使用对 AWS 应用程序和服务的授权 AWS Directory Service

在 Active Di AWS rectory 上授权应用程序

AWS Directory Service 授予所选应用程序的特定权限，以便在您授权应用程序时与您的 Active Directory 无缝集成。 AWS AWS 应用程序仅被授予其用例所需的访问权限。授权后授予应用程序和应用程序管理员的内部权限集如下所示：

注意

授权新 AWS 应用程序使用 Active Directory 需要该ds:AuthorizationApplication权限。只能向配置与 Directory Service 集成的管理员提供此操作的权限。

• 在托管的微软 AD、Simple AD、AD Connector 目录中的所有组织单位 (OU) 以及 AWS 托管微软 AD 的可信域中，读取对 Active Directory 用户、群组、组织单位、计算机或证书颁发机构数据的访问权限（如果信任关系允许）。 AWS

• 写入对 AWS 托管 Microsoft AD 组织单位中的用户、群组、群组成员资格、计算机或证书颁发机构数据的访问权限。对 Simple AD 的所有 OU 的写入权限。

• 对所有目录类型的 Active Directory 用户的身份验证和会话管理权限。

某些 AWS 托管的 Microsoft AD 应用程序（例如亚马逊RDS和亚马逊）通过直接的网络连接FSx集成到您的活动目录。在这种情况下，目录交互使用原生 Active Directory 协议，例如LDAP和 Kerberos。这些 AWS 应用程序的权限由应用程序授权期间在 AWS 保留组织单位 (OU) 中创建的目录用户帐户控制，其中包括DNS管理和对为应用程序创建的自定义 OU 的完全访问权限。要使用此账户，应用程序需要通过来电者凭据或IAM角色进行ds:GetAuthorizedApplicationDetails操作的权限。

有关 AWS Directory Service API 权限的更多信息，请参阅 AWS Directory Service API权限：操作、资源和条件参考。

有关为 AWS 托管 Microsoft AD 启用 AWS 应用程序和服务的更多信息，请参阅允许访问 AWS 应用程序和服务。有关为 AD Connector 启用 AWS 应用程序和服务的更多信息，请参阅允许访问 AWS 应用程序和服务。有关为 Simple AD 启用 AWS 应用程序和服务的更多信息，请参阅允许访问 AWS 应用程序和服务。

取消对 Active Direct AWS ory 上应用程序的授权

要删除 AWS 应用程序访问活动目录的权限，需要该ds:UnauthorizedApplication权限。按照应用程序提供的步骤将其禁用。