As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ações, recursos e chaves de condição do AWS Directory Service
AWS O Directory Service (prefixo do serviço:ds
) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso nas políticas de permissão do IAM.
Referências:
-
Saiba como configurar este serviço.
-
Visualize uma lista das operações de API disponíveis para este serviço.
-
Saiba como proteger este serviço e seus recursos usando políticas de permissão do IAM.
Tópicos
Ações definidas pelo AWS Directory Service
Você pode especificar as seguintes ações no elemento Action
de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.
A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource
de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma instrução com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o elemento Resource
em uma política do IAM, deverá incluir um ARN ou padrão para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.
A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition
da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.
nota
As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.
Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.
Ações | Descrição | Nível de acesso | Tipos de recursos (*necessários) | Chaves de condição | Ações dependentes |
---|---|---|---|---|---|
AcceptSharedDirectory | Concede permissão para aceitar uma solicitação de compartilhamento de diretório enviada da conta do proprietário do diretório | Escrever | |||
AddIpRoutes | Concede permissão para adicionar um bloco de endereços CIDR para encaminhar corretamente o tráfego de e para o Microsoft AD no Amazon Web Services | Escrever |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:DescribeSecurityGroups |
||
AddRegion | Concede permissão para adicionar ao diretório selecionado dois controladores de domínio na região especificada para o diretório especificado | Escrever |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
AddTagsToResource | Concede permissão para adicionar ou substituir uma ou mais etiquetas do diretório especificado do Amazon Directory Services | Tags |
ec2:CreateTags |
||
AuthorizeApplication [somente permissão] | Concede permissão para autorizar uma inscrição para o seu Diretório AWS | Escrever | |||
CancelSchemaExtension | Concede permissão para cancelar uma extensão de esquema em andamento para um diretório do Microsoft AD | Escrever | |||
CheckAlias [somente permissão] | Concede permissão para verificar se o alias está disponível para uso | Leitura | |||
ConnectDirectory | Concede permissão para criar um AD Connector para se conectar a um diretório on-premises | Escrever |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
CreateAlias | Concede permissão para criar um alias para um diretório e atribuí-lo ao diretório | Escrever | |||
CreateComputer | Concede permissão para criar uma conta de computador no diretório especificado e ingressa o computador no diretório | Escrever | |||
CreateConditionalForwarder | Concede permissão para criar um encaminhador condicional associado ao seu diretório AWS | Escrever | |||
CreateDirectory | Concede permissão para criar um diretório Simple AD | Escrever |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
CreateIdentityPoolDirectory [somente permissão] | Concede permissão para criar um IdentityPool diretório na AWS nuvem | Escrever | |||
CreateLogSubscription | Concede permissão para criar uma assinatura para encaminhar registros de segurança do controlador de domínio do Directory Service em tempo real para o grupo de CloudWatch registros especificado em seu Conta da AWS | Escrever | |||
CreateMicrosoftAD | Concede permissão para criar um Microsoft AD na AWS nuvem | Escrever |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
CreateSnapshot | Concede permissão para criar um instantâneo de um diretório Simple AD ou Microsoft AD na nuvem AWS | Escrever | |||
CreateTrust | Concede permissão para iniciar a criação do AWS lado de uma relação de confiança entre um Microsoft AD na AWS nuvem e um domínio externo | Escrever | |||
DeleteConditionalForwarder | Concede permissão para excluir um encaminhador condicional que foi configurado para seu diretório AWS | Escrever | |||
DeleteDirectory | Concede permissão para excluir um AWS diretório do Directory Service | Escrever |
ec2:DeleteNetworkInterface ec2:DeleteSecurityGroup ec2:DescribeNetworkInterfaces ec2:RevokeSecurityGroupEgress ec2:RevokeSecurityGroupIngress |
||
DeleteLogSubscription | Concede permissão para excluir a assinatura de Log especificada | Escrever | |||
DeleteSnapshot | Concede permissão para excluir um diretório snapshot | Escrever | |||
DeleteTrust | Concede permissão para excluir uma relação de confiança existente entre seu Microsoft AD na AWS nuvem e um domínio externo | Escrever | |||
