AWS Directory Service을(를) 사용하는 AWS 애플리케이션 및 서비스에 대한 권한 - AWS Directory Service

AWS Directory Service을(를) 사용하는 AWS 애플리케이션 및 서비스에 대한 권한

Active Directory에서의 AWS 애플리케이션 승인

AWS Directory Service은(는) AWS 애플리케이션을 승인할 때 선택된 애플리케이션이 Active Directory와 원활하게 통합될 수 있도록 특정 권한을 부여합니다. AWS 애플리케이션에는 자체 사용 사례에 필요한 액세스 권한만 부여됩니다. 승인 후 애플리케이션 및 Application Manager에게 부여되는 내부 권한 세트는 다음과 같습니다.

참고

새 AWS 애플리케이션을 Active Directory로 승인하려면 ds:AuthorizationApplication 권한이 필요합니다. 이 작업에 대한 권한은 Directory Service와의 통합을 구성하는 관리자에게만 제공되어야 합니다.

  • AWS Managed Microsoft AD, Simple AD, AD Connector 디렉터리의 모든 OU(조직 구성 단위)에 있는 Active Directory 사용자, 그룹, 조직 구성 단위, 컴퓨터, 인증 기관 데이터에 대한 읽기 권한 및 신뢰 관계에서 허용하는 경우 AWS Managed Microsoft AD의 신뢰할 수 있는 도메인에 대한 읽기 권한.

  • AWS Managed Microsoft AD의 조직 단위에 있는 사용자, 그룹, 그룹 구성원, 컴퓨터, 인증 기관 데이터에 대한 쓰기 권한. Simple AD의 모든 OU에 대한 쓰기 권한.

  • 모든 디렉터리 유형에 대한 Active Directory 사용자의 인증 및 세션 관리.

Amazon RDS 및 Amazon FSx와 같은 일부 AWS Managed Microsoft AD 애플리케이션은 직접 네트워크 연결을 통해 액티브 디렉터리에 통합됩니다. 이 경우 디렉터리 상호 작용에는 LDAP 및 Kerberos와 같은 네이티브 Active Directory 프로토콜이 사용됩니다. 이러한 AWS 애플리케이션의 권한은 애플리케이션 인증 중에 AWS 예약 조직 구성 단위(OU)에서 생성한 디렉터리 사용자 계정에 의해 제어되며, 여기에는 DNS 관리 및 애플리케이션용으로 만든 사용자 지정 OU에 대한 전체 액세스 권한이 포함됩니다. 이 계정을 사용하려면 애플리케이션에서 발신자 보안 인증 또는 IAM 역할을 통해 ds:GetAuthorizedApplicationDetails 조치를 취할 수 있는 권한이 필요합니다.

AWS Directory Service 권한에 대한 자세한 내용은 AWS Directory Service API 권한: 작업, 리소스 및 조건 참조 단원을 참조하세요.

AWS Managed Microsoft AD의 AWS 애플리케이션 및 서비스 활성화에 대한 자세한 내용은 AWS 애플리케이션 및 서비스에 대한 액세스 활성화 단원을 참조하세요. Simple AD용 AWS 애플리케이션 및 서비스 활성화에 대한 자세한 내용은 AWS 애플리케이션 및 서비스에 대한 액세스 활성화 단원을 참조하세요.

Active Directory에서 AWS 애플리케이션 인증 해제하기

AWS 애플리케이션이 Active Directory에 액세스할 수 있는 권한을 제거하려면 해당 ds:UnauthorizedApplication 권한이 필요합니다. 애플리케이션에서 제공하는 단계에 따라 애플리케이션을 사용하지 않도록 설정합니다.