AWS の 管理ポリシー AWS Directory Service

AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。

AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。

AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS 管理ポリシーを更新する可能性が高くなります。

詳細については「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

以下のセクションでは、 固有の AWS 管理ポリシーについて説明します AWS Directory Service。これらのポリシーは、アカウントのユーザーに付加できます。

詳細については「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS 管理ポリシー: AWSDirectoryServiceFullAccess

AWSDirectoryServiceFullAccess ポリシーを IAM アイデンティティにアタッチできます。このポリシーの完全なアクセス許可を確認するには、「 AWS マネージドポリシーリファレンス」のAWSDirectoryServiceFullAccess」を参照してください。

このポリシーは、プリンシパルにすべての AWS Directory Service アクションへのフルアクセスを許可する管理アクセス許可を付与します。これらのアクセス許可を持つプリンシパルは、Simple AD、AD Connector、 Managed Microsoft AD などのディレクトリを作成、設定、管理できます。また、ディレクトリの共有、信頼関係、モニタリング設定を管理することもできます。このポリシーには、ディレクトリサービスに必要な基盤となるネットワークインフラストラクチャを管理するためのアクセス許可が含まれています。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

• ds – プリンシパルに AWS Directory Service のすべてのアクションへのフルアクセスを許可します。

• ec2 – プリンシパルがネットワークインターフェイス、セキュリティグループを管理し、ディレクトリオペレーションに必要な VPC リソースを記述できるようにします。

• sns – プリンシパルがディレクトリモニタリング用の SNS トピック、特にDirectoryMonitoring」で始まる名前のトピックを作成および管理できるようにします。

• iam – プリンシパルがディレクトリサービスオペレーションの IAM ロールを一覧表示できるようにします。

• organizations – プリンシパルが Organizations の統合を管理し AWS 、ディレクトリサービスのサービスアクセスを有効/無効にできるようにします。

AWS 管理ポリシー: AWSDirectoryServiceReadOnlyAccess

AWSDirectoryServiceReadOnlyAccess ポリシーを IAM アイデンティティにアタッチできます。このポリシーの完全なアクセス許可を確認するには、「 AWS マネージドポリシーリファレンス」のAWSDirectoryServiceReadOnlyAccess」を参照してください。

このポリシーは、ユーザーが の情報を表示できるようにする読み取り専用アクセス許可を付与します AWS Directory Service。このポリシーがアタッチされているプリンシパルは、ディレクトリまたはその設定を更新できません。たとえば、これらのアクセス許可を持つプリンシパルは、ディレクトリの詳細、信頼関係、モニタリング設定を表示できますが、新しいディレクトリを作成したり、既存のディレクトリを変更したりすることはできません。ディレクトリに関連付けられた関連する EC2 ネットワークリソースと SNS トピックを表示することもできます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

• ds – ディレクトリ情報を返す読み取り専用アクションを実行することをユーザーに許可します。これには、、Check、Describe、、Listまたは で始まる API Getオペレーションが含まれますVerify。

• ec2 – ユーザーがディレクトリサービスに関連付けられたネットワークインターフェイス、サブネット、VPCs記述できるようにします。

• sns – ユーザーがディレクトリモニタリングに使用される SNS トピックとサブスクリプションに関する情報を一覧表示して取得できるようにします。

• organizations – ユーザーがディレクトリサービスに関連するアカウントとサービスアクセス設定を記述 AWS Organizations できるようにします。

AWS 管理ポリシー: AWSDirectoryServiceDataFullAccess

AWSDirectoryServiceDataFullAccess ポリシーを IAM アイデンティティにアタッチできます。このポリシーの完全なアクセス許可を確認するには、「 AWS マネージドポリシーリファレンス」のAWSDirectoryServiceDataFullAccess」を参照してください。

このポリシーは、 Directory Service Data オペレーションへのフルアクセスをプリンシパルに許可する管理アクセス許可を付与します。これらのアクセス許可を持つプリンシパルは、マネージドディレクトリ内の Active Directory ユーザーとグループを作成、更新、削除できます。グループメンバーシップを管理し、ユーザーを有効または無効にし、包括的なユーザーおよびグループ管理オペレーションを実行できます。このポリシーは、Active Directory オブジェクトをプログラムで管理する必要がある管理者向けに設計されています。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

