기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Directory Service에 사용되는 작업, 리소스 및 조건 키
AWS Directory Service(서비스 접두사: ds)는 IAM 권한 정책에 사용할 수 있는 다음과 같은 서비스별 리소스, 작업 및 조건 컨텍스트 키를 제공합니다.
참조:
-
이 서비스를 구성하는 방법을 알아봅니다.
-
이 서비스에 사용 가능한 API 작업의 목록을 봅니다.
-
IAM 권한 정책을 사용하여 이 서비스와 리소스를 보호하는 방법을 알아봅니다.
AWS Directory Service에서 정의한 작업
IAM 정책 설명의 Action 요소에서 다음 작업을 지정할 수 있습니다. 정책을 사용하여 AWS에서 작업할 수 있는 권한을 부여합니다. 정책에서 작업을 사용하면 일반적으로 이름이 같은 API 작업 또는 CLI 명령에 대한 액세스를 허용하거나 거부합니다. 그러나 경우에 따라 하나의 작업으로 둘 이상의 작업에 대한 액세스가 제어됩니다. 또는 일부 작업을 수행하려면 다양한 작업이 필요합니다.
작업 테이블의 리소스 유형 열에는 각 작업이 리소스 수준 권한을 지원하는지 여부가 표시됩니다. 리소스 열에 값이 없으면 정책 문의 Resource 요소에서 정책이 적용되는 모든 리소스("*")를 지정해야 합니다. 리소스 열에 리소스 유형이 포함되어 있으면 해당 작업 시 문에서 해당 유형의 ARN을 지정할 수 있습니다. 작업에 필요한 리소스가 하나 이상 있는 경우, 호출자에게 해당 리소스와 함께 작업을 사용할 수 있는 권한이 있어야 합니다. 필수 리소스는 테이블에서 별표(*)로 표시됩니다. IAM 정책의 Resource 요소로 리소스 액세스를 제한하는 경우, 각 필수 리소스 유형에 대해 ARN 또는 패턴을 포함해야 합니다. 일부 작업은 다수의 리소스 유형을 지원합니다. 리소스 유형이 옵션(필수 리소스로 표시되지 않은 경우)인 경우에는 선택적 리소스 유형 중 하나를 사용하도록 선택할 수 있습니다.
작업 테이블의 조건 키 열에는 정책 설명의 Condition 요소에서 지정할 수 있는 키가 포함됩니다. 서비스의 리소스와 연결된 조건 키에 대한 자세한 내용은 리소스 유형 테이블의 조건 키 열을 참조하세요.
참고
리소스 조건 키는 리소스 유형 표에 나열되어 있습니다. 작업에 적용되는 리소스 유형에 대한 링크는 리소스 유형(*필수) 작업 표의 열에서 찾을 수 있습니다. 리소스 유형 테이블의 리소스 유형에는 조건 키 열이 포함되고 이는 작업 표의 작업에 적용되는 리소스 조건 키입니다.
다음 테이블의 열에 대한 자세한 내용은 작업 테이블을 참조하세요.
