翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Directory Service のアクション、リソース、および条件キー
AWS Directory Service (サービスプレフィックス: ds) では、IAM 許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
参照:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
AWS Directory Service で定義されるアクション
IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
| アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
|---|---|---|---|---|---|
| AcceptSharedDirectory | ディレクトリ所有者アカウントから送信されたディレクトリ共有リクエストを受け入れる許可を付与 | 書き込み | |||
| AddIpRoutes | トラフィックを Amazon Web Services の Microsoft AD との間で正しくルーティングできるように CIDR アドレスブロックを追加する許可を付与 | 書き込み |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:DescribeSecurityGroups |
||
| AddRegion | 指定されたディレクトリの指定されたリージョンに 2 つのドメインコントローラーを追加する許可を付与 | 書き込み |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| AddTagsToResource | 指定された Amazon Directory Services ディレクトリの 1 つまたは複数のタグを追加または上書きする許可を付与 | タグ付け |
ec2:CreateTags |
||
| AuthorizeApplication [アクセス許可のみ] | AWS ディレクトリのアプリケーションを承認する許可を付与 | 書き込み | |||
| CancelSchemaExtension | 進行中の Microsoft AD ディレクトリへのスキーマ拡張をキャンセルする許可を付与 | 書き込み | |||
| CheckAlias [アクセス許可のみ] | エイリアスが使用可能であることを確認する許可を付与 | 読み取り | |||
| ConnectDirectory | オンプレミスディレクトリに接続するための AD Connector を作成する許可を付与 | 書き込み |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateAlias | ディレクトリのエイリアスを作成し、ディレクトリにエイリアスを割り当てる許可を付与 | 書き込み | |||
| CreateComputer | 指定されたディレクトリにコンピュータアカウントを作成し、コンピュータをディレクトリに結合する許可を付与 | 書き込み | |||
| CreateConditionalForwarder | AWS ディレクトリに関連付けられる条件付きフォワーダーを作成する許可を付与 | 書き込み | |||
| CreateDirectory | Simple AD ディレクトリを作成する許可を付与 | 書き込み |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateIdentityPoolDirectory [アクセス許可のみ] | AWS クラウドに IdentityPool ディレクトリを作成する許可を付与 | 書き込み | |||
| CreateLogSubscription | AWS アカウント で指定された CloudWatch ロググループに Directory Service ドメインコントローラーセキュリティログをリアルタイムに転送するためのサブスクリプションを作成する許可を付与 | 書き込み | |||
| CreateMicrosoftAD | AWS クラウドに Microsoft AD を作成する許可を付与 | 書き込み |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateSnapshot | AWS クラウド上に Simple AD ディレクトリまたは Microsoft AD ディレクトリのスナップショットを作成する許可を付与 | 書き込み | |||
| CreateTrust | AWS クラウドの Microsoft AD と外部ドメインを結ぶ信頼関係の AWS 側の作成を開始する許可を付与 | 書き込み | |||
| DeleteConditionalForwarder | AWS ディレクトリのためにセットアップされた条件付きフォワーダーを削除する許可を付与 | 書き込み | |||
| DeleteDirectory | AWS Directory Service ディレクトリを削除する許可を付与 | 書き込み |
ec2:DeleteNetworkInterface ec2:DeleteSecurityGroup ec2:DescribeNetworkInterfaces ec2:RevokeSecurityGroupEgress ec2:RevokeSecurityGroupIngress |
||
| DeleteLogSubscription | 指定されたログサブスクリプションを削除する許可を付与 | 書き込み | |||
| DeleteSnapshot | ディレクトリスナップショットを削除する許可を付与 | 書き込み | |||
| DeleteTrust | AWS クラウドの Microsoft AD と外部ドメインの間にある既存の信頼関係を削除する許可を付与 | 書き込み | |||
| DeregisterCertificate | セキュリティで保護された LDAP 接続用に登録された証明書をシステムから削除する許可を付与 | 書き込み | |||
