Tindakan, sumber daya, dan kunci kondisi untuk AWS Directory Service - Referensi Otorisasi Layanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tindakan, sumber daya, dan kunci kondisi untuk AWS Directory Service

AWSDirectory Service (awalan layanan:ds) menyediakan sumber daya, tindakan, dan kunci konteks kondisi spesifik layanan berikut untuk digunakan dalam kebijakan izin IAM.

Referensi:

Tindakan yang ditentukan oleh AWS Directory Service

Anda dapat menyebutkan tindakan berikut dalam elemen Action pernyataan kebijakan IAM. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Saat Anda menggunakan sebuah tindakan dalam sebuah kebijakan, Anda biasanya mengizinkan atau menolak akses ke operasi API atau perintah CLI dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan tunggal mengontrol akses ke lebih dari satu operasi. Atau, beberapa operasi memerlukan beberapa tindakan yang berbeda.

Kolom tipe sumber daya pada tabel Tindakan menunjukkan apakah setiap tindakan mendukung izin tingkat sumber daya. Jika tidak ada nilai untuk kolom ini, Anda harus menentukan semua sumber daya (“*”) yang diterapkan kebijakan dalam Resource elemen pernyataan kebijakan Anda. Jika kolom mencantumkan jenis sumber daya, maka Anda dapat menyebutkan ARN dengan jenis tersebut dalam sebuah pernyataan dengan tindakan tersebut. Jika tindakan memiliki satu atau lebih sumber daya yang diperlukan, pemanggil harus memiliki izin untuk menggunakan tindakan dengan sumber daya tersebut. Sumber daya yang diperlukan ditunjukkan dalam tabel dengan tanda bintang (*). Jika Anda membatasi akses sumber daya dengan Resource elemen dalam kebijakan IAM, Anda harus menyertakan ARN atau pola untuk setiap jenis sumber daya yang diperlukan. Beberapa tindakan mendukung berbagai jenis sumber daya. Jika jenis sumber daya opsional (tidak ditunjukkan sesuai kebutuhan), maka Anda dapat memilih untuk menggunakan salah satu jenis sumber daya opsional.

Kolom Condition keys pada tabel Actions menyertakan kunci yang dapat Anda tentukan dalam Condition elemen pernyataan kebijakan. Untuk informasi selengkapnya tentang kunci kondisi yang terkait dengan sumber daya untuk layanan, lihat kolom Kunci kondisi pada tabel Jenis sumber daya.

catatan

Kunci kondisi sumber daya tercantum dalam tabel Jenis sumber daya. Anda dapat menemukan tautan ke jenis sumber daya yang berlaku untuk tindakan di kolom Jenis sumber daya (*wajib) pada tabel Tindakan. Jenis sumber daya dalam tabel Jenis sumber daya menyertakan kolom Kunci kondisi, yang merupakan kunci kondisi sumber daya yang berlaku untuk tindakan dalam tabel Tindakan.

Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tindakan.

Tindakan Deskripsi Tingkat akses Jenis sumber daya (*wajib) Kunci kondisi Tindakan bergantung
AcceptSharedDirectory Memberikan izin untuk menerima permintaan berbagi direktori yang dikirim dari akun pemilik direktori Tulis

directory*

AddIpRoutes Memberikan izin untuk menambahkan blok alamat CIDR untuk merutekan lalu lintas dengan benar ke dan dari Microsoft AD Anda di Amazon Web Services Tulis

directory*

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:DescribeSecurityGroups

AddRegion Memberikan izin untuk menambahkan dua pengontrol domain di Wilayah tertentu untuk direktori yang ditentukan Tulis

directory*

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateNetworkInterface

ec2:CreateSecurityGroup

ec2:CreateTags

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

AddTagsToResource Memberikan izin untuk menambahkan atau menimpa satu atau beberapa tag untuk direktori Layanan Direktori Amazon yang ditentukan Penandaan

directory*

ec2:CreateTags

aws:RequestTag/${TagKey}

aws:TagKeys

AuthorizeApplication[hanya izin] Memberikan izin untuk mengotorisasi aplikasi untuk Direktori Anda AWS Tulis

directory*

CancelSchemaExtension Memberikan izin untuk membatalkan ekstensi skema yang sedang berlangsung ke direktori Microsoft AD Tulis

directory*

CheckAlias[hanya izin] Memberikan izin untuk memverifikasi bahwa alias tersedia untuk digunakan Baca
ConnectDirectory Memberikan izin untuk membuat AD Connector untuk terhubung ke direktori lokal Tulis

