AWS Directory Service のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS Directory Service のアクション、リソース、および条件キー

AWS Directory Service (サービスプレフィックス: ds) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

AWS Directory Service で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AcceptSharedDirectory ディレクトリ所有者アカウントから送信されたディレクトリ共有リクエストを受け入れます。 書き込み

directory*

AddIpRoutes トラフィックをアマゾン ウェブ サービスの Microsoft AD に (またはアマゾン ウェブ サービスの Microsoft AD から) 正しくルーティングできるように CIDR アドレスブロックを追加します。 書き込み

directory*

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:DescribeSecurityGroups

AddTagsToResource 指定された Amazon Directory Services ディレクトリの 1 つまたは複数のタグを追加または上書きします。 タグ付け

directory*

ec2:CreateTags

aws:RequestTag/${TagKey}

aws:TagKeys

AuthorizeApplication [アクセス許可のみ] AWS Directory のアプリケーションを認証します。 書き込み

directory*

CancelSchemaExtension 進行中の Microsoft AD ディレクトリへのスキーマ拡張をキャンセルします。 書き込み

directory*

CheckAlias [アクセス許可のみ] エイリアスが使用可能であることを確認します。 Read
ConnectDirectory オンプレミスディレクトリに接続するための AD Connector を作成します。 タグ付け

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateNetworkInterface

ec2:CreateSecurityGroup

ec2:CreateTags

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

CreateAlias ディレクトリの別名を作成し、ディレクトリにエイリアスを割り当てます。 書き込み

directory*

CreateComputer 指定されたディレクトリにコンピュータアカウントを作成し、コンピュータをディレクトリに結合します。 書き込み

directory*

CreateConditionalForwarder AWS ディレクトリに関連付けられる条件付きフォワーダーを作成します。 書き込み

directory*

CreateDirectory Simple AD ディレクトリを作成します。 タグ付け

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateNetworkInterface

ec2:CreateSecurityGroup

ec2:CreateTags

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

CreateIdentityPoolDirectory [アクセス許可のみ] AWS クラウドに IdentityPool ディレクトリを作成します。 タグ付け

aws:RequestTag/${TagKey}

aws:TagKeys

CreateLogSubscription AWS アカウントの指定された CloudWatch ロググループに Directory Service ドメインコントローラーセキュリティログをリアルタイムに転送するためのサブスクリプションを作成します。 書き込み

directory*

CreateMicrosoftAD AWS クラウド上に Microsoft AD を作成します。 タグ付け

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateNetworkInterface

ec2:CreateSecurityGroup

ec2:CreateTags

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

CreateSnapshot AWS クラウド上に Simple AD ディレクトリまたは Microsoft AD ディレクトリのスナップショットを作成します。 書き込み

directory*

CreateTrust AWS クラウド上の Microsoft AD と外部ドメインを結ぶ信頼関係の AWS 側の作成を開始します。 書き込み

directory*

DeleteConditionalForwarder AWS ディレクトリのためにセットアップされた条件付きフォワーダーを削除します。 書き込み

directory*

DeleteDirectory AWS Directory Service ディレクトリを削除します。 書き込み

directory*

ec2:DeleteNetworkInterface

ec2:DeleteSecurityGroup

ec2:DescribeNetworkInterfaces

ec2:RevokeSecurityGroupEgress

ec2:RevokeSecurityGroupIngress

DeleteLogSubscription 指定されたログサブスクリプションを削除します。 書き込み

directory*

DeleteSnapshot ディレクトリスナップショットを削除します。 書き込み

directory*

DeleteTrust AWS クラウド上の Microsoft AD と外部ドメインの間にある信頼関係を削除します。 書き込み

directory*

DeregisterCertificate セキュリティで保護された LDAP 接続用に登録された証明書をシステムから削除します。 書き込み

directory*

DeregisterEventTopic 指定された SNS トピックへの発行者として指定されたディレクトリを削除します。 書き込み

directory*

DescribeCertificate セキュリティで保護された LDAP 接続に登録された証明書に関する情報を表示します。 Read

directory*

DescribeConditionalForwarders このアカウントの条件付きフォワーダーに関する情報を取得します。 Read

directory*

DescribeDirectories このアカウントに属するディレクトリに関する情報を取得します。 リスト
DescribeDomainControllers ディレクトリ内のドメインコントローラに関する情報を提供します。 Read

directory*

DescribeEventTopics 指定されたディレクトリからステータスメッセージを受信する SNS トピックに関する情報を取得します。 Read

directory*

DescribeLDAPSSettings 指定されたディレクトリの LDAP セキュリティのステータスを説明します。 Read

directory*

DescribeSharedDirectories アカウント内の共有ディレクトリを返します。 Read

directory*

DescribeSnapshots このアカウントに属するディレクトリスナップショットに関する情報を取得します。 Read
DescribeTrusts このアカウントの信頼関係に関する情報を取得します。 Read
DisableLDAPS 指定されたディレクトリの LDAP セキュアコールを非アクティブ化します。 書き込み