| DeregisterEventTopic | 指定された SNS トピックへの発行者として指定されたディレクトリを削除する許可を付与 | 書き込み | |||
| DescribeCertificate | セキュリティで保護された LDAP 接続に登録された証明書に関する情報を表示する許可を付与 | 読み取り | |||
| DescribeClientAuthenticationSettings | タイプが指定されている場合、指定したディレクトリのクライアント認証のタイプに関する情報を取得する許可を付与 タイプを指定しないと、指定したディレクトリでサポートされているすべてのクライアント認証タイプに関する情報が取得されます。現在は、SmartCard のみがサポートされています。 | 読み取り | |||
| DescribeConditionalForwarders | このアカウントの条件付きフォワーダーに関する情報を取得する許可を付与 | 読み取り | |||
| DescribeDirectories | このアカウントに属するディレクトリに関する情報を取得する許可を付与 | リスト | |||
| DescribeDomainControllers | ディレクトリ内のドメインコントローラに関する情報を提供する許可を付与 | 読み取り | |||
| DescribeEventTopics | 指定されたディレクトリからステータスメッセージを受信する SNS トピックに関する情報を取得する許可を付与 | 読み取り | |||
| DescribeLDAPSSettings | 指定されたディレクトリの LDAP セキュリティのステータスを説明する許可を付与 | 読み取り | |||
| DescribeRegions | マルチリージョンレプリケーション用に設定されているリージョンに関する情報を提供する許可を付与 | 読み取り | |||
| DescribeSettings | 指定されたディレクトリの設定可能なセッティングに関する情報を取得する許可の付与 | 読み取り | |||
| DescribeSharedDirectories | アカウント内の共有ディレクトリを返す許可を付与 | 読み取り | |||
| DescribeSnapshots | このアカウントに属するディレクトリスナップショットに関する情報を取得する許可を付与 | 読み取り | |||
| DescribeTrusts | このアカウントの信頼関係に関する情報を取得する許可を付与 | 読み取り | |||
| DescribeUpdateDirectory | 特定の更新タイプのディレクトリの更新を記述する権限を付与する | 読み取り | |||
| DisableClientAuthentication | 指定されたディレクトリの代替クライアント認証方法を無効化する許可を付与 | 書き込み | |||
| DisableLDAPS | 指定されたディレクトリの LDAP セキュアコールを非アクティブ化する許可を付与 | 書き込み | |||
| DisableRadius | AD Connector ディレクトリに対し、Remote Authentication Dial In User Service (RADIUS) サーバーを使った多要素認証 (MFA) を無効にする許可を付与 | 書き込み | |||
| DisableRoleAccess [アクセス許可のみ] | AWS Directory 内の ID への AWS Management Console アクセスを無効にするアクセス許可を付与します | 書き込み | |||
| DisableSso | Single Sign-On で使用するディレクトリの関連付けを解除する許可を付与 | 書き込み | |||
| EnableClientAuthentication | 指定されたディレクトリの代替クライアント認証方式を有効化する許可を付与 | 書き込み | |||
| EnableLDAPS | 特定のディレクトリのスイッチをアクティブ化して、常に LDAP セキュアコールを使用する許可を付与 | 書き込み | |||
| EnableRadius | AD Connector ディレクトリに対し、Remote Authentication Dial In User Service (RADIUS) サーバーを使った多要素認証 (MFA) を有効にする許可を付与 | 書き込み | |||
| EnableRoleAccess [アクセス許可のみ] | AWS Directory 内の ID への AWS Management Console アクセスを有効にするアクセス許可を付与します | 書き込み |
iam:PassRole |
||
| EnableSso | ディレクトリに対してシングルサインオンを有効にする許可を付与 | 書き込み | |||
| GetAuthorizedApplicationDetails [アクセス許可のみ] | ディレクトリ上で許可されたアプリケーションの詳細を取得する許可を付与 | 読み取り | |||
| GetDirectoryLimits | 現在のリージョンのディレクトリ制限情報を取得する許可を付与 | 読み取り | |||
| GetSnapshotLimits | ディレクトリの手動スナップショットの制限を取得する許可を付与 | 読み取り | |||
| ListAuthorizedApplications [アクセス許可のみ] | ディレクトリに対して承認された AWS アプリケーションを取得する許可を付与 | 読み取り | |||
| ListCertificates | 指定されたディレクトリについて、セキュリティで保護された LDAP 接続用に登録されたすべての証明書を一覧表示する許可を付与 | リスト | |||
| ListIpRoutes | ディレクトリに追加されたアドレスブロックを一覧表示する許可を付与 | 読み取り | |||
| ListLogSubscriptions | AWS アカウント のアクティブログサブスクリプションを一覧表示する許可を付与 | 読み取り | |||
| ListSchemaExtensions | Microsoft AD ディレクトリに適用されているすべてのスキーマ拡張を一覧表示する許可を付与 | リスト | |||
