AWS Directory Service Permissões de API: referência de ações, recursos e condições

Ao configurar o Controle de acesso e escrever políticas de permissões que podem ser anexadas a uma identidade do IAM (políticas baseadas em identidade), você pode usar a tabela AWS Directory Service Permissões de API: referência de ações, recursos e condições como referência. Cada entrada de API na tabela inclui o seguinte:

• Nome da operação AWS Directory Service da API

• As ações correspondentes para as quais você pode conceder permissões para executar a ação

• O AWS recurso para o qual você pode conceder as permissões

Especifique as ações no campo Action da política e o valor do recurso no campo Resource da política. Para especificar uma ação, use o prefixo ds: seguido do nome da operação da API (por exemplo, ds:CreateDirectory). Alguns AWS aplicativos podem exigir o uso de operações de AWS Directory Service API não públicasds:AuthorizeApplication, comods:CheckAlias,ds:CreateIdentityPoolDirectory,ds:GetAuthorizedApplicationDetails,ds:UpdateAuthorizedApplication, e ds:UnauthorizeApplication em suas políticas.

Algumas AWS Directory Service APIs só podem ser chamadas por meio do AWS Management Console. Elas não são APIs públicas, no sentido de que não podem ser chamadas programaticamente e não são fornecidas por nenhum SDK. Eles aceitam as credenciais do usuário. Essas operações de API incluem ds:DisableRoleAccessds:EnableRoleAccess, ds:UpdateDirectory e.

Você pode usar chaves de condição AWS globais em suas AWS Directory Service políticas para expressar condições. Para obter uma lista completa das AWS chaves, consulte Chaves de condição globais disponíveis no Guia do usuário do IAM.

AWS Directory Service API e permissões necessárias para ações
AWS Directory Service Operações de API	Permissões obrigatórias (ações de API)	Recursos
AcceptSharedDirectory	ds:AcceptSharedDirectory	*
AddIpRoutes	ds:AddIpRoutes ec2:DescribeSecurityGroup ec2:AuthorizeSecurityGroupIngress ec2:AuthorizeSecurityGroupEgress	*
AddTagsToResource	ds:AddTagsToResource ec2:CreateTags	*
CancelSchemaExtension	ds:CancelSchemaExtension	*
ConnectDirectory	ds:ConnectDirectory ec2:DescribeSubnets ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:CreateNetworkInterface ec2:DescribeNetworkInterfaces ec2:AuthorizeSecurityGroupIngress ec2:AuthorizeSecurityGroupEgress ec2:CreateTags	*
CreateAlias	ds:CreateAlias	*
CreateComputer	ds:CreateComputer	*
CreateConditionalForwarder	ds:CreateConditionalForwarder	*
CreateDirectory	ds:CreateDirectory ec2:DescribeSubnets ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:CreateNetworkInterface ec2:DescribeNetworkInterfaces ec2:AuthorizeSecurityGroupIngress ec2:AuthorizeSecurityGroupEgress ec2:CreateTags	*
CreateLogSubscription	ds:CreateLogSubscription	*
CreateMicrosoftANÚNCIO	ds:CreateMicrosoftAD ec2:DescribeSubnets ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:CreateNetworkInterface ec2:DescribeNetworkInterfaces ec2:AuthorizeSecurityGroupIngress ec2:AuthorizeSecurityGroupEgress ec2:RevokeSecurityGroupEgress ec2:CreateTags	*
CreateSnapshot	ds:CreateSnapshot	*
CreateTrust	ds:CreateTrust	*
DeleteConditionalForwarder	ds:DeleteConditionalForwarder	*
DeleteDirectory	ds:DeleteDirectory ec2:DescribeNetworkInterfaces ec2:DeleteSecurityGroup ec2:DeleteNetworkInterface ec2:RevokeSecurityGroupIngress ec2:RevokeSecurityGroupEgress ec2:DeleteTags	*
DeleteLogSubscription	ds:DeleteLogSubscription	*
DeleteSnapshot	ds:DeleteSnapshot	*
DeleteTrust	ds:DeleteTrust	*
DeregisterEventTopic	ds:DeregisterEventTopic	*
DescribeConditionalForwarders	ds:DescribeConditionalForwarders	*
DescribeDirectories	ds:DescribeDirectories	*
DescribeDomainControllers	ds:DescribeDomainControllers	*
DescribeEventTopics	ds:DescribeEventTopics	*
DescribeSharedDirectories	ds:DescribeSharedDirectories	*
DescribeSnapshots	ds:DescribeSnapshots	*
DescribeTrusts	ds:DescribeTrusts	*
DisableRadius	ds:DisableRadius	*
DisableSso	ds:DisableSso	*
EnableRadius	ds:EnableRadius	*
EnableSso	ds:EnableSso	*
GetDirectoryLimits	ds:GetDirectoryLimits	*
GetSnapshotLimits	ds:GetSnapshotLimits	*
ListIpRoutes	ds:ListIpRoutes	*
ListLogSubscriptions	ds:ListLogSubscriptions	*
ListSchemaExtensions	ds:ListSchemaExtensions	*
ListTagsForResource	ds:ListTagsForResource	*
RegisterEventTopic	ds:RegisterEventTopic sns:GetTopicAttributes	*
RejectSharedDirectory	ds:RejectSharedDirectory	*
RemoveIpRoutes	ds:RemoveIpRoutes	*
RemoveTagsFromResource	ds:RemoveTagsFromResource ec2:DeleteTags	*
ResetUserPassword	ds:ResetUserPassword	*
RestoreFromSnapshot	ds:RestoreFromSnapshot	*
ShareDirectory	ds:ShareDirectory organizations:DescribeAccount organizations:DescribeOrganization organizations:ListAWSServiceAccessForOrganization	*
StartSchemaExtension	ds:StartSchemaExtension	*
UnshareDirectory	ds:UnshareDirectory	*
UpdateConditionalForwarder	ds:UpdateConditionalForwarder	*
UpdateNumberOfDomainControllers	ds:UpdateNumberOfDomainControllers ec2:DescribeSubnets ec2:DescribeVpcs ec2:CreateNetworkInterface ec2:DescribeNetworkInterfaces ec2:DeleteNetworkInterface	*
UpdateRadius	ds:UpdateRadius	*
UpdateTrust	ds:UpdateTrust	*
VerifyTrust	ds:VerifyTrust	*

Related Topics

• Controle de acesso