Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Tindakan, sumber daya, dan kunci kondisi untuk AWS Directory Service
AWS Directory Service (awalan layanan:ds) menyediakan sumber daya, tindakan, dan kunci konteks kondisi khusus layanan berikut untuk digunakan dalam kebijakan izin IAM.
Referensi:
-
Pelajari cara mengonfigurasi layanan ini.
-
Lihat daftar Operasi API yang tersedia untuk layanan ini.
-
Pelajari cara mengamankan layanan ini dan sumber dayanya dengan menggunakan kebijakan izin IAM.
Topik
Tindakan yang ditentukan oleh AWS Directory Service
Anda dapat menyebutkan tindakan berikut dalam elemen Action pernyataan kebijakan IAM. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Saat Anda menggunakan sebuah tindakan dalam sebuah kebijakan, Anda biasanya mengizinkan atau menolak akses ke operasi API atau perintah CLI dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan tunggal mengontrol akses ke lebih dari satu operasi. Atau, beberapa operasi memerlukan beberapa tindakan yang berbeda.
Kolom tipe sumber daya pada tabel Tindakan menunjukkan apakah setiap tindakan mendukung izin tingkat sumber daya. Jika tidak ada nilai untuk kolom ini, Anda harus menentukan semua sumber daya (“*”) yang berlaku kebijakan dalam Resource elemen pernyataan kebijakan Anda. Jika kolom mencantumkan jenis sumber daya, maka Anda dapat menyebutkan ARN dengan jenis tersebut dalam sebuah pernyataan dengan tindakan tersebut. Jika tindakan memiliki satu atau lebih sumber daya yang diperlukan, pemanggil harus memiliki izin untuk menggunakan tindakan dengan sumber daya tersebut. Sumber daya yang diperlukan ditunjukkan dalam tabel dengan tanda bintang (*). Jika Anda membatasi akses sumber daya dengan Resource elemen dalam kebijakan IAM, Anda harus menyertakan ARN atau pola untuk setiap jenis sumber daya yang diperlukan. Beberapa tindakan mendukung berbagai jenis sumber daya. Jika jenis sumber daya opsional (tidak ditunjukkan sesuai kebutuhan), maka Anda dapat memilih untuk menggunakan salah satu jenis sumber daya opsional.
Kolom Condition keys pada tabel Actions menyertakan kunci yang dapat Anda tentukan dalam Condition elemen pernyataan kebijakan. Untuk informasi selengkapnya tentang kunci kondisi yang terkait dengan sumber daya untuk layanan, lihat kolom Kunci kondisi pada tabel Jenis sumber daya.
catatan
Kunci kondisi sumber daya tercantum dalam tabel Jenis sumber daya. Anda dapat menemukan tautan ke jenis sumber daya yang berlaku untuk tindakan di kolom Jenis sumber daya (*wajib) pada tabel Tindakan. Jenis sumber daya dalam tabel Jenis sumber daya menyertakan kolom Kunci kondisi, yang merupakan kunci kondisi sumber daya yang berlaku untuk tindakan dalam tabel Tindakan.
Untuk detail tentang kolom dalam tabel berikut, lihat tabel Tindakan.
| Tindakan | Deskripsi | Tingkat akses | Jenis sumber daya (*diperlukan) | Kunci syarat | Tindakan bergantung |
|---|---|---|---|---|---|
| AcceptSharedDirectory | Memberikan izin untuk menerima permintaan berbagi direktori yang dikirim dari akun pemilik direktori | Tulis | |||
| AddIpRoutes | Memberikan izin untuk menambahkan blok alamat CIDR untuk merutekan lalu lintas dengan benar ke dan dari Microsoft AD Anda di Amazon Web Services | Tulis |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:DescribeSecurityGroups |
||
| AddRegion | Memberikan izin untuk menambahkan dua pengontrol domain di Wilayah tertentu untuk direktori yang ditentukan | Tulis |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| AddTagsToResource | Memberikan izin untuk menambah atau menimpa satu atau beberapa tag untuk direktori Layanan Direktori Amazon yang ditentukan | Penandaan |
ec2:CreateTags |
||
| AuthorizeApplication[hanya izin] | Memberikan izin untuk mengotorisasi aplikasi untuk Direktori Anda AWS | Tulis | |||
| CancelSchemaExtension | Memberikan izin untuk membatalkan ekstensi skema yang sedang berlangsung ke direktori Microsoft AD | Tulis | |||