• ds – プリンシパルが Directory Service Data API を介してディレクトリデータにアクセスできるようにします。

• ds-data – ユーザーとグループの作成、更新、削除、グループメンバーシップの管理、ディレクトリオブジェクトの検索など、すべての Directory Service Data オペレーションへのフルアクセスをプリンシパルに許可します。

AWS マネージドポリシー: AWSDirectoryServiceDataReadOnlyAccess

AWSDirectoryServiceDataReadOnlyAccess ポリシーを IAM アイデンティティにアタッチできます。このポリシーの完全なアクセス許可を確認するには、「 AWS マネージドポリシーリファレンス」のAWSDirectoryServiceDataReadOnlyAccess」を参照してください。

このポリシーは、マネージドディレクトリ内の Active Directory オブジェクトの表示と検索をユーザーに許可する読み取り専用アクセス許可を付与します。このポリシーがアタッチされているプリンシパルは、ユーザー、グループ、またはグループメンバーシップを更新することはできません。たとえば、これらのアクセス許可を持つプリンシパルは、ユーザーとグループを検索したり、ユーザーとグループの詳細を表示したり、グループメンバーシップを一覧表示したりできますが、ディレクトリオブジェクトを作成、変更、または削除することはできません。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

• ds – プリンシパルが Directory Service Data API を介してディレクトリデータにアクセスできるようにします。

• ds-data – ディレクトリオブジェクト情報を返す読み取り専用アクションを実行することをユーザーに許可します。これには、Describe、List、または Search で始まる API オペレーションが含まれます。

AWSDirectoryServiceServiceRolePolicy

AWSDirectoryServiceServiceRolePolicy ポリシーを IAM ID にアタッチすることはできません。このポリシーは、Directory Service がユーザーに代わってアクションを実行することを許可 AWS するサービスにリンクされたロールにアタッチされます。このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンス」のAWSDirectoryServiceServiceRolePolicy」を参照してください。

このポリシーは、 がハイブリッド Active Directory 環境でセルフマネージド型ドメインコントローラーをモニタリングおよび評価 AWS Directory Service できるようにするアクセス許可を付与します。このサービスは、これらのアクセス許可を使用して自動ヘルス評価を実行し、PowerShell スクリプトを実行して互換性テストを実行し、ネットワーク設定情報を収集して、適切なハイブリッド接続と自動復旧機能を確保します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

• ssm – サービスが PowerShell コマンドをオンプレミスのドメインコントローラーに送信し、モニタリングと評価の目的でコマンド実行結果を取得できるようにします。

• ec2 – サービスが VPCs、サブネット、セキュリティグループ、ネットワークインターフェイスなどのネットワークリソースを記述して、ハイブリッド接続設定を検証できるようにします。

IAM と マネージドポリシー AWS Directory Service の更新 AWS

サービスがこれらの変更の追跡を開始してからの IAM および AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、IAM および AWS Directory Service ドキュメント履歴ページの RSS フィードにサブスクライブしてください。

変更	説明	日付
AWSDirectoryServiceServiceRolePolicy - 新しいポリシー	AWS Directory Service は、 AWS が顧客の自己管理型ドメインコントローラーをモニタリングできるようにする新しいポリシーを追加しました。	2025 年 7 月 30 日
AWS マネージドポリシー: AWSDirectoryServiceDataReadOnlyAccess - 新しいポリシー	AWS Directory Service は、AD ユーザー、メンバー、およびグループを表示および検索するためのアクセスをユーザーまたはグループに許可する新しいポリシーを追加しました。	2024 年 9 月 17 日
AWS 管理ポリシー: AWSDirectoryServiceDataFullAccess - 新しいポリシー	AWS Directory Service は、ユーザーまたはグループが Directory Service Data を使用した組み込みオブジェクト管理にアクセスして AD ユーザー、メンバー、グループを作成、管理、表示できるようにする新しいポリシーを追加しました。	2024 年 9 月 17 日
AWS Directory Service が変更の追跡を開始しました	AWS Directory Service は、 AWS 管理ポリシーの変更の追跡を開始しました。	2024 年 9 月 17 日