directory*

DisableRadius AD Connector ディレクトリに対し、Remote Authentication Dial In User Service (RADIUS) サーバーを使った多要素認証 (MFA) を無効にします。 書き込み

directory*

DisableSso ディレクトリに対し、シングルサインオンを無効にします。 書き込み

directory*

EnableLDAPS 特定のディレクトリのスイッチをアクティブ化して、常に LDAP セキュアコールを使用します。 書き込み

directory*

EnableRadius AD Connector ディレクトリに対し、Remote Authentication Dial In User Service (RADIUS) サーバーを使った多要素認証 (MFA) を有効にします。 書き込み

directory*

EnableSso ディレクトリに対し、シングルサインオンを有効にします。 書き込み

directory*

GetAuthorizedApplicationDetails [アクセス許可のみ] Read

directory*

GetDirectoryLimits 現在のリージョンのディレクトリ制限情報を取得します。 Read
GetSnapshotLimits ディレクトリの手動スナップショットの制限を取得します。 Read

directory*

ListAuthorizedApplications [アクセス許可のみ] ディレクトリに対して許可された aws アプリケーションを取得します。 Read

directory*

ListCertificates 指定されたディレクトリについて、セキュリティで保護された LDAP 接続用に登録されたすべての証明書が一覧表示されます。 リスト

directory*

ListIpRoutes ディレクトリに追加されたアドレスブロックを一覧表示します。 Read

directory*

ListLogSubscriptions AWS アカウントのアクティブログサブスクリプションを一覧表示します。 Read
ListSchemaExtensions Microsoft AD ディレクトリに適用されているすべてのスキーマ拡張を一覧表示します。 リスト

directory*

ListTagsForResource Amazon Directory Services ディレクトリのすべてのタグを一覧表示します。 Read

directory*

RegisterCertificate セキュリティで保護された LDAP 接続の証明書を登録します。 書き込み

directory*

RegisterEventTopic ディレクトリを SNS トピックに関連付けます。 書き込み

directory*

sns:GetTopicAttributes

RejectSharedDirectory ディレクトリ所有者アカウントから送信されたディレクトリ共有リクエストを拒否します。 書き込み

directory*

RemoveIpRoutes ディレクトリから IP アドレスブロックを削除します。 書き込み

directory*

RemoveTagsFromResource Amazon Directory Services ディレクトリからタグを削除します。 タグ付け

directory*

ec2:DeleteTags

aws:RequestTag/${TagKey}

aws:TagKeys

ResetUserPassword AWS Managed Microsoft AD または Simple AD ディレクトリ内のユーザーのパスワードをリセットします。 書き込み

directory*

RestoreFromSnapshot 既存のディレクトリスナップショットを使用してディレクトリを復元します。 書き込み

directory*

ShareDirectory AWS アカウント (ディレクトリ所有者) 内の指定されたディレクトリを、別の AWS アカウント (ディレクトリコンシューマー) と共有します。このオペレーションでは、AWS リージョン内の任意の AWS アカウントおよび任意の Amazon VPC からディレクトリを使用できます。 書き込み

directory*

StartSchemaExtension Microsoft AD ディレクトリにスキーマ拡張を適用します。 書き込み

directory*

UnauthorizeApplication [アクセス許可のみ] AWS Directory からアプリケーションを認証解除します。 書き込み

directory*

UnshareDirectory ディレクトリ所有者とコンシューマーアカウントの間のディレクトリ共有を停止します。 書き込み

directory*

UpdateConditionalForwarder AWS ディレクトリのためにセットアップされた条件付きフォワーダーを更新します。 書き込み

directory*

UpdateNumberOfDomainControllers ディレクトリにドメインコントローラを追加またはディレクトリからドメインコントローラを削除します。現在の値と新しい値 (この API コールで提供される) の差に基づいて、ドメインコントローラが追加または削除されます。リクエストされた数のドメインコントローラが更新されたら、新しいドメインコントローラが完全にアクティブになるまでに最大 45 分かかる場合があります。この間、別の更新をリクエストすることはできません。 書き込み

directory*

UpdateRadius AD Connector ディレクトリの Remote Authentication Dial In User Service (RADIUS) サーバー情報を更新します。 書き込み

directory*

UpdateTrust AWS Managed Microsoft AD ディレクトリとオンプレミスの Active Directory の間で設定された信頼関係を更新します。 書き込み

directory*

VerifyTrust AWS クラウド上の Microsoft AD と外部ドメインの間にある信頼関係を確認します。 Read

directory*

AWS Directory Service で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
directory arn:${Partition}:ds:${Region}:${Account}:directory/${DirectoryId}

aws:ResourceTag/${TagKey}

AWS Directory Service の条件キー

AWS Directory Service は、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} 文字列
aws:ResourceTag/${TagKey} 文字列
aws:TagKeys 文字列