本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 的 受管政策 AWS Directory Service
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。 AWS 服務 當新的 啟動或新的 API 操作可供現有服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
下列各節說明特定的 AWS 受管政策 AWS Directory Service。您可以將這些政策連接到您帳戶中的使用者。
如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
AWS 受管政策: AWSDirectoryServiceFullAccess
您可將 AWSDirectoryServiceFullAccess 政策連接到 IAM 身分。若要檢視此政策的完整許可,請參閱《 AWS 受管政策參考》中的 AWSDirectoryServiceFullAccess。
此政策會授予管理許可,允許委託人完整存取所有 AWS Directory Service 動作。具有這些許可的主體可以建立、設定和管理目錄,包括 Simple AD、AD Connector 和 Managed Microsoft AD。他們也可以管理目錄共用、信任關係和監控組態。此政策包含管理目錄服務所需基礎網路基礎設施的許可。
許可詳細資訊
此政策包含以下許可:
-
ds– 允許主體完整存取所有 AWS Directory Service 動作。 -
ec2– 允許主體管理網路介面、安全群組,並描述目錄操作所需的 VPC 資源。 -
sns– 允許主體建立和管理 SNS 主題以進行目錄監控,特別是名稱開頭為「DirectoryMonitoring」的主題。 -
iam– 允許主體列出目錄服務操作的 IAM 角色。 -
organizations– 允許主體管理 AWS Organizations 整合,並啟用/停用目錄服務的服務存取。
AWS 受管政策: AWSDirectoryServiceReadOnlyAccess
您可將 AWSDirectoryServiceReadOnlyAccess 政策連接到 IAM 身分。若要檢視此政策的完整許可,請參閱《 AWS 受管政策參考》中的 AWSDirectoryServiceReadOnlyAccess。
此政策授予唯讀許可,允許使用者檢視 中的資訊 AWS Directory Service。已連接此政策的主體無法對目錄或其組態進行任何更新。例如,具有這些許可的主體可以檢視目錄詳細資訊、信任關係和監控組態,但無法建立新的目錄或修改現有的目錄。他們也可以檢視與目錄相關聯的相關 EC2 網路資源和 SNS 主題。
許可詳細資訊
此政策包含以下許可:
-
ds– 允許使用者執行唯讀動作,以傳回目錄資訊。這包括以Check、Describe、List、Get或 開頭的 API 操作Verify。 -
ec2– 允許使用者描述與目錄服務相關聯的網路介面、子網路和 VPCs。 -
sns– 允許使用者列出並取得用於目錄監控的 SNS 主題和訂閱的相關資訊。 -
organizations– 允許使用者描述 AWS Organizations 與目錄服務相關的帳戶和服務存取組態。
AWS 受管政策: AWSDirectoryServiceDataFullAccess
您可將 AWSDirectoryServiceDataFullAccess 政策連接到 IAM 身分。若要檢視此政策的完整許可,請參閱《 AWS 受管政策參考》中的 AWSDirectoryServiceDataFullAccess。
此政策會授予管理許可,允許委託人完整存取 Directory Service Data 操作。具有這些許可的主體可以在受管目錄中建立、更新和刪除 Active Directory 使用者和群組。他們可以管理群組成員資格、啟用或停用使用者,以及執行全面的使用者和群組管理操作。此政策專為需要以程式設計方式管理 Active Directory 物件的管理員而設計。
許可詳細資訊
此政策包含以下許可:
-
ds– 允許主體透過 Directory Service Data API 存取目錄資料。 -
ds-data– 允許主體完整存取所有 Directory Service Data 操作,包括建立、更新和刪除使用者和群組、管理群組成員資格,以及搜尋目錄物件。
AWS 受管政策:AWSDirectoryServiceDataReadOnlyAccess
您可將 AWSDirectoryServiceDataReadOnlyAccess 政策連接到 IAM 身分。若要檢視此政策的完整許可,請參閱《 AWS 受管政策參考》中的 AWSDirectoryServiceDataReadOnlyAccess。
此政策授予唯讀許可,允許使用者檢視和搜尋受管目錄中的 Active Directory 物件。附加此政策的主體無法對使用者、群組或群組成員資格進行任何更新。例如,具有這些許可的主體可以搜尋使用者和群組、檢視使用者和群組詳細資訊,以及列出群組成員資格,但無法建立、修改或刪除任何目錄物件。
許可詳細資訊
此政策包含以下許可:
-
ds– 允許主體透過 Directory Service Data API 存取目錄資料。 -
ds-data– 允許使用者執行唯讀動作,以傳回目錄物件資訊。這包括以Describe、List或 開頭的 API 操作Search。
AWSDirectoryServiceServiceRolePolicy
您無法將AWSDirectoryServiceServiceRolePolicy政策連接至 IAM 身分。此政策會連接到服務連結角色,允許 AWS Directory Service 代表您執行動作。若要檢視此政策的許可,請參閱《 AWS 受管政策參考》中的 AWSDirectoryServiceServiceRolePolicy。
此政策授予許可,允許 AWS Directory Service 在混合式 Active Directory 環境中監控和評估自我管理的網域控制站。此服務使用這些許可來執行自動化運作狀態評估、執行 PowerShell 指令碼進行相容性測試,以及收集網路組態資訊,以確保適當的混合連線能力和自動化復原功能。
許可詳細資訊
此政策包含以下許可:
-
ssm– 允許服務將 PowerShell 命令傳送至內部部署網域控制站,並擷取命令執行結果以進行監控和評估。 -
ec2– 允許服務描述網路資源,例如 VPCs、子網路、安全群組和網路介面,以驗證混合連線組態。
受管政策的 AWS IAM 和 AWS Directory Service 更新
檢視自服務開始追蹤這些變更以來,IAM 和 AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 IAM 和 AWS Directory Service 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
AWS Directory Service 新增了新的政策, AWS 以允許 監控客戶的自我管理網域控制站。 |
2025 年 7 月 30 日 | |
|
AWS Directory Service 新增了新的政策,以允許使用者或群組存取檢視和搜尋 AD 使用者、成員和群組。 |
2024 年 9 月 17 日 | |
|
AWS Directory Service 新增了新的政策,以允許使用者或群組使用 Directory Service Data 存取內建物件管理,以建立、管理和檢視 AD 使用者、成員和群組。 |
2024 年 9 月 17 日 | |
|
AWS Directory Service 開始追蹤變更 |
AWS Directory Service 已開始追蹤其 AWS 受管政策的變更。 |
2024 年 9 月 17 日 |