| 작업 | 설명 | 액세스 레벨 | 리소스 유형(*필수) | 조건 키 | 종속 작업 |
|---|---|---|---|---|---|
| AcceptSharedDirectory | 디렉터리 소유자 계정에서 보낸 디렉터리 공유 요청을 수락할 수 있는 권한을 부여합니다. | 쓰기 | |||
| AddIpRoutes | CIDR 주소 블록을 추가하여 Amazon Web Services에서 Microsoft AD와의 트래픽을 올바르게 라우팅할 수 있는 권한을 부여합니다. | 쓰기 |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:DescribeSecurityGroups |
||
| AddRegion | 지정된 디렉터리에 대해 지정된 리전에 두 개의 도메인 컨트롤러를 추가할 수 있는 권한을 부여합니다. | 쓰기 |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| AddTagsToResource | 지정된 Amazon Directory Services 디렉터리에 대한 하나 이상의 태그를 추가하거나 덮어쓸 수 있는 권한을 부여합니다. | 태그 지정 |
ec2:CreateTags |
||
| AuthorizeApplication [권한만 해당] | AWS Directory용 애플리케이션을 승인할 수 있는 권한을 부여합니다. | 쓰기 | |||
| CancelSchemaExtension | Microsoft AD 디렉터리에 대해 진행 중인 스키마 확장을 취소할 수 있는 권한을 부여합니다. | 쓰기 | |||
| CheckAlias [권한만 해당] | 별칭을 사용할 수 있는지 확인할 수 있는 권한을 부여합니다. | 읽기 | |||
| ConnectDirectory | AD Connector를 생성하여 온프레미스 디렉터리에 연결할 수 있는 권한을 부여합니다. | 쓰기 |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateAlias | 디렉터리에 대한 별칭을 생성하고 별칭을 디렉터리에 할당할 수 있는 권한을 부여합니다. | 쓰기 | |||
| CreateComputer | 지정된 디렉터리에 컴퓨터 계정을 생성하고 컴퓨터를 디렉터리에 조인할 수 있는 권한을 부여합니다. | 쓰기 | |||
| CreateConditionalForwarder | AWS 디렉터리와 연결된 조건부 전달자를 생성할 수 있는 권한을 부여합니다. | 쓰기 | |||
| CreateDirectory | Simple AD 디렉터리를 생성할 수 있는 권한을 부여합니다. | 쓰기 |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateIdentityPoolDirectory [권한만 해당] | AWS 클라우드에서 IdentityPool 디렉터리를 생성할 수 있는 권한을 부여합니다. | 쓰기 | |||
| CreateLogSubscription | 실시간 Directory Service 도메인 컨트롤러 보안 로그를 AWS 계정의 지정된 CloudWatch 로그 그룹으로 전달하기 위한 구독을 생성할 수 있는 권한을 부여합니다. | 쓰기 | |||
| CreateMicrosoftAD | AWS 클라우드에서 Microsoft AD를 생성할 수 있는 권한을 부여합니다. | 쓰기 |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateSnapshot | AWS 클라우드에 Simple AD 또는 Microsoft AD 디렉터리의 스냅샷을 생성할 수 있는 권한을 부여합니다. | 쓰기 | |||
| CreateTrust | AWS 클라우드의 Microsoft AD와 외부 도메인 간의 AWS 신뢰 관계 측 생성을 시작할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteConditionalForwarder | AWS 디렉터리에 대해 설정된 조건부 전달자를 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteDirectory | AWS Directory Service 디렉터리를 삭제할 수 있는 권한을 부여합니다. | 쓰기 |
ec2:DeleteNetworkInterface ec2:DeleteSecurityGroup ec2:DescribeNetworkInterfaces ec2:RevokeSecurityGroupEgress ec2:RevokeSecurityGroupIngress |
