授權使用的 AWS 應用程式和服務 AWS Directory Service

授權作用中目 AWS 錄上的應用程式

AWS Directory Service 授予所選應用程式的特定權限，以便在您授權應用 AWS 程式時與 Active Directory 無縫整合。 AWS 應用程式僅授與其使用案例所需的存取權。下面提供了授權後授予應用程式和應用程式管理員的內部許可集：

注意

需要ds:AuthorizationApplication權限才能授權新的 AWS 應用程序活動目錄。僅應向設定目錄服務整合的管理員提供此動作的許可。

• 存取 Active Directory 使用者、群組、組織單位、電腦或憑證授權單位資料的受管理 Microsoft AD、簡易 AD、AD AD Connector 目錄，以及 AWS 受管理 Microsoft AD 的受信任網域 (如果 AWS 受信任關係允許) 的所有組織單位 (OU) 中的資料。

• 寫入使用者、群組、群組成員資格、電腦或憑證授權單位資料的存取權限 ( AWS Managed Microsoft AD) 的組織單位中。對 Simple AD 的所有 OU 具有的寫入權限。

• 所有目錄類型 Active Directory 使用者的驗證和工作階段管理。

某些 AWS 受管 Microsoft AD 應用程序，如 Amazon RDS 和 Amazon FSx 通過直接網絡連接到您的活動目錄集成。在這種情況下，目錄互動使用本機 Active Directory 協定，例如 LDAP 和 Kerberos。這些 AWS 應用程式的權限是由在應用程式授權期間在 AWS 保留組織單位 (OU) 中建立的目錄使用者帳戶所控制，其中包括 DNS 管理和針對應用程式建立之自訂 OU 的完整存取權。為了使用此帳戶，應用程式需要透過呼叫者憑證或 IAM 角色來取得 ds:GetAuthorizedApplicationDetails 動作的許可。

如需 AWS Directory Service API 權限的詳細資訊，請參閱AWS Directory Service API 權限：動作、資源和條件參考。

如需針對 AWS 受管理的 Microsoft AD 啟 AWS 用應用程式和服務的詳細資訊，請參閱啟用對應用 AWS 程式和服務的存取。如需啟 AWS 用 AD Connector 之應用程式和服務的詳細資訊，請參閱啟用對應用 AWS 程式和服務的存取。如需啟 AWS 用 Simple AD 應用程式和服務的詳細資訊，請參閱啟用對應用 AWS 程式和服務的存取。

取消授權作用中目錄上的 AWS 應用程式

若要移除 AWS 應用程式存取 Active Directory 的權限，需要該ds:UnauthorizedApplication權限。按照應用程式提供的步驟將其停用。