Ações, recursos e chaves de condição do AWS Directory Service - Referência de autorização do serviço

Ações, recursos e chaves de condição do AWS Directory Service

O AWS Directory Service (prefixo de serviço: ds) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso em políticas de permissão do IAM.

Referências:

Ações definidas pelo AWS Directory Service

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Resource types (Tipos de recursos) indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você especificar um ARN de permissão no nível do recurso em uma instrução que esteja usando essa ação, ele deverá ser desse tipo. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um, mas não o outro.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações Descrição Nível de acesso Tipos de recursos (*necessários) Chaves de condição Ações dependentes
AcceptSharedDirectory Concede permissão para aceitar uma solicitação de compartilhamento de diretório enviada da conta do proprietário do diretório Write

directory*

AddIpRoutes Concede permissão para adicionar um bloco de endereços CIDR para encaminhar corretamente o tráfego de e para o Microsoft AD no Amazon Web Services Write

directory*

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:DescribeSecurityGroups

AddRegion Concede permissão para adicionar ao diretório selecionado dois controladores de domínio na região especificada para o diretório especificado Write

directory*

AddTagsToResource Concede permissão para adicionar ou substituir uma ou mais etiquetas do diretório especificado do Amazon Directory Services Marcação

directory*

ec2:CreateTags

aws:RequestTag/${TagKey}

aws:TagKeys

AuthorizeApplication [somente permissão] Concede permissão para autorizar uma aplicação para seu diretório AWS Write

directory*

CancelSchemaExtension Concede permissão para cancelar uma extensão de esquema em andamento para um diretório do Microsoft AD Write

directory*

CheckAlias [somente permissão] Concede permissão para verificar se o alias está disponível para uso Read
ConnectDirectory Concede permissão para criar um AD Connector para se conectar a um diretório on-premises Write

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateNetworkInterface

ec2:CreateSecurityGroup

ec2:CreateTags

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

CreateAlias Concede permissão para criar um alias para um diretório e atribuí-lo ao diretório Write

directory*

CreateComputer Concede permissão para criar uma conta de computador no diretório especificado e ingressa o computador no diretório Write

directory*

CreateConditionalForwarder Concede permissão para criar um encaminhador condicional associado ao seu diretório AWS Write

directory*

CreateDirectory Concede permissão para criar um diretório Simple AD Write

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateNetworkInterface

ec2:CreateSecurityGroup

ec2:CreateTags

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

CreateIdentityPoolDirectory [somente permissão] Concede permissão para criar um diretório IdentityPool na AWS nuvem Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateLogSubscription Concede permissão para criar uma assinatura para encaminhar logs de segurança do controlador de domínio do Directory Service em tempo real ao grupo de logs especificado do CloudWatch no Conta da AWS Write

directory*

CreateMicrosoftAD Concede permissão para criar um Microsoft AD na AWS nuvem Write

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateNetworkInterface

ec2:CreateSecurityGroup

ec2:CreateTags

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

CreateSnapshot Concede permissão para criar um snapshot de um diretório do Simple AD ou do Microsoft AD na AWS nuvem Write

directory*

CreateTrust Concede permissão para iniciar a criação lado da AWS de uma relacionamento de confiança entre um Microsoft AD na AWS nuvem e um domínio externo Write

directory*

DeleteConditionalForwarder Concede permissão para excluir um encaminhador condicional que foi configurado para seu diretório AWS Write

directory*

DeleteDirectory Concede permissão para excluir um diretório do AWS Directory Service Write

directory*

ec2:DeleteNetworkInterface

ec2:DeleteSecurityGroup

ec2:DescribeNetworkInterfaces

ec2:RevokeSecurityGroupEgress

ec2:RevokeSecurityGroupIngress

DeleteLogSubscription Concede permissão para excluir a assinatura de Log especificada Write

directory*

DeleteSnapshot Concede permissão para excluir um diretório snapshot Write

directory*

DeleteTrust Concede permissão de excluir um relacionamento de confiança existente entre o Microsoft AD na AWS nuvem e um domínio externo Write

