AWS 에 대한 관리형 정책 AWS Directory Service - AWS Directory Service
AWSDirectoryServiceFullAccessAWSDirectoryServiceReadOnlyAccessAWSDirectoryServiceDataFullAccessAWSDirectoryServiceDataReadOnlyAccessAWSDirectoryServiceServiceRolePolicy 정책 업데이트

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 에 대한 관리형 정책 AWS Directory Service

AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.

AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.

AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 권한을 AWS 업데이트하는 AWS 경우 업데이트는 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 미칩니다. AWS AWS 서비스 는 새가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 될 때 AWS 관리형 정책을 업데이트할 가능성이 높습니다.

자세한 내용은 IAM 사용 설명서AWS 관리형 정책을 참조하세요.

다음 섹션에서는 관련 AWS 관리형 정책을 설명합니다 AWS Directory Service. 이러한 정책을 계정의 사용자에게 연결할 수 있습니다.

자세한 내용은 IAM 사용 설명서AWS 관리형 정책을 참조하세요.

AWS 관리형 정책: AWSDirectoryServiceFullAccess

AWSDirectoryServiceFullAccess 정책을 IAM 보안 인증에 연결할 수 있습니다. 이 정책의 전체 권한을 보려면 AWS 관리형 정책 참조의 AWSDirectoryServiceFullAccess를 참조하세요.

이 정책은 보안 주체가 모든 AWS Directory Service 작업에 대한 전체 액세스를 허용하는 관리 권한을 부여합니다. 이러한 권한이 있는 보안 주체는 Simple AD, AD Connector 및 Managed Microsoft AD를 포함한 디렉터리를 생성, 구성 및 관리할 수 있습니다. 또한 디렉터리 공유, 신뢰 관계 및 모니터링 구성을 관리할 수 있습니다. 이 정책에는 디렉터리 서비스에 필요한 기본 네트워크 인프라를 관리할 수 있는 권한이 포함되어 있습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • ds – 위탁자에게 모든 AWS Directory Service 작업에 대한 전체 액세스 권한을 허용합니다.

  • ec2 - 보안 주체가 네트워크 인터페이스, 보안 그룹을 관리하고 디렉터리 작업에 필요한 VPC 리소스를 설명할 수 있도록 허용합니다.

  • sns - 보안 주체가 디렉터리 모니터링을 위한 SNS 주제, 특히 이름이 "DirectoryMonitoring"으로 시작하는 주제를 생성하고 관리할 수 있도록 허용합니다.

  • iam - 보안 주체가 디렉터리 서비스 작업에 대한 IAM 역할을 나열할 수 있도록 허용합니다.

  • organizations - 보안 주체가 Organizations 통합을 관리하고 AWS 디렉터리 서비스에 대한 서비스 액세스를 활성화/비활성화할 수 있도록 허용합니다.

AWS 관리형 정책: AWSDirectoryServiceReadOnlyAccess

AWSDirectoryServiceReadOnlyAccess 정책을 IAM 보안 인증에 연결할 수 있습니다. 이 정책의 전체 권한을 보려면 AWS 관리형 정책 참조의 AWSDirectoryServiceReadOnlyAccess를 참조하세요.

이 정책은 사용자가에서 정보를 볼 수 있도록 허용하는 읽기 전용 권한을 부여합니다 AWS Directory Service. 이 정책이 연결된 보안 주체는 디렉터리 또는 해당 구성을 업데이트할 수 없습니다. 예를 들어 이러한 권한이 있는 보안 주체는 디렉터리 세부 정보, 신뢰 관계 및 모니터링 구성을 볼 수 있지만 새 디렉터리를 생성하거나 기존 디렉터리를 수정할 수는 없습니다. 또한 디렉터리와 연결된 관련 EC2 네트워크 리소스 및 SNS 주제를 볼 수 있습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • ds - 사용자가 디렉터리 정보를 반환하는 읽기 전용 작업을 수행할 수 있도록 허용합니다. 여기에는 Check, , Describe, Get List또는 로 시작하는 API 작업이 포함됩니다Verify.

  • ec2 - 사용자가 디렉터리 서비스와 연결된 네트워크 인터페이스, 서브넷 및 VPCs를 설명할 수 있습니다.

  • sns - 사용자가 디렉터리 모니터링에 사용되는 SNS 주제 및 구독에 대한 정보를 나열하고 가져올 수 있습니다.

  • organizations - 사용자가 디렉터리 서비스와 관련된 계정 및 서비스 액세스 구성을 설명할 AWS Organizations 수 있습니다.

AWS 관리형 정책: AWSDirectoryServiceDataFullAccess

AWSDirectoryServiceDataFullAccess 정책을 IAM 보안 인증에 연결할 수 있습니다. 이 정책에 대한 전체 권한을 보려면 AWS 관리형 정책 참조의 AWSDirectoryServiceDataFullAccess를 참조하세요.

