakan ini mencakup izin berikut:

  • ds – Mengizinkan bagian utama untuk mendapatkan akses penuh ke semua tindakan AWS Directory Service .

  • ec2— Memungkinkan prinsipal untuk mengelola antarmuka jaringan, grup keamanan, dan menjelaskan sumber daya VPC yang diperlukan untuk operasi direktori.

  • sns— Memungkinkan kepala sekolah untuk membuat dan mengelola topik SNS untuk pemantauan direktori, khususnya topik dengan nama yang dimulai dengan "”. DirectoryMonitoring

  • iam— Memungkinkan kepala sekolah untuk daftar peran IAM untuk operasi layanan direktori.

  • organizations— Memungkinkan prinsipal untuk mengelola integrasi AWS Organisasi dan akses enable/disable layanan untuk layanan direktori.

AWS kebijakan terkelola: AWSDirectoryServiceReadOnlyAccess

Anda dapat melampirkan kebijakan AWSDirectoryServiceReadOnlyAccess ke identitas IAM Anda. Untuk melihat izin lengkap untuk kebijakan ini, lihat AWSDirectoryServiceReadOnlyAccessdi Referensi Kebijakan AWS Terkelola.

Kebijakan ini memberikan izin hanya-baca yang memungkinkan pengguna untuk melihat informasi. AWS Directory Service Prinsipal dengan kebijakan ini terlampir tidak dapat melakukan pembaruan apa pun ke direktori atau konfigurasinya. Misalnya, prinsipal dengan izin ini dapat melihat detail direktori, hubungan kepercayaan, dan konfigurasi pemantauan, tetapi tidak dapat membuat direktori baru atau memodifikasi yang sudah ada. Mereka juga dapat melihat sumber daya EC2 jaringan terkait dan topik SNS yang terkait dengan direktori.

Detail izin

Kebijakan ini mencakup izin berikut:

  • ds— Memungkinkan pengguna untuk melakukan tindakan read-only yang mengembalikan informasi direktori. Ini termasuk operasi API yang dimulai denganCheck,Describe,Get,List, atauVerify.

  • ec2— Memungkinkan pengguna untuk mendeskripsikan antarmuka jaringan, subnet, dan VPCs terkait dengan layanan direktori.

  • sns— Memungkinkan pengguna untuk daftar dan mendapatkan informasi tentang topik SNS dan langganan yang digunakan untuk pemantauan direktori.

  • organizations— Memungkinkan pengguna untuk mendeskripsikan AWS Organizations akun dan konfigurasi akses layanan yang terkait dengan layanan direktori.

AWS kebijakan terkelola: AWSDirectoryServiceDataFullAccess

Anda dapat melampirkan kebijakan AWSDirectoryServiceDataFullAccess ke identitas IAM Anda. Untuk melihat izin lengkap untuk kebijakan ini, lihat AWSDirectoryServiceDataFullAccessdi Referensi Kebijakan AWS Terkelola.

Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh utama ke operasi Directory Service Data. Prinsipal dengan izin ini dapat membuat, memperbarui, dan menghapus pengguna dan grup Active Directory dalam direktori terkelola. Mereka dapat mengelola keanggotaan grup, mengaktifkan atau menonaktifkan pengguna, dan melakukan operasi manajemen pengguna dan grup yang komprehensif. Kebijakan ini dirancang untuk administrator yang perlu mengelola objek Active Directory secara terprogram.

Detail izin

Kebijakan ini mencakup izin berikut:

  • ds— Memungkinkan prinsipal untuk mengakses data direktori melalui Directory Service Data API.

  • ds-data— Memungkinkan prinsipal akses penuh ke semua operasi Directory Service Data, termasuk membuat, memperbarui, dan menghapus pengguna dan grup, mengelola keanggotaan grup, dan mencari objek direktori.