directory*

DeregisterCertificate Concede permissão para excluir do sistema o certificado que foi registrado para uma conexão LDAP segura Write

directory*

DeregisterEventTopic Concede permissão para remover o diretório especificado como publicador para o tópico do SNS especificado Write

directory*

DescribeCertificate Concede permissão para exibir informações sobre o certificado registrado para uma conexão LDAP segura Read

directory*

DescribeClientAuthenticationSettings Concede permissão para recuperar informações sobre o tipo de autenticação de cliente para o diretório especificado, se o tipo for especificado. Se nenhum tipo for especificado, as informações sobre todos os tipos de autenticação do cliente compatíveis com o diretório especificado serão recuperadas. No momento, só há compatibilidade com o SmartCard Read

directory*

DescribeConditionalForwarders Concede permissão para obter informações sobre os encaminhadores condicionais dessa conta Read

directory*

DescribeDirectories Concede permissão para obter informações sobre os diretórios que pertencem a essa conta List
DescribeDomainControllers Concede permissão para fornecer informações sobre todos os controladores de domínio em seu diretório Read

directory*

DescribeEventTopics Concede permissão para obter informações sobre quais tópicos do SNS recebem mensagens de status do diretório especificado Read

directory*

DescribeLDAPSSettings Concede permissão para descrever o status da segurança LDAP do diretório especificado Read

directory*

DescribeRegions Concede permissão para fornecer informações sobre as regiões configuradas para replicação multirregional Read

directory*

DescribeSettings Concede permissão para recuperar informações sobre as configurações ajustáveis para o diretório especificado Read

directory*

DescribeSharedDirectories Concede permissão para devolver os diretórios compartilhados em sua conta Read

directory*

DescribeSnapshots Concede permissão para obter informações sobre os snapshots de diretório que pertencem a essa conta Read
DescribeTrusts Concede permissão para obter informações sobre as relações de confiança dessa conta Read
DisableClientAuthentication Concede permissão para desabilitar métodos alternativos de autenticação de clientes do diretório especificado Write

directory*

DisableLDAPS Concede permissão para desativar chamadas seguras LDAP para o diretório especificado Write

directory*

DisableRadius Concede permissão para desabilitar a autenticação multifator (MFA) com o servidor Remote Authentication Dial In User Service (RADIUS) para um diretório do AD Connector Write

directory*

DisableSso Concede permissão para desabilitar o Single Sign-On para um diretório Write

directory*

EnableClientAuthentication Concede permissão para habilitar métodos alternativos de autenticação de clientes do diretório especificado Write

directory*

EnableLDAPS Concede permissão para ativar o switch para o diretório específico para sempre usar chamadas seguras LDAP Write

directory*

EnableRadius Concede permissão para habilitar a autenticação multifator (MFA) com o servidor Remote Authentication Dial In User Service (RADIUS) para um diretório do AD Connector Write

directory*

EnableSso Concede permissão para habilitar o single sign-on para um diretório Write

directory*

GetAuthorizedApplicationDetails [somente permissão] Concede permissão para recuperar as informações das aplicações autorizadas em um diretório Read

directory*

GetDirectoryLimits Concede permissão para obter informações sobre limites de diretório para a região atual Read
GetSnapshotLimits Concede permissão para obter os limites do snapshot manual de um diretório Read

directory*

ListAuthorizedApplications [somente permissão] Concede permissão para obter as aplicações da AWS autorizadas para um diretório Read

directory*

ListCertificates Concede permissão para listar todos os certificados registrados para uma conexão LDAP segura para o diretório especificado List

directory*

ListIpRoutes Concede permissão para listar os blocos de endereços que você adicionou a um diretório Read

directory*

ListLogSubscriptions Concede permissão para listar as assinaturas de log ativas para a Conta da AWS Read
ListSchemaExtensions Concede permissão para listar todas as extensões de esquema aplicadas a um diretório do Microsoft AD List