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateNetworkInterface

ec2:CreateSecurityGroup

ec2:CreateTags

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

CreateAlias Memberikan izin untuk membuat alias untuk direktori dan menetapkan alias ke direktori Tulis

directory*

CreateComputer Memberikan izin untuk membuat akun komputer di direktori yang ditentukan, dan bergabung dengan komputer ke direktori Tulis

directory*

CreateConditionalForwarder Memberikan izin untuk membuat forwarder kondisional yang terkait dengan direktori Anda AWS Tulis

directory*

CreateDirectory Memberikan izin untuk membuat direktori Simple AD Tulis

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateNetworkInterface

ec2:CreateSecurityGroup

ec2:CreateTags

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

CreateIdentityPoolDirectory[hanya izin] Memberikan izin untuk membuat IdentityPool Direktori di cloud AWS Tulis

aws:RequestTag/${TagKey}

aws:TagKeys

CreateLogSubscription Memberikan izin untuk membuat langganan untuk meneruskan log keamanan pengontrol domain Directory Service secara real time ke grup CloudWatch log yang ditentukan di Akun AWS Tulis

directory*

CreateMicrosoftAD Memberikan izin untuk membuat Microsoft AD di cloud AWS Tulis

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateNetworkInterface

ec2:CreateSecurityGroup

ec2:CreateTags

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

CreateSnapshot Memberikan izin untuk membuat snapshot dari Simple AD atau direktori Microsoft AD di cloud AWS Tulis

directory*

CreateTrust Memberikan izin untuk memulai pembuatan AWS sisi hubungan kepercayaan antara Microsoft AD di AWS cloud dan domain eksternal Tulis

directory*

DeleteConditionalForwarder Memberikan izin untuk menghapus forwarder bersyarat yang telah disiapkan untuk direktori Anda AWS Tulis

directory*

DeleteDirectory Memberikan izin untuk menghapus AWS direktori Directory Service Tulis

directory*

ec2:DeleteNetworkInterface

ec2:DeleteSecurityGroup

ec2:DescribeNetworkInterfaces

ec2:RevokeSecurityGroupEgress

ec2:RevokeSecurityGroupIngress

DeleteLogSubscription Memberikan izin untuk menghapus langganan log yang ditentukan Tulis

directory*

DeleteSnapshot Memberikan izin untuk menghapus snapshot direktori Tulis

directory*

DeleteTrust Memberikan izin untuk menghapus hubungan kepercayaan yang ada antara Microsoft AD Anda di AWS cloud dan domain eksternal Tulis

directory*

DeregisterCertificate Memberikan izin untuk menghapus dari sistem sertifikat yang terdaftar untuk koneksi LDAP yang aman Tulis

directory*

DeregisterEventTopic Memberikan izin untuk menghapus direktori tertentu sebagai penerbit ke topik SNS yang ditentukan Tulis

directory*

DescribeCertificate Memberikan izin untuk menampilkan informasi tentang sertifikat yang terdaftar untuk koneksi LDAP yang aman Baca

directory*

DescribeClientAuthenticationSettings Memberikan izin untuk mengambil informasi tentang jenis otentikasi klien untuk direktori yang ditentukan, jika jenisnya ditentukan. Jika tidak ada jenis yang ditentukan, informasi tentang semua jenis otentikasi klien yang didukung untuk direktori yang ditentukan akan diambil. Saat ini, SmartCard hanya didukung Baca

directory*

DescribeConditionalForwarders Memberikan izin untuk mendapatkan informasi tentang forwarder bersyarat untuk akun ini Baca

directory*

DescribeDirectories Memberikan izin untuk mendapatkan informasi tentang direktori milik akun ini Daftar
DescribeDomainControllers Memberikan izin untuk memberikan informasi tentang pengontrol domain apa pun di direktori Anda Baca

directory*

DescribeEventTopics Memberikan izin untuk mendapatkan informasi tentang topik SNS mana yang menerima pesan status dari direktori yang ditentukan Baca

directory*

DescribeLDAPSSettings Memberikan izin untuk menjelaskan status keamanan LDAP untuk direktori yang ditentukan Baca

directory*

DescribeRegions Memberikan izin untuk memberikan informasi tentang Wilayah yang dikonfigurasi untuk replikasi Multi-wilayah Baca

directory*

DescribeSettings Memberikan izin untuk mengambil informasi tentang pengaturan yang dapat dikonfigurasi untuk direktori yang ditentukan Baca