||
| DeleteLogSubscription | 지정된 로그 구독을 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteSnapshot | 디렉터리 스냅샷을 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteTrust | AWS 클라우드의 Microsoft AD와 외부 도메인 간의 기존 신뢰 관계를 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeregisterCertificate | 보안 LDAP 연결을 위해 등록된 인증서를 시스템에서 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeregisterEventTopic | 지정된 SNS 주제에 대한 게시자로 지정된 디렉터리를 제거할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DescribeCertificate | 보안 LDAP 연결을 위해 등록된 인증서에 대한 정보를 표시할 수 있는 권한을 부여합니다. | 읽기 | |||
| DescribeClientAuthenticationSettings | 지정된 디렉터리의 클라이언트 인증 유형이 지정된 경우 유형에 대한 정보를 검색할 수 있는 권한을 부여합니다. 인증 유형을 지정하지 않은 경우 지정된 디렉터리에 대해 지원되는 모든 클라이언트 인증 유형에 대한 정보가 검색됩니다. 현재 SmartCard만 지원됩니다. | 읽기 | |||
| DescribeConditionalForwarders | 이 계정의 조건부 전달자에 대한 정보를 가져올 수 있는 권한을 부여합니다. | 읽기 | |||
| DescribeDirectories | 이 계정에 속한 디렉터리에 대한 정보를 가져올 수 있는 권한을 부여합니다. | 목록 | |||
| DescribeDomainControllers | 디렉터리의 모든 도메인 컨트롤러에 대한 정보를 제공할 수 있는 권한을 부여합니다. | 읽기 | |||
| DescribeEventTopics | 지정된 디렉터리에서 상태 메시지를 수신한 SNS 주제에 대한 정보를 가져올 수 있는 권한을 부여합니다. | 읽기 | |||
| DescribeLDAPSSettings | 지정된 디렉터리에 대한 LDAP 보안 상태를 설명할 수 있는 권한을 부여합니다. | 읽기 | |||
| DescribeRegions | 다중 리전 복제에 대해 구성된 리전에 대한 정보를 제공할 수 있는 권한을 부여합니다. | 읽기 | |||
| DescribeSettings | 지정된 디렉터리에 대해 구성 가능한 설정의 정보를 검색할 수 있는 권한을 부여합니다. | 읽기 | |||
| DescribeSharedDirectories | 계정의 공유 디렉터리를 반환할 수 있는 권한을 부여합니다. | 읽기 | |||
| DescribeSnapshots | 이 계정에 속한 디렉터리 스냅샷에 대한 정보를 가져올 수 있는 권한을 부여합니다. | 읽기 | |||
| DescribeTrusts | 이 계정의 신뢰 관계에 대한 정보를 가져올 수 있는 권한을 부여합니다. | 읽기 | |||
| DescribeUpdateDirectory | 특정 업데이트 유형에 대한 디렉터리 업데이트를 설명할 권한을 부여합니다. | 읽기 | |||
| DisableClientAuthentication | 지정된 디렉터리에 대해 대체 클라이언트 인증 방법을 비활성화할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DisableLDAPS | 지정된 디렉터리에 대한 LDAP 보안 호출을 비활성화할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DisableRadius | AD Connector 디렉터리에 대한 RADIUS(Remote Authentication Dial In User Service) 서버를 사용하여 멀티 팩터 인증(MFA)을 비활성화할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DisableRoleAccess [권한만 해당] | AWS 디렉터리의 ID에 대한 AWS Management Console 액세스를 비활성화할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DisableSso | 디렉터리에 대한 Single Sign-On을 비활성화할 수 있는 권한을 부여합니다. | 쓰기 | |||