이 정책은 보안 주체가 디렉터리 서비스 데이터 작업에 대한 전체 액세스를 허용하는 관리 권한을 부여합니다. 이러한 권한이 있는 보안 주체는 관리형 디렉터리 내에서 Active Directory 사용자 및 그룹을 생성, 업데이트 및 삭제할 수 있습니다. 그룹 멤버십을 관리하고, 사용자를 활성화 또는 비활성화하고, 포괄적인 사용자 및 그룹 관리 작업을 수행할 수 있습니다. 이 정책은 Active Directory 객체를 프로그래밍 방식으로 관리해야 하는 관리자를 위해 설계되었습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • ds - 보안 주체가 Directory Service Data API를 통해 디렉터리 데이터에 액세스할 수 있도록 허용합니다.

  • ds-data - 보안 주체가 사용자 및 그룹 생성, 업데이트 및 삭제, 그룹 멤버십 관리, 디렉터리 객체 검색을 포함한 모든 디렉터리 서비스 데이터 작업에 대한 모든 액세스 권한을 허용합니다.

AWS 관리형 정책: AWSDirectoryServiceDataReadOnlyAccess

AWSDirectoryServiceDataReadOnlyAccess 정책을 IAM 보안 인증에 연결할 수 있습니다. 이 정책의 전체 권한을 보려면 AWS 관리형 정책 참조의 AWSDirectoryServiceDataReadOnlyAccess를 참조하세요.

이 정책은 사용자가 관리형 디렉터리 내에서 Active Directory 객체를 보고 검색할 수 있는 읽기 전용 권한을 부여합니다. 이 정책이 연결된 보안 주체는 사용자, 그룹 또는 그룹 멤버십을 업데이트할 수 없습니다. 예를 들어 이러한 권한이 있는 보안 주체는 사용자 및 그룹을 검색하고, 사용자 및 그룹 세부 정보를 보고, 그룹 멤버십을 나열할 수 있지만 디렉터리 객체를 생성, 수정 또는 삭제할 수는 없습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • ds - 보안 주체가 Directory Service Data API를 통해 디렉터리 데이터에 액세스할 수 있도록 허용합니다.

  • ds-data - 사용자가 디렉터리 객체 정보를 반환하는 읽기 전용 작업을 수행할 수 있도록 허용합니다. 여기에는 Describe, List 또는 Search(으)로 시작하는 API 작업이 포함됩니다.

AWSDirectoryServiceServiceRolePolicy

AWSDirectoryServiceServiceRolePolicy 정책을 IAM 자격 증명에 연결할 수 없습니다. 이 정책은 Directory Service가 사용자를 대신하여 작업을 수행할 수 있도록 AWS 서비스 연결 역할에 연결됩니다. 이 정책의 권한을 보려면 AWS 관리형 정책 참조의 AWSDirectoryServiceServiceRolePolicy를 참조하세요.

이 정책은가 하이브리드 Active Directory 환경에서 자체 관리형 도메인 컨트롤러 AWS Directory Service 를 모니터링하고 평가할 수 있는 권한을 부여합니다. 이 서비스는 이러한 권한을 사용하여 자동화된 상태 평가를 실행하고, 호환성 테스트를 위해 PowerShell 스크립트를 실행하고, 적절한 하이브리드 연결 및 자동 복구 기능을 보장하기 위해 네트워크 구성 정보를 수집합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • ssm - 서비스가 모니터링 및 평가 목적으로 온프레미스 도메인 컨트롤러에 PowerShell 명령을 보내고 명령 실행 결과를 검색할 수 있도록 허용합니다.

  • ec2 - 서비스가 VPCs, 서브넷, 보안 그룹 및 네트워크 인터페이스와 같은 네트워크 리소스를 설명하여 하이브리드 연결 구성을 검증할 수 있도록 허용합니다.

관리형 정책에 대한 AWS IAM 및 AWS Directory Service 업데이트

서비스가 이러한 변경 사항을 추적하기 시작한 이후 IAM 및 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 IAM 및 AWS Directory Service 문서 기록 페이지에서 RSS 피드를 구독하세요.

변경 사항 설명 날짜

AWSDirectoryServiceServiceRolePolicy - 새 정책

AWS Directory Service 는가 고객의 자체 관리형 도메인 컨트롤러를 모니터링할 수 있도록 허용하는 새 정책을 추가 AWS 했습니다.

 2025년 7월 30일

AWS 관리형 정책: AWSDirectoryServiceDataReadOnlyAccess - 새 정책

AWS Directory Service 는 사용자 또는 그룹 액세스가 AD 사용자, 멤버 및 그룹을 보고 검색할 수 있도록 허용하는 새 정책을 추가했습니다.

 2024년 9월 17일

AWS 관리형 정책: AWSDirectoryServiceDataFullAccess - 새 정책

AWS Directory Service 는 사용자 또는 그룹이 Directory Service Data를 사용하여 AD 사용자, 멤버 및 그룹을 생성, 관리 및 볼 수 있는 기본 제공 객체 관리에 액세스할 수 있도록 허용하는 새 정책을 추가했습니다.

 2024년 9월 17일

AWS Directory Service 에서 변경 내용 추적 시작

AWS Directory Service 가 AWS 관리형 정책에 대한 변경 내용 추적을 시작했습니다.

 2024년 9월 17일