directory*

DescribeSharedDirectories Memberikan izin untuk mengembalikan direktori bersama di akun Anda Baca

directory*

DescribeSnapshots Memberikan izin untuk mendapatkan informasi tentang snapshot direktori milik akun ini Baca
DescribeTrusts Memberikan izin untuk mendapatkan informasi tentang hubungan kepercayaan untuk akun ini Baca
DescribeUpdateDirectory Memberikan izin untuk menjelaskan pembaruan direktori untuk jenis pembaruan tertentu Baca

directory*

DisableClientAuthentication Memberikan izin untuk menonaktifkan metode otentikasi klien alternatif untuk direktori yang ditentukan Tulis

directory*

DisableLDAPS Memberikan izin untuk menonaktifkan panggilan aman LDAP untuk direktori yang ditentukan Tulis

directory*

DisableRadius Memberikan izin untuk menonaktifkan otentikasi multi-faktor (MFA) dengan server Remote Authentication Dial In User Service (RADIUS) untuk direktori AD Connector Tulis

directory*

DisableRoleAccess[hanya izin] Memberikan izin untuk menonaktifkan AWS Management Console akses identitas di Direktori Anda AWS Tulis

directory*

DisableSso Memberikan izin untuk menonaktifkan single-sign on untuk direktori Tulis

directory*

EnableClientAuthentication Memberikan izin untuk mengaktifkan metode otentikasi klien alternatif untuk direktori yang ditentukan Tulis

directory*

EnableLDAPS Memberikan izin untuk mengaktifkan sakelar untuk direktori tertentu agar selalu menggunakan panggilan aman LDAP Tulis

directory*

EnableRadius Memberikan izin untuk mengaktifkan otentikasi multi-faktor (MFA) dengan server Remote Authentication Dial In User Service (RADIUS) untuk direktori AD Connector Tulis

directory*

EnableRoleAccess[hanya izin] Memberikan izin untuk mengaktifkan AWS Management Console akses identitas di Direktori Anda AWS Tulis

directory*

iam:PassRole

EnableSso Memberikan izin untuk mengaktifkan masuk tunggal untuk direktori Tulis

directory*

GetAuthorizedApplicationDetails[hanya izin] Memberikan izin untuk mengambil rincian aplikasi resmi pada direktori Baca

directory*

GetDirectoryLimits Memberikan izin untuk mendapatkan informasi batas direktori untuk wilayah saat ini Baca
GetSnapshotLimits Memberikan izin untuk mendapatkan batas snapshot manual untuk direktori Baca

directory*

ListAuthorizedApplications[hanya izin] Memberikan izin untuk mendapatkan AWS aplikasi yang diotorisasi untuk direktori Baca

directory*

ListCertificates Memberikan izin untuk mencantumkan semua sertifikat yang terdaftar untuk koneksi LDAP aman, untuk direktori yang ditentukan Daftar

directory*

ListIpRoutes Memberikan izin untuk mencantumkan blok alamat yang telah Anda tambahkan ke direktori Baca

directory*

ListLogSubscriptions Memberikan izin untuk membuat daftar langganan log aktif untuk Akun AWS Baca
ListSchemaExtensions Memberikan izin untuk mencantumkan semua ekstensi skema yang diterapkan ke Direktori Microsoft AD Daftar

directory*

ListTagsForResource Memberikan izin untuk mencantumkan semua tag di direktori Layanan Direktori Amazon Baca

directory*

RegisterCertificate Memberikan izin untuk mendaftarkan sertifikat untuk koneksi LDAP yang aman Tulis

directory*

RegisterEventTopic Memberikan izin untuk mengaitkan direktori dengan topik SNS Tulis

directory*

sns:GetTopicAttributes

RejectSharedDirectory Memberikan izin untuk menolak permintaan berbagi direktori yang dikirim dari akun pemilik direktori Tulis

directory*

RemoveIpRoutes Memberikan izin untuk menghapus blok alamat IP dari direktori Tulis

directory*

RemoveRegion Memberikan izin untuk menghentikan semua replikasi dan menghapus pengontrol domain dari Wilayah yang ditentukan. Anda tidak dapat menghapus Wilayah utama dengan operasi ini Tulis

directory*

RemoveTagsFromResource Memberikan izin untuk menghapus tag dari direktori Layanan Direktori Amazon Penandaan

directory*

ec2:DeleteTags

aws:RequestTag/${TagKey}

aws:TagKeys

ResetUserPassword Memberikan izin untuk mengatur ulang kata sandi untuk setiap pengguna di iklan AWS Microsoft atau direktori Simple AD Tulis

