Directory Service API y permisos necesarios para realizar acciones AWS API de datos de Directory Service y permisos necesarios para las acciones Temas relacionados

Directory Service Permisos de API: referencia a acciones, recursos y condiciones

Puede usar la tabla Directory Service Permisos de API: referencia a acciones, recursos y condiciones como referencia cuando configure Control de acceso y escriba políticas de permisos que vaya a asociar a una identidad de IAM (políticas basadas en identidad). Cada entrada de la API de la tabla incluye lo siguiente:

El nombre de cada operación de la API.
Cada acción o acciones correspondientes a las operaciones de las API en las que puede conceder permisos para realizar la acción.
El AWS recurso en el que puedes conceder los permisos

Las acciones se especifican en el campo Action de la política y el valor del recurso se especifica en el campo Resource de la política. Para especificar una acción, use el prefijo ds: seguido del nombre de operación de la API (por ejemplo, ds:CreateDirectory). Algunas AWS aplicaciones pueden requerir el uso de operaciones de Directory Service API no públicasds:AuthorizeApplication, comods:CheckAlias,ds:CreateIdentityPoolDirectory, ds:GetAuthorizedApplicationDetailsds:UpdateAuthorizedApplication, y ds:UnauthorizeApplication en sus políticas.

A algunos solo se les Directory Service APIs puede llamar a través del AWS Management Console. No son públicos APIs, en el sentido de que no se pueden llamar mediante programación y ningún SDK los proporciona. Aceptan credenciales de usuario. Estas operaciones de API incluyen ds:DisableRoleAccess, ds:EnableRoleAccess yds:UpdateDirectory.

Puede utilizar claves de condición AWS globales en sus políticas de datos Directory Service y de Directory Service para expresar las condiciones. Para obtener una lista completa de AWS claves, consulte las claves de condición globales disponibles en la Guía del usuario de IAM.

Directory Service Operaciones de API	Permisos necesarios (acciones de la API)	Recursos
AcceptSharedDirectory	`ds:AcceptSharedDirectory`	*
AddIpRoutes	`ds:AddIpRoutes` `ec2:DescribeSecurityGroup` `ec2:AuthorizeSecurityGroupIngress` `ec2:AuthorizeSecurityGroupEgress`	*
AddTagsToResource	`ds:AddTagsToResource` `ec2:CreateTags`	*
CancelSchemaExtension	`ds:CancelSchemaExtension`	*
ConnectDirectory	`ds:ConnectDirectory` `ec2:DescribeSubnets` `ec2:DescribeVpcs` `ec2:CreateSecurityGroup` `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:AuthorizeSecurityGroupIngress` `ec2:AuthorizeSecurityGroupEgress` `ec2:CreateTags`	*
CreateAlias	`ds:CreateAlias`	*
CreateComputer	`ds:CreateComputer`	*
CreateConditionalForwarder	`ds:CreateConditionalForwarder`	*
CreateDirectory	`ds:CreateDirectory` `ec2:DescribeSubnets` `ec2:DescribeVpcs` `ec2:CreateSecurityGroup` `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:AuthorizeSecurityGroupIngress` `ec2:AuthorizeSecurityGroupEgress` `ec2:CreateTags`	*
CreateLogSubscription	`ds:CreateLogSubscription`	*
CreateMicrosoftAD	`ds:CreateMicrosoftAD` `ec2:DescribeSubnets` `ec2:DescribeVpcs` `ec2:CreateSecurityGroup` `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:AuthorizeSecurityGroupIngress` `ec2:AuthorizeSecurityGroupEgress` `ec2:RevokeSecurityGroupEgress` `ec2:CreateTags`	*
CreateSnapshot	`ds:CreateSnapshot`	*
CreateTrust	`ds:CreateTrust`	*
DeleteConditionalForwarder	`ds:DeleteConditionalForwarder`	*
DeleteDirectory	`ds:DeleteDirectory` `ec2:DescribeNetworkInterfaces` `ec2:DeleteSecurityGroup` `ec2:DeleteNetworkInterface` `ec2:RevokeSecurityGroupIngress` `ec2:RevokeSecurityGroupEgress` `ec2:DeleteTags`	*
DeleteLogSubscription	`ds:DeleteLogSubscription`	*
DeleteSnapshot	`ds:DeleteSnapshot`	*
DeleteTrust	`ds:DeleteTrust`	*
DeregisterEventTopic	`ds:DeregisterEventTopic`	*
DescribeConditionalForwarders	`ds:DescribeConditionalForwarders`	*
DescribeDirectories	`ds:DescribeDirectories`	*
DescribeDomainControllers	`ds:DescribeDomainControllers`	*
DescribeEventTopics	`ds:DescribeEventTopics`	*
DescribeSharedDirectories	`ds:DescribeSharedDirectories`	*
DescribeSnapshots	`ds:DescribeSnapshots`	*
DescribeTrusts	`ds:DescribeTrusts`	*
DisableRadius	`ds:DisableRadius`	*
DisableSso	`ds:DisableSso`	*
EnableRadius	`ds:EnableRadius`	*
EnableSso	`ds:EnableSso`	*
GetDirectoryLimits	`ds:GetDirectoryLimits`	*
GetSnapshotLimits	`ds:GetSnapshotLimits`	*
ListIpRoutes	`ds:ListIpRoutes`	*
ListLogSubscriptions	`ds:ListLogSubscriptions`	*
ListSchemaExtensions	`ds:ListSchemaExtensions`	*
ListTagsForResource	`ds:ListTagsForResource`	*
RegisterEventTopic	`ds:RegisterEventTopic` `sns:GetTopicAttributes`	*
RejectSharedDirectory	`ds:RejectSharedDirectory`	*