AWS Directory Service API 許可:動作、資源和條件參考 - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Directory Service API 許可:動作、資源和條件參考

當您在設定 存取控制 並撰寫可連接到 IAM 身分 (以身分為基礎的政策) 的許可政策時,可以使用 AWS Directory Service API 和動作所需的許可 資料表作為參考。資料表中的每個 API 項目包含以下內容:

  • AWS Directory Service API 操作的名稱

  • 可由您授予執行此動作之許可的相對應動作。

  • 可由您授予這些許可的 AWS 資源

您要在政策的 Action 欄位中指定動作,並在政策的 Resource 欄位中指定資源值。若要指定動作,請使用後接 API 操作名稱的 ds: 字首 (例如,ds:CreateDirectory)。某些 AWS 應用程式可能會需要在其政策中使用非公開 AWS Directory Service API 操作,例如 ds:AuthorizeApplicationds:CheckAliasds:CreateIdentityPoolDirectoryds:UpdateAuthorizedApplicationds:UnauthorizeApplication

某些 AWS Directory Service API 只能透過AWS Management Console. 它們不是公共 API,從某種意義上講,它們不能以編程方式調用,並且它們不是由任何 SDK 提供的。他們接受使用者憑證。這些 API 作業包括ds:DisableRoleAccessds:EnableRoleAccess、和ds:UpdateDirectory

您可以在 AWS Directory Service 政策中使用完整 AWS 全域條件金鑰來表達條件。如需全 AWS 金鑰的完整清單,請參閱《IAM 使用者指南》中的可用全域條件金鑰