| EnableClientAuthentication | 지정된 디렉터리에 대해 대체 클라이언트 인증 방법을 활성화할 수 있는 권한을 부여합니다. | 쓰기 | |||
| EnableLDAPS | 특정 디렉터리의 스위치를 활성화하여 LDAP 보안 호출을 항상 사용할 수 있는 권한을 부여합니다. | 쓰기 | |||
| EnableRadius | AD Connector 디렉터리에 대한 RADIUS(Remote Authentication Dial In User Service) 서버를 사용하여 멀티 팩터 인증(MFA)을 활성화할 수 있는 권한을 부여합니다. | 쓰기 | |||
| EnableRoleAccess [권한만 해당] | AWS 디렉터리의 ID에 대한 AWS Management Console 액세스를 활성화할 수 있는 권한을 부여합니다. | 쓰기 |
iam:PassRole |
||
| EnableSso | 디렉터리에 대한 Single Sign-On을 활성화할 수 있는 권한을 부여합니다. | 쓰기 | |||
| GetAuthorizedApplicationDetails [권한만 해당] | 디렉터리에서 승인된 애플리케이션의 세부 정보를 검색할 수 있는 권한을 부여합니다. | 읽기 | |||
| GetDirectoryLimits | 현재 리전에 대한 디렉터리 제한 정보를 가져올 수 있는 권한을 부여합니다. | 읽기 | |||
| GetSnapshotLimits | 디렉터리에 대한 수동 스냅샷 제한을 가져올 수 있는 권한을 부여합니다. | 읽기 | |||
| ListAuthorizedApplications [권한만 해당] | 디렉터리용으로 승인된 AWS 애플리케이션을 가져올 수 있는 권한을 부여합니다. | 읽기 | |||
| ListCertificates | 지정된 디렉터리에 대해 보안 LDAP 연결을 위해 등록된 모든 인증서를 나열할 수 있는 권한을 부여합니다. | 목록 | |||
| ListIpRoutes | 디렉터리에 추가한 주소 블록을 나열할 수 있는 권한을 부여합니다. | 읽기 | |||
| ListLogSubscriptions | AWS 계정에 대한 활성 로그 구독을 나열할 수 있는 권한을 부여합니다. | 읽기 | |||
| ListSchemaExtensions | Microsoft AD Directory에 적용된 모든 스키마 확장을 나열할 수 있는 권한을 부여합니다. | 목록 | |||
| ListTagsForResource | Amazon Directory Services 디렉터리의 모든 태그를 나열할 수 있는 권한을 부여합니다. | 읽기 | |||
| RegisterCertificate | 보안 LDAP 연결을 위한 인증서를 등록할 수 있는 권한을 부여합니다. | 쓰기 | |||
| RegisterEventTopic | 디렉터리를 SNS 주제와 연결할 수 있는 권한을 부여합니다. | 쓰기 |
sns:GetTopicAttributes |
||
| RejectSharedDirectory | 디렉터리 소유자 계정에서 보낸 디렉터리 공유 요청을 거부할 수 있는 권한을 부여합니다. | 쓰기 | |||
| RemoveIpRoutes | 디렉터리에서 IP 주소 블록을 제거할 수 있는 권한을 부여합니다. | 쓰기 | |||
| RemoveRegion | 모든 복제를 중지할 수 있는 권한을 부여하고 지정된 리전에서 도메인 컨트롤러를 제거합니다. 이 작업으로 기본 리전을 제거할 수 없습니다. | 쓰기 | |||
| RemoveTagsFromResource | Amazon Directory Services 디렉터리에서 태그를 제거할 수 있는 권한을 부여합니다. | 태그 지정 |
ec2:DeleteTags |
||
| ResetUserPassword | AWS Managed Microsoft AD 또는 Simple AD 디렉터리의 사용자에 대해 암호를 재설정할 수 있는 권한을 부여합니다. | 쓰기 | |||
| RestoreFromSnapshot | 기존 디렉터리 스냅샷을 사용하여 디렉터리를 복원할 수 있는 권한을 부여합니다. | 쓰기 | |||
| ShareDirectory | AWS 계정(디렉터리 소유자)의 지정된 디렉터리를 다른 AWS 계정(디렉터리 소비자)와 공유할 수 있는 권한을 부여합니다. 이 작업에서 모든 AWS 계정의 디렉터리와 AWS 리전 내 모든 Amazon VPC의 디렉터리를 사용할 수 있습니다. | 쓰기 | |||