| ListTagsForResource | Amazon Directory Services ディレクトリのすべてのタグを一覧表示する許可を付与 | 読み取り | |||
| RegisterCertificate | セキュリティで保護された LDAP 接続の証明書を登録する許可を付与 | 書き込み | |||
| RegisterEventTopic | ディレクトリを SNS トピックに関連付ける許可を付与 | 書き込み |
sns:GetTopicAttributes |
||
| RejectSharedDirectory | ディレクトリ所有者アカウントから送信されたディレクトリ共有リクエストを拒否する許可を付与 | 書き込み | |||
| RemoveIpRoutes | ディレクトリから IP アドレスブロックを削除する許可を付与 | 書き込み | |||
| RemoveRegion | すべてのレプリケーションを停止し、指定されたリージョンからドメインコントローラーを削除する許可を付与 このオペレーションでは、プライマリリージョンを削除できません。 | 書き込み | |||
| RemoveTagsFromResource | Amazon Directory Services ディレクトリからタグを削除する許可を付与 | タグ付け |
ec2:DeleteTags |
||
| ResetUserPassword | AWS Managed Microsoft AD または Simple AD ディレクトリ内のユーザーのパスワードをリセットする許可を付与 | 書き込み | |||
| RestoreFromSnapshot | 既存のディレクトリスナップショットを使用してディレクトリを復元する許可を付与 | 書き込み | |||
| ShareDirectory | AWS アカウント (ディレクトリ所有者) 内の指定されたディレクトリを、別の AWS アカウント (ディレクトリコンシューマー) と共有する許可を付与 このオペレーションでは、AWS リージョン 内の任意の AWS アカウント および任意の Amazon VPC からディレクトリを使用できます。 | 書き込み | |||
| StartSchemaExtension | Microsoft AD ディレクトリにスキーマ拡張を適用する許可を付与 | 書き込み | |||
| UnauthorizeApplication [アクセス許可のみ] | AWS ディレクトリからアプリケーションを認証解除する許可を付与 | 書き込み | |||
| UnshareDirectory | ディレクトリ所有者とコンシューマーアカウントの間のディレクトリ共有を停止する許可を付与 | 書き込み | |||
| UpdateAuthorizedApplication [アクセス許可のみ] | AWS ディレクトリの認可済みアプリケーションを更新するための許可を付与します | 書き込み | |||
| UpdateConditionalForwarder | AWS ディレクトリのためにセットアップされた条件付きフォワーダーを更新する許可を付与 | 書き込み | |||
| UpdateDirectory [アクセス許可のみ] | 指定したディレクトリのサービスアカウント認証情報や DNS サーバー IP アドレスなどの設定を更新するアクセス許可を付与します | 書き込み | |||
| UpdateDirectorySetup | 特定の更新タイプのディレクトリを更新する権限を付与する | 書き込み | |||
| UpdateNumberOfDomainControllers | ディレクトリとの間でドメインコントローラを追加または削除する許可を付与 現在の値と新しい値 (この API コールで提供される) の差に基づいて、ドメインコントローラが追加または削除されます。リクエストされた数のドメインコントローラが更新されたら、新しいドメインコントローラが完全にアクティブになるまでに最大 45 分かかる場合があります。この間、別の更新をリクエストすることはできません。 | 書き込み | |||
| UpdateRadius | AD Connector ディレクトリの Remote Authentication Dial In User Service (RADIUS) サーバー情報を更新する許可を付与 | 書き込み | |||
| UpdateSettings | 指定したディレクトリの設定可能なセッティングを更新する許可の付与 | 書き込み | |||
| UpdateTrust | AWS Managed Microsoft AD ディレクトリとオンプレミスの Active Directory の間で設定された信頼関係を更新する許可を付与 | 書き込み | |||
| VerifyTrust | AWS クラウド上の Microsoft AD と外部ドメインの間にある信頼関係を確認する許可を付与 | 読み取り |
AWS Directory Service で定義されるリソースタイプ
以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
| リソースタイプ | ARN | 条件キー |
|---|---|---|
| directory |
arn:${Partition}:ds:${Region}:${Account}:directory/${DirectoryId}
|
AWS Directory Service の条件キー
AWS Directory Service は、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。
| 条件キー | 説明 | タイプ |
|---|---|---|
| aws:RequestTag/${TagKey} | リクエストの値により AWS DS へのアクセスをフィルタリング | 文字列 |
| aws:ResourceTag/${TagKey} | 影響を受ける AWS DS リソースによりアクセスをフィルタリング | 文字列 |
| aws:TagKeys | リクエストで渡されたタグキーでアクセスをフィルタリング | ArrayOfString |
