Autorização para AWS aplicativos e serviços usando AWS Directory Service - AWS Directory Service
Autorizando um AWS aplicativo em um Active Directory AWS autorização de aplicativo com Directory Service Data

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Autorização para AWS aplicativos e serviços usando AWS Directory Service

Este tópico descreve a autorização para AWS aplicativos e serviços usando AWS Directory Service e AWS Directory Service Data

Autorizando um AWS aplicativo em um Active Directory

AWS Directory Service concede permissões específicas para que aplicativos selecionados se integrem perfeitamente ao seu Active Directory quando você autoriza um AWS aplicativo. AWS os aplicativos recebem apenas o acesso necessário para seus casos de uso específicos. Veja a seguir um conjunto de permissões internas concedidas aos aplicativos e administradores de aplicativos após a autorização:

nota

A ds:AuthorizationApplication permissão é necessária para autorizar um novo AWS aplicativo para um Active Directory. As permissões para essa ação só devem ser fornecidas aos administradores que configuram integrações com o Directory Service.

  • Leia o acesso aos dados de usuário, grupo, unidade organizacional, computador ou autoridade de certificação do Active Directory em todas as Unidades Organizacionais (UO) dos diretórios AWS Managed Microsoft AD, Simple AD, AD Connector, bem como domínios confiáveis do Managed AWS Microsoft AD, se permitido por uma relação de confiança.

  • Grave acesso a usuários, grupos, membros de grupos, computadores ou dados da autoridade de certificação em sua unidade organizacional do AWS Managed Microsoft AD. Acesso de gravação a todas as UOs do Simple AD.

  • Autenticação e gerenciamento de sessões de usuários do Active Directory para todos os tipos de diretório.

Certos aplicativos AWS gerenciados do Microsoft AD, como Amazon RDS e Amazon, FSx se integram por meio de conexão de rede direta ao seu Active Directory. Nesse caso, as interações do diretório usam protocolos nativos do Active Directory, como LDAP Kerberos. As permissões desses AWS aplicativos são controladas por uma conta de usuário do diretório criada na Unidade Organizacional AWS Reservada (OU) durante a autorização do aplicativo, que inclui DNS gerenciamento e acesso total a uma OU personalizada criada para o aplicativo. Para usar essa conta, o aplicativo requer permissões para ds:GetAuthorizedApplicationDetails agir por meio das credenciais do chamador ou de uma IAM função.

Para obter mais informações sobre AWS Directory Service API permissões, consulteAWS Directory Service APIpermissões: referência de ações, recursos e condições.

Para obter mais informações sobre como habilitar AWS aplicativos e serviços para o AWS Managed Microsoft AD, consulteAcesso a AWS aplicativos e serviços do seu Microsoft AD AWS gerenciado. Para obter mais informações sobre como habilitar AWS aplicativos e serviços para o Simple AD, consulteAcesso a AWS aplicativos e serviços do seu Simple AD. Para obter informações sobre como habilitar AWS aplicativos e serviços para o AD Connector, consulteAcesso a AWS aplicativos e serviços do AD Connector.

Desautorizando um AWS aplicativo em um Active Directory

A ds:UnauthorizedApplication permissão é necessária para remover as permissões de um AWS aplicativo acessar um Active Directory. Siga o procedimento fornecido pelo aplicativo para desativá-lo.

AWS autorização de aplicativo com Directory Service Data

Para diretórios AWS gerenciados do Microsoft AD, o Directory Service Data (ds-data) API fornece acesso programático às tarefas de gerenciamento de usuários e grupos. O modelo de autorização dos AWS aplicativos é separado dos controles de acesso do Directory Service Data, o que significa que as políticas de acesso para ações do Directory Service Data não afetam a autorização dos AWS aplicativos. Negar acesso a um diretório no ds-data não interromperá a integração de aplicativos nem os casos de AWS uso dos aplicativos. AWS

Ao escrever políticas de acesso para diretórios AWS gerenciados do Microsoft AD que autorizam AWS aplicativos, esteja ciente de que a funcionalidade de usuário e grupo pode estar disponível chamando um AWS aplicativo autorizado ou dados do Directory Service. API Amazon WorkDocs, Amazon WorkMail, Amazon WorkSpaces QuickSight, Amazon e Amazon Chime fornecem ações de gerenciamento de usuários e grupos em seus. APIs Controle o acesso a essa funcionalidade do AWS aplicativo com IAM políticas.

Exemplos

Os trechos a seguir mostram as formas incorretas e corretas de negar a DeleteUser funcionalidade quando AWS aplicativos, como Amazon e WorkDocs Amazon WorkMail, são autorizados no diretório.

Incorreto 

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ds-data:DeleteUser"
            ],
            "Resource": "*"
        }
    ]
}

Correto 

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ds-data:DeleteUser",
                "workmail:DeleteUser",
                "workdocs:DeleteUser"
            ],
            "Resource": "*"
        }
    ]
}