DeregisterCertificate | Concede permissão para excluir do sistema o certificado que foi registrado para uma conexão LDAP segura | Escrever | |||
DeregisterEventTopic | Concede permissão para remover o diretório especificado como publicador para o tópico do SNS especificado | Escrever | |||
DescribeCertificate | Concede permissão para exibir informações sobre o certificado registrado para uma conexão LDAP segura | Leitura | |||
DescribeClientAuthenticationSettings | Concede permissão para recuperar informações sobre o tipo de autenticação de cliente para o diretório especificado, se o tipo for especificado. Se nenhum tipo for especificado, as informações sobre todos os tipos de autenticação do cliente compatíveis com o diretório especificado serão recuperadas. Atualmente, somente SmartCard é suportado | Leitura | |||
DescribeConditionalForwarders | Concede permissão para obter informações sobre os encaminhadores condicionais dessa conta | Leitura | |||
DescribeDirectories | Concede permissão para obter informações sobre os diretórios que pertencem a essa conta | Lista | |||
DescribeDomainControllers | Concede permissão para fornecer informações sobre todos os controladores de domínio em seu diretório | Leitura | |||
DescribeEventTopics | Concede permissão para obter informações sobre quais tópicos do SNS recebem mensagens de status do diretório especificado | Leitura | |||
DescribeLDAPSSettings | Concede permissão para descrever o status da segurança LDAP do diretório especificado | Leitura | |||
DescribeRegions | Concede permissão para fornecer informações sobre as regiões configuradas para replicação multirregional | Leitura | |||
DescribeSettings | Concede permissão para recuperar informações sobre as configurações ajustáveis para o diretório especificado | Leitura | |||
DescribeSharedDirectories | Concede permissão para devolver os diretórios compartilhados em sua conta | Leitura | |||
DescribeSnapshots | Concede permissão para obter informações sobre os snapshots de diretório que pertencem a essa conta | Leitura | |||
DescribeTrusts | Concede permissão para obter informações sobre as relações de confiança dessa conta | Leitura | |||
DescribeUpdateDirectory | Concede permissão para descrever as atualizações de um diretório para um determinado tipo de atualização | Leitura | |||
DisableClientAuthentication | Concede permissão para desabilitar métodos alternativos de autenticação de clientes do diretório especificado | Escrever | |||
DisableLDAPS | Concede permissão para desativar chamadas seguras LDAP para o diretório especificado | Escrever | |||
DisableRadius | Concede permissão para desabilitar a autenticação multifator (MFA) com o servidor Remote Authentication Dial In User Service (RADIUS) para um diretório do AD Connector | Escrever | |||
DisableRoleAccess [somente permissão] | Concede permissão para desativar o AWS Management Console acesso à identidade em seu AWS Diretório | Escrever | |||
DisableSso | Concede permissão para desabilitar o Single Sign-On para um diretório | Escrever | |||
EnableClientAuthentication | Concede permissão para habilitar métodos alternativos de autenticação de clientes do diretório especificado | Escrever | |||
EnableLDAPS | Concede permissão para ativar o switch para o diretório específico para sempre usar chamadas seguras LDAP | Escrever | |||
EnableRadius | Concede permissão para habilitar a autenticação multifator (MFA) com o servidor Remote Authentication Dial In User Service (RADIUS) para um diretório do AD Connector | Escrever | |||
EnableRoleAccess [somente permissão] | Concede permissão para permitir o AWS Management Console acesso à identidade em seu AWS Diretório | Escrever |
iam:PassRole |
||
EnableSso | Concede permissão para habilitar o single sign-on para um diretório | Escrever | |||
GetAuthorizedApplicationDetails [somente permissão] | Concede permissão para recuperar as informações das aplicações autorizadas em um diretório | Leitura | |||
GetDirectoryLimits | Concede permissão para obter informações sobre limites de diretório para a região atual | Leitura | |||
GetSnapshotLimits | Concede permissão para obter os limites do snapshot manual de um diretório | Leitura | |||
ListAuthorizedApplications [somente permissão] | Concede permissão para obter os AWS aplicativos autorizados para um diretório | Leitura | |||
ListCertificates | Concede permissão para listar todos os certificados registrados para uma conexão LDAP segura para o diretório especificado | Lista | |||
ListIpRoutes | Concede permissão para listar os blocos de endereços que você adicionou a um diretório | Leitura | |||
ListLogSubscriptions | Concede permissão para listar as assinaturas de registro ativas do Conta da AWS | Leitura | |||