| StartSchemaExtension | Microsoft AD 디렉터리에 적용된 모든 스키마 확장을 나열할 수 있는 권한을 부여합니다. | 쓰기 | |||
| UnauthorizeApplication [권한만 해당] | AWS Directory에서 애플리케이션 승인을 취소할 수 있는 권한을 부여합니다. | 쓰기 | |||
| UnshareDirectory | 디렉터리 소유자와 소비자 계정 간의 디렉터리 공유를 중지할 수 있는 권한을 부여합니다. | 쓰기 | |||
| UpdateAuthorizedApplication [권한만 해당] | AWS 디렉터리에 대해 권한 있는 애플리케이션을 업데이트할 수 있는 권한을 부여합니다. | 쓰기 | |||
| UpdateConditionalForwarder | AWS 디렉터리에 대해 설정된 조건부 전달자를 업데이트할 수 있는 권한을 부여합니다. | 쓰기 | |||
| UpdateDirectory [권한만 해당] | 지정된 디렉터리에 대한 서비스 계정 보안 인증 또는 DNS 서버 IP 주소와 같은 구성을 업데이트할 수 있는 권한을 부여합니다. | 쓰기 | |||
| UpdateDirectorySetup | 특정 업데이트 유형에 대해 디렉터리에 대해 디렉터리를 업데이트할 수 있는 권한을 부여합니다. | 쓰기 | |||
| UpdateNumberOfDomainControllers | 디렉터리에서 도메인 컨트롤러를 추가 또는 제거할 수 있는 권한을 부여합니다. 현재 값과 (이 API 호출을 통해 제공된) 새 값 간의 차이에 따라 도메인 컨트롤러가 추가 또는 제거됩니다. 요청된 도메인 컨트롤러 수가 업데이트되면 새 도메인 컨트롤러가 완전히 활성 상태가 될 때까지 최대 45분이 걸릴 수 있습니다. 이 동안 다른 업데이트 요청을 할 수 없습니다. | 쓰기 | |||
| UpdateRadius | AD Connector 디렉터리에 대한 RADIUS(Remote Authentication Dial In User Service) 서버 정보를 업데이트할 수 있는 권한을 부여합니다. | 쓰기 | |||
| UpdateSettings | 지정된 디렉터리에 대해 구성 가능한 설정을 업데이트할 수 있는 권한을 부여합니다. | 쓰기 | |||
| UpdateTrust | AWS 관리형 Microsoft AD 디렉터리와 온프레미스 Active Directory 간에 설정된 신뢰 관계를 업데이트할 수 있는 권한을 부여합니다. | 쓰기 | |||
| VerifyTrust | AWS 클라우드의 Microsoft AD와 외부 도메인 간의 신뢰 관계를 확인할 수 있는 권한을 부여합니다. | 읽기 |
AWS Directory Service에서 정의한 리소스 유형
이 서비스에서 정의하는 리소스 유형은 다음과 같으며, IAM 권한 정책 설명의 Resource 요소에서 사용할 수 있습니다. 작업 테이블의 각 작업은 해당 작업으로 지정할 수 있는 리소스 유형을 식별합니다. 리소스 유형은 정책에 포함할 조건 키를 정의할 수도 있습니다. 이러한 키는 리소스 유형 테이블의 마지막 열에 표시됩니다. 다음 테이블의 열에 관한 자세한 내용은 리소스 유형 테이블을 참조하세요.
| 리소스 유형 | ARN | 조건 키 |
|---|---|---|
| directory |
arn:${Partition}:ds:${Region}:${Account}:directory/${DirectoryId}
|
AWS Directory Service에 사용되는 조건 키
AWS Directory Service는 IAM 정책의 Condition 요소에 사용할 수 있는 다음과 같은 조건 키를 정의합니다. 이러한 키를 사용하여 정책 설명이 적용되는 조건을 보다 상세하게 설정할 수 있습니다. 다음 테이블의 열에 대한 자세한 내용은 조건 키 테이블을 참조하세요.
모든 서비스에 사용할 수 있는 글로벌 조건 키를 보려면 사용 가능한 글로벌 조건 키를 참조하세요.
| 조건 키 | 설명 | 유형 |
|---|---|---|
| aws:RequestTag/${TagKey} | AWS DS에 대한 요청의 값을 기준으로 액세스를 필터링합니다. | 문자열 |
| aws:ResourceTag/${TagKey} | 적용되는 AWS DS 리소스를 기준으로 액세스를 필터링합니다 | 문자열 |
| aws:TagKeys | 요청에서 전달되는 태그 키를 기준으로 액세스를 필터링합니다. | ArrayOfString |