| CheckAlias[hanya izin] | Memberikan izin untuk memverifikasi bahwa alias tersedia untuk digunakan | Baca | |||
| ConnectDirectory | Memberikan izin untuk membuat AD Connector untuk terhubung ke direktori lokal | Tulis |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateAlias | Memberikan izin untuk membuat alias untuk direktori dan menetapkan alias ke direktori | Tulis | |||
| CreateComputer | Memberikan izin untuk membuat akun komputer di direktori yang ditentukan, dan bergabung dengan komputer ke direktori | Tulis | |||
| CreateConditionalForwarder | Memberikan izin untuk membuat forwarder bersyarat yang terkait dengan direktori Anda AWS | Tulis | |||
| CreateDirectory | Memberikan izin untuk membuat direktori Simple AD | Tulis |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateIdentityPoolDirectory[hanya izin] | Memberikan izin untuk membuat IdentityPool Direktori di cloud AWS | Tulis | |||
| CreateLogSubscription | Memberikan izin untuk membuat langganan untuk meneruskan log keamanan pengontrol domain Directory Service secara real time ke grup CloudWatch log yang ditentukan di Akun AWS | Tulis | |||
| CreateMicrosoftAD | Memberikan izin untuk membuat Microsoft AD di cloud AWS | Tulis |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateSnapshot | Memberikan izin untuk membuat snapshot dari Simple AD atau direktori Microsoft AD di cloud AWS | Tulis | |||
| CreateTrust | Memberikan izin untuk memulai pembuatan AWS sisi hubungan kepercayaan antara Microsoft AD di AWS cloud dan domain eksternal | Tulis | |||
| DeleteConditionalForwarder | Memberikan izin untuk menghapus forwarder bersyarat yang telah disiapkan untuk direktori Anda AWS | Tulis | |||
| DeleteDirectory | Memberikan izin untuk menghapus AWS direktori Directory Service | Tulis |
ec2:DeleteNetworkInterface ec2:DeleteSecurityGroup ec2:DescribeNetworkInterfaces ec2:RevokeSecurityGroupEgress ec2:RevokeSecurityGroupIngress |
||
| DeleteLogSubscription | Memberikan izin untuk menghapus langganan log yang ditentukan | Tulis | |||
| DeleteSnapshot | Memberikan izin untuk menghapus snapshot direktori | Tulis | |||
| DeleteTrust | Memberikan izin untuk menghapus hubungan kepercayaan yang ada antara Microsoft AD Anda di AWS cloud dan domain eksternal | Tulis | |||
| DeregisterCertificate | Memberikan izin untuk menghapus dari sistem sertifikat yang terdaftar untuk koneksi LDAP yang aman | Tulis | |||
| DeregisterEventTopic | Memberikan izin untuk menghapus direktori yang ditentukan sebagai penerbit ke topik SNS yang ditentukan | Tulis | |||
| DescribeCertificate | Memberikan izin untuk menampilkan informasi tentang sertifikat yang terdaftar untuk koneksi LDAP yang aman | Baca | |||
| DescribeClientAuthenticationSettings | Memberikan izin untuk mengambil informasi tentang jenis otentikasi klien untuk direktori yang ditentukan, jika jenisnya ditentukan. Jika tidak ada jenis yang ditentukan, informasi tentang semua jenis otentikasi klien yang didukung untuk direktori yang ditentukan akan diambil. Saat ini, SmartCard hanya didukung | Baca | |||
| DescribeConditionalForwarders | Memberikan izin untuk mendapatkan informasi tentang forwarder bersyarat untuk akun ini | Baca | |||
| DescribeDirectories | Memberikan izin untuk mendapatkan informasi tentang direktori milik akun ini | Daftar | |||
| DescribeDomainControllers | Memberikan izin untuk memberikan informasi tentang pengontrol domain apa pun di direktori Anda | Baca | |||
| DescribeEventTopics | Memberikan izin untuk mendapatkan informasi tentang topik SNS mana yang menerima pesan status dari direktori yang ditentukan | Baca | |||
| DescribeLDAPSSettings | Memberikan izin untuk menjelaskan status keamanan LDAP untuk direktori yang ditentukan | Baca | |||
| DescribeRegions | Memberikan izin untuk memberikan informasi tentang Wilayah yang dikonfigurasi untuk replikasi Multi-wilayah | Baca | |||
| DescribeSettings | Memberikan izin untuk mengambil informasi tentang pengaturan yang dapat dikonfigurasi untuk direktori yang ditentukan | Baca | |||
| DescribeSharedDirectories | Memberikan izin untuk mengembalikan direktori bersama di akun Anda | Baca | |||
| DescribeSnapshots | Memberikan izin untuk mendapatkan informasi tentang snapshot direktori milik akun ini | Baca | |||
| DescribeTrusts | Memberikan izin untuk mendapatkan informasi tentang hubungan kepercayaan untuk akun ini | Baca | |||
| DescribeUpdateDirectory | Memberikan izin untuk menjelaskan pembaruan direktori untuk jenis pembaruan tertentu | Baca | |||
| DisableClientAuthentication | Memberikan izin untuk menonaktifkan metode otentikasi klien alternatif untuk direktori yang ditentukan | Tulis | |||
| DisableLDAPS | Memberikan izin untuk menonaktifkan panggilan aman LDAP untuk direktori yang ditentukan | Tulis | |||
| DisableRadius | Memberikan izin untuk menonaktifkan otentikasi multi-faktor (MFA) dengan server Remote Authentication Dial In User Service (RADIUS) untuk direktori AD Connector | Tulis | |||
| DisableRoleAccess[hanya izin] | Memberikan izin untuk menonaktifkan AWS Management Console akses identitas di Direktori Anda AWS | Tulis | |||
| DisableSso | Memberikan izin untuk menonaktifkan single-sign on untuk direktori | Tulis | |||
| EnableClientAuthentication | Memberikan izin untuk mengaktifkan metode otentikasi klien alternatif untuk direktori yang ditentukan | Tulis | |||
| EnableLDAPS | Memberikan izin untuk mengaktifkan sakelar untuk direktori tertentu agar selalu menggunakan panggilan aman LDAP | Tulis | |||
| EnableRadius | Memberikan izin untuk mengaktifkan otentikasi multi-faktor (MFA) dengan server Remote Authentication Dial In User Service (RADIUS) untuk direktori AD Connector | Tulis | |||
| EnableRoleAccess[hanya izin] | Memberikan izin untuk mengaktifkan AWS Management Console akses identitas di Direktori Anda AWS | Tulis |
iam:PassRole |
||
| EnableSso | Memberikan izin untuk mengaktifkan single-sign on untuk direktori | Tulis | |||
| GetAuthorizedApplicationDetails[hanya izin] | Memberikan izin untuk mengambil rincian aplikasi resmi pada direktori | Baca | |||
| GetDirectoryLimits | Memberikan izin untuk mendapatkan informasi batas direktori untuk wilayah saat ini | Baca | |||
| GetSnapshotLimits | Memberikan izin untuk mendapatkan batas snapshot manual untuk direktori | Baca | |||
| ListAuthorizedApplications[hanya izin] | Memberikan izin untuk mendapatkan AWS aplikasi yang diotorisasi untuk direktori | Baca | |||
| ListCertificates | Memberikan izin untuk mencantumkan semua sertifikat yang terdaftar untuk koneksi LDAP aman, untuk direktori yang ditentukan | Daftar | |||
| ListIpRoutes | Memberikan izin untuk mencantumkan blok alamat yang telah Anda tambahkan ke direktori | Baca | |||
| ListLogSubscriptions | Memberikan izin untuk membuat daftar langganan log aktif untuk Akun AWS | Baca | |||
| ListSchemaExtensions | Memberikan izin untuk mencantumkan semua ekstensi skema yang diterapkan ke Direktori Microsoft AD | Daftar | |||
| ListTagsForResource | Memberikan izin untuk mencantumkan semua tag di direktori Layanan Direktori Amazon | Baca | |||
| RegisterCertificate | Memberikan izin untuk mendaftarkan sertifikat untuk koneksi LDAP yang aman | Tulis | |||
| RegisterEventTopic | Memberikan izin untuk mengaitkan direktori dengan topik SNS | Tulis |
sns:GetTopicAttributes |
||
| RejectSharedDirectory | Memberikan izin untuk menolak permintaan berbagi direktori yang dikirim dari akun pemilik direktori | Tulis | |||
| RemoveIpRoutes | Memberikan izin untuk menghapus blok alamat IP dari direktori | Tulis | |||
| RemoveRegion | Memberikan izin untuk menghentikan semua replikasi dan menghapus pengontrol domain dari Wilayah yang ditentukan. Anda tidak dapat menghapus Wilayah utama dengan operasi ini | Tulis | |||
| RemoveTagsFromResource | Memberikan izin untuk menghapus tag dari direktori Layanan Direktori Amazon | Penandaan |
ec2:DeleteTags |
||
| ResetUserPassword | Memberikan izin untuk mengatur ulang kata sandi untuk setiap pengguna di direktori AD Microsoft AWS Terkelola atau Simple AD | Tulis | |||