ListSchemaExtensions | Concede permissão para listar todas as extensões de esquema aplicadas a um diretório do Microsoft AD | Lista | |||
ListTagsForResource | Concede permissão para listar todas as etiquetas em um diretório do Amazon Directory Services | Leitura | |||
RegisterCertificate | Concede permissão para registrar um certificado para conexão LDAP segura | Escrever | |||
RegisterEventTopic | Concede permissão para associar um diretório a um tópico do SNS | Escrever |
sns:GetTopicAttributes |
||
RejectSharedDirectory | Concede permissão para rejeitar uma solicitação de compartilhamento de diretório enviada da conta do proprietário do diretório | Escrever | |||
RemoveIpRoutes | Concede permissão para remover blocos de endereço IP de um diretório | Escrever | |||
RemoveRegion | Concede permissão para interromper toda a replicação e remover os controladores de domínio da região especificada. Não é possível remover a região principal com essa operação | Escrever | |||
RemoveTagsFromResource | Concede permissão para remover as etiquetas de um diretório do Amazon Directory Services | Tags |
ec2:DeleteTags |
||
ResetUserPassword | Concede permissão para redefinir a senha de qualquer usuário em seu diretório AWS Managed Microsoft AD ou Simple AD | Escrever | |||
RestoreFromSnapshot | Concede permissão para restaurar um diretório usando um snapshot existente do diretório | Escrever | |||
ShareDirectory | Concede permissão para compartilhar um diretório específico no seu Conta da AWS (proprietário do diretório) com outro Conta da AWS (consumidor do diretório). Com essa operação, você pode usar seu diretório de qualquer Conta da AWS e de qualquer Amazon VPC dentro de um Região da AWS | Escrever | |||
StartSchemaExtension | Concede permissão para aplicar uma extensão de esquema a um diretório do Microsoft AD | Escrever | |||
UnauthorizeApplication [somente permissão] | Concede permissão para desautorizar um aplicativo do seu Diretório AWS | Escrever | |||
UnshareDirectory | Concede a permissão de interromper o compartilhamento de diretório entre as contas proprietárias e consumidoras do diretório | Escrever | |||
UpdateAuthorizedApplication [somente permissão] | Concede permissão para atualizar um aplicativo autorizado para o seu AWS Diretório | Escrever | |||
UpdateConditionalForwarder | Concede permissão para atualizar um encaminhador condicional que foi configurado para seu diretório AWS | Escrever | |||
UpdateDirectory [somente permissão] | Concede permissão para atualizar as configurações, como credenciais da conta de serviço ou endereços IP do servidor DNS para o diretório especificado | Escrever | |||
UpdateDirectorySetup | Concede permissão para atualizar o diretório para um tipo de atualização específico | Escrever | |||
UpdateNumberOfDomainControllers | Concede a permissão de adicionar ou remover os controladores de domínio de ou para o diretório. Com base na diferença entre o valor atual e o novo valor (fornecidos por essa chamada de API), os controladores de domínio serão adicionados ou removidos. Pode levar até 45 minutos para que qualquer novo controlador de domínio se torne totalmente ativo depois que o número solicitado de controladores de domínio for atualizado. Durante esse período, não é possível fazer outra solicitação de atualização | Escrever | |||
UpdateRadius | Concede permissão para atualizar as informações do servidor Remote Authentication Dial In User Service (RADIUS) para um diretório do AD Connector | Escrever | |||
UpdateSettings | Concede permissão para atualizar as configurações ajustáveis para o diretório especificado | Escrever | |||
UpdateTrust | Concede permissão para atualizar a relação de confiança que foi configurada entre seu diretório AWS gerenciado do Microsoft AD e um Active Directory local | Escrever | |||
VerifyTrust | Concede permissão para verificar uma relação de confiança entre seu Microsoft AD na AWS nuvem e um domínio externo | Leitura |
Tipos de recursos definidos pelo AWS Directory Service
Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource
de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.
Tipos de recursos | ARN | Chaves de condição |
---|---|---|
directory |
arn:${Partition}:ds:${Region}:${Account}:directory/${DirectoryId}
|
Chaves de condição do AWS Directory Service
AWS O Directory Service define as seguintes chaves de condição que podem ser usadas no Condition
elemento de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.
Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.
Chaves de condição | Descrição | Tipo |
---|---|---|
aws:RequestTag/${TagKey} | Filtra o acesso pelo valor da solicitação ao AWS DS | String |
aws:ResourceTag/${TagKey} | Filtra o acesso pelo recurso AWS DS que está sendo usado | String |
aws:TagKeys | Filtra o acesso pelas chaves da etiqueta que são transmitidas na solicitação | ArrayOfString |