Kebijakan terkelola AWS : AWSDirectoryServiceDataReadOnlyAccess

Anda dapat melampirkan kebijakan AWSDirectoryServiceDataReadOnlyAccess ke identitas IAM Anda. Untuk melihat izin lengkap untuk kebijakan ini, lihat AWSDirectoryServiceDataReadOnlyAccessdi Referensi Kebijakan AWS Terkelola.

Kebijakan ini memberikan izin hanya-baca yang memungkinkan pengguna untuk melihat dan mencari objek Direktori Aktif dalam direktori terkelola. Prinsipal dengan kebijakan ini terlampir tidak dapat melakukan pembaruan apa pun kepada pengguna, grup, atau keanggotaan grup. Misalnya, prinsipal dengan izin ini dapat mencari pengguna dan grup, melihat detail pengguna dan grup, dan daftar keanggotaan grup, tetapi tidak dapat membuat, memodifikasi, atau menghapus objek direktori apa pun.

Detail izin

Kebijakan ini mencakup izin berikut:

  • ds— Memungkinkan prinsipal untuk mengakses data direktori melalui Directory Service Data API.

  • ds-data— Memungkinkan pengguna untuk melakukan tindakan read-only yang mengembalikan informasi objek direktori. Ini termasuk operasi API yang dimulai denganDescribe,List, atauSearch.

AWSDirectoryServiceServiceRolePolicy

Anda tidak dapat melampirkan AWSDirectoryServiceServiceRolePolicy kebijakan ke identitas IAM Anda. Kebijakan ini dilampirkan ke peran terkait layanan yang memungkinkan AWS Directory Service melakukan tindakan atas nama Anda. Untuk melihat izin kebijakan ini, lihat AWSDirectoryServiceServiceRolePolicydi Referensi Kebijakan AWS Terkelola.

Kebijakan ini memberikan izin yang memungkinkan AWS Directory Service untuk memantau dan menilai pengontrol domain yang dikelola sendiri di lingkungan Active Directory hybrid. Layanan ini menggunakan izin ini untuk menjalankan penilaian kesehatan otomatis, menjalankan PowerShell skrip untuk pengujian kompatibilitas, dan mengumpulkan informasi konfigurasi jaringan untuk memastikan konektivitas hibrida yang tepat dan kemampuan pemulihan otomatis.

Detail izin

Kebijakan ini mencakup izin berikut:

  • ssm— Memungkinkan layanan mengirim PowerShell perintah ke pengontrol domain lokal dan mengambil hasil eksekusi perintah untuk tujuan pemantauan dan penilaian.

  • ec2— Memungkinkan layanan untuk menggambarkan sumber daya jaringan seperti VPCs, subnet, grup keamanan, dan antarmuka jaringan untuk memvalidasi konfigurasi konektivitas hybrid.

IAM dan AWS Directory Service pembaruan kebijakan AWS terkelola

Lihat detail tentang pembaruan IAM dan kebijakan AWS terkelola sejak layanan mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman IAM dan Riwayat AWS Directory Service Dokumen.

Perubahan Deskripsi Tanggal

AWSDirectoryServiceServiceRolePolicy – Kebijakan baru

AWS Directory Service menambahkan kebijakan baru AWS untuk memungkinkan memantau pengontrol domain yang dikelola sendiri oleh pelanggan.

 Juli 30, 2025

Kebijakan terkelola AWS : AWSDirectoryServiceDataReadOnlyAccess – Kebijakan baru

AWS Directory Service menambahkan kebijakan baru untuk memungkinkan pengguna atau grup mengakses melihat dan menelusuri pengguna, anggota, dan grup AD.

 September 17, 2024

AWS kebijakan terkelola: AWSDirectoryServiceDataFullAccess – Kebijakan baru

AWS Directory Service menambahkan kebijakan baru untuk mengizinkan pengguna atau grup mengakses pengelolaan objek bawaan dengan Directory Service Data untuk membuat, mengelola, dan melihat pengguna, anggota, dan grup AD.

 September 17, 2024

AWS Directory Service mulai melacak perubahan

AWS Directory Service mulai melacak perubahan untuk kebijakan yang AWS dikelola.

 September 17, 2024