directory*

ListTagsForResource Concede permissão para listar todas as etiquetas em um diretório do Amazon Directory Services Read

directory*

RegisterCertificate Concede permissão para registrar um certificado para conexão LDAP segura Write

directory*

RegisterEventTopic Concede permissão para associar um diretório a um tópico do SNS Write

directory*

sns:GetTopicAttributes

RejectSharedDirectory Concede permissão para rejeitar uma solicitação de compartilhamento de diretório enviada da conta do proprietário do diretório Write

directory*

RemoveIpRoutes Concede permissão para remover blocos de endereço IP de um diretório Write

directory*

RemoveRegion Concede permissão para interromper toda a replicação e remover os controladores de domínio da região especificada. Não é possível remover a região principal com essa operação Write

directory*

RemoveTagsFromResource Concede permissão para remover as etiquetas de um diretório do Amazon Directory Services Marcação

directory*

ec2:DeleteTags

aws:RequestTag/${TagKey}

aws:TagKeys

ResetUserPassword Concede permissão para redefinir a senha de qualquer usuário em seu diretório Microsoft AD ou Simple AD gerenciado pela AWS Write

directory*

RestoreFromSnapshot Concede permissão para restaurar um diretório usando um snapshot existente do diretório Write

directory*

ShareDirectory Concede permissão para compartilhar um diretório especificado na sua Conta da AWS (proprietário do diretório) com outra Conta da AWS (consumidor do diretório). Com essa operação, você pode usar o seu diretório em qualquer Conta da AWS e em qualquer Amazon VPC dentro de uma Região da AWS Write

directory*

StartSchemaExtension Concede permissão para aplicar uma extensão de esquema a um diretório do Microsoft AD Write

directory*

UnauthorizeApplication [somente permissão] Concede permissão para desautorizar uma aplicação do seu diretório AWS Write

directory*

UnshareDirectory Concede a permissão de interromper o compartilhamento de diretório entre as contas proprietárias e consumidoras do diretório Write

directory*

UpdateConditionalForwarder Concede permissão para atualizar um encaminhador condicional que foi configurado para o seu diretório AWS Write

directory*

UpdateNumberOfDomainControllers Concede a permissão de adicionar ou remover os controladores de domínio de ou para o diretório. Com base na diferença entre o valor atual e o novo valor (fornecidos por essa chamada de API), os controladores de domínio serão adicionados ou removidos. Pode levar até 45 minutos para que qualquer novo controlador de domínio se torne totalmente ativo depois que o número solicitado de controladores de domínio for atualizado. Durante esse período, não é possível fazer outra solicitação de atualização Write

directory*

UpdateRadius Concede permissão para atualizar as informações do servidor Remote Authentication Dial In User Service (RADIUS) para um diretório do AD Connector Write

directory*

UpdateSettings Concede permissão para atualizar as configurações ajustáveis para o diretório especificado Write

directory*

UpdateTrust Concede permissão para atualizar a confiança que foi configurada entre o seu diretório Microsoft AD gerenciado pela AWS e um Diretório Ativo on-premises Write

directory*

VerifyTrust Concede permissão para verificar um relacionamento de confiança existente entre o Microsoft AD na nuvem AWS e um domínio externo Read

directory*

Tipos de recursos definidos pelo AWS Directory Service

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos ARN Chaves de condição
directory arn:${Partition}:ds:${Region}:${Account}:directory/${DirectoryId}

aws:ResourceTag/${TagKey}

Chaves de condição do AWS Directory Service

O AWS Directory Service define as seguintes chaves de condição que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

Chaves de condição Descrição Type
aws:RequestTag/${TagKey} Filtra o acesso pelo valor da solicitação para o DS AWS String
aws:ResourceTag/${TagKey} Filtra o acesso pela ação sobre o recurso DS da AWS String
aws:TagKeys Filtra ações com base nas chaves da etiqueta transmitidas na solicitação ArrayOfString