| RestoreFromSnapshot | Memberikan izin untuk memulihkan direktori menggunakan snapshot direktori yang ada | Tulis | |||
| ShareDirectory | Memberikan izin untuk berbagi direktori tertentu di Akun AWS (pemilik direktori) Anda dengan yang lain Akun AWS (konsumen direktori). Dengan operasi ini, Anda dapat menggunakan direktori Anda dari mana saja Akun AWS dan dari VPC Amazon mana pun Wilayah AWS | Tulis | |||
| StartSchemaExtension | Memberikan izin untuk menerapkan ekstensi skema ke direktori Microsoft AD | Tulis | |||
| UnauthorizeApplication[hanya izin] | Memberikan izin untuk membatalkan otorisasi aplikasi dari Direktori Anda AWS | Tulis | |||
| UnshareDirectory | Memberikan izin untuk menghentikan pembagian direktori antara pemilik direktori dan akun konsumen | Tulis | |||
| UpdateAuthorizedApplication[hanya izin] | Memberikan izin untuk memperbarui aplikasi resmi untuk Direktori Anda AWS | Tulis | |||
| UpdateConditionalForwarder | Memberikan izin untuk memperbarui forwarder bersyarat yang telah disiapkan untuk direktori Anda AWS | Tulis | |||
| UpdateDirectory[hanya izin] | Memberikan izin untuk memperbarui konfigurasi seperti kredensi akun layanan atau alamat IP server DNS untuk direktori yang ditentukan | Tulis | |||
| UpdateDirectorySetup | Memberikan izin untuk memperbarui direktori untuk jenis pembaruan tertentu | Tulis | |||
| UpdateNumberOfDomainControllers | Memberikan izin untuk menambah atau menghapus pengontrol domain ke atau dari direktori. Berdasarkan perbedaan antara nilai saat ini dan nilai baru (disediakan melalui panggilan API ini), pengontrol domain akan ditambahkan atau dihapus. Diperlukan waktu hingga 45 menit agar pengontrol domain baru menjadi aktif sepenuhnya setelah jumlah pengontrol domain yang diminta diperbarui. Selama waktu ini, Anda tidak dapat membuat permintaan pembaruan lain | Tulis | |||
| UpdateRadius | Memberikan izin untuk memperbarui informasi server Remote Authentication Dial In User Service (RADIUS) untuk direktori AD Connector | Tulis | |||
| UpdateSettings | Memberikan izin untuk memperbarui pengaturan yang dapat dikonfigurasi untuk direktori yang ditentukan | Tulis | |||
| UpdateTrust | Memberikan izin untuk memperbarui kepercayaan yang telah disiapkan antara direktori Microsoft AD yang AWS Dikelola dan Direktori Aktif lokal | Tulis | |||
| VerifyTrust | Memberikan izin untuk memverifikasi hubungan kepercayaan antara Microsoft AD Anda di AWS cloud dan domain eksternal | Baca |
Jenis sumber daya yang ditentukan oleh AWS Directory Service
Jenis sumber daya berikut ditentukan oleh layanan ini dan dapat digunakan dalam elemen Resource pernyataan kebijakan izin IAM. Setiap tindakan dalam Tabel tindakan mengidentifikasi jenis sumber daya yang dapat ditentukan dengan tindakan tersebut. Jenis sumber daya juga dapat menentukan kunci kondisi mana yang dapat Anda sertakan dalam kebijakan. Tombol-tombol ini ditampilkan di kolom terakhir dari tabel Jenis sumber daya. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tipe sumber daya.
| Jenis sumber daya | ARN | Kunci syarat |
|---|---|---|
| directory |
arn:${Partition}:ds:${Region}:${Account}:directory/${DirectoryId}
|
Kunci kondisi untuk AWS Directory Service
AWS Directory Service mendefinisikan kunci kondisi berikut yang dapat digunakan dalam Condition elemen kebijakan IAM. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut saat pernyataan kebijakan berlaku. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tombol kondisi.
Untuk melihat kunci kondisi global yang tersedia untuk semua layanan, lihat Kunci kondisi global yang tersedia.
| Kunci syarat | Deskripsi | Jenis |
|---|---|---|
| aws:RequestTag/${TagKey} | Memfilter akses berdasarkan nilai permintaan ke AWS DS | String |
| aws:ResourceTag/${TagKey} | Memfilter akses oleh Sumber Daya AWS DS yang ditindaklanjuti | String |
| aws:TagKeys | Filter akses berdasarkan kunci tanda yang diberikan dalam permintaan | ArrayOfString |