directory*

RestoreFromSnapshot Memberikan izin untuk memulihkan direktori menggunakan snapshot direktori yang ada Tulis

directory*

ShareDirectory Memberikan izin untuk berbagi direktori tertentu di Akun AWS (pemilik direktori) Anda dengan yang lain Akun AWS (konsumen direktori). Dengan operasi ini, Anda dapat menggunakan direktori Anda dari mana saja Akun AWS dan dari VPC Amazon dalam Wilayah AWS Tulis

directory*

StartSchemaExtension Memberikan izin untuk menerapkan ekstensi skema ke direktori Microsoft AD Tulis

directory*

UnauthorizeApplication[hanya izin] Memberikan izin untuk membatalkan otorisasi aplikasi dari Direktori Anda AWS Tulis

directory*

UnshareDirectory Memberikan izin untuk menghentikan berbagi direktori antara pemilik direktori dan akun konsumen Tulis

directory*

UpdateAuthorizedApplication[hanya izin] Memberikan izin untuk memperbarui aplikasi resmi untuk Direktori Anda AWS Tulis

directory*

UpdateConditionalForwarder Memberikan izin untuk memperbarui forwarder bersyarat yang telah disiapkan untuk direktori Anda AWS Tulis

directory*

UpdateDirectory[hanya izin] Memberikan izin untuk memperbarui konfigurasi seperti kredensi akun layanan atau alamat IP server DNS untuk direktori yang ditentukan Tulis

directory*

UpdateDirectorySetup Memberikan izin untuk memperbarui direktori untuk jenis pembaruan tertentu Tulis

directory*

UpdateNumberOfDomainControllers Memberikan izin untuk menambah atau menghapus pengontrol domain ke atau dari direktori. Berdasarkan perbedaan antara nilai saat ini dan nilai baru (disediakan melalui panggilan API ini), pengontrol domain akan ditambahkan atau dihapus. Diperlukan waktu hingga 45 menit agar pengontrol domain baru menjadi aktif sepenuhnya setelah jumlah pengontrol domain yang diminta diperbarui. Selama waktu ini, Anda tidak dapat membuat permintaan pembaruan lain Tulis

directory*

UpdateRadius Memberikan izin untuk memperbarui informasi server Remote Authentication Dial In User Service (RADIUS) untuk direktori AD Connector Tulis

directory*

UpdateSettings Memberikan izin untuk memperbarui pengaturan yang dapat dikonfigurasi untuk direktori yang ditentukan Tulis

directory*

UpdateTrust Memberikan izin untuk memperbarui kepercayaan yang telah disiapkan antara direktori Microsoft AD yang AWS Dikelola dan Direktori Aktif lokal Tulis

directory*

VerifyTrust Memberikan izin untuk memverifikasi hubungan kepercayaan antara Microsoft AD Anda di AWS cloud dan domain eksternal Baca

directory*

Jenis sumber daya ditentukan oleh AWS Directory Service

Jenis sumber daya berikut ditentukan oleh layanan ini dan dapat digunakan dalam elemen Resource pernyataan kebijakan izin IAM. Setiap tindakan dalam Tabel tindakan mengidentifikasi jenis sumber daya yang dapat ditentukan dengan tindakan tersebut. Jenis sumber daya juga dapat menentukan kunci kondisi mana yang dapat Anda sertakan dalam kebijakan. Tombol ini ditampilkan di kolom terakhir dari tabel tipe sumber daya. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tipe sumber daya.

Jenis sumber daya ARN Kunci syarat
directory arn:${Partition}:ds:${Region}:${Account}:directory/${DirectoryId}

aws:ResourceTag/${TagKey}

Kunci kondisi untuk AWS Directory Service

AWSDirectory Service mendefinisikan kondisi berikut yang dapat digunakan dalam Condition elemen kebijakan IAM. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut dimana pernyataan kebijakan berlaku. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tombol kondisi.

Untuk melihat kunci kondisi global yang tersedia untuk semua layanan, lihat Kunci kondisi global yang tersedia.

Kunci kondisi Deskripsi Tipe
aws:RequestTag/${TagKey} Memfilter akses berdasarkan nilai permintaan ke AWS DS String
aws:ResourceTag/${TagKey} Memfilter akses oleh Sumber Daya AWS DS yang ditindaklanjuti String
aws:TagKeys Memfilter akses dengan kunci tag yang diteruskan dalam permintaan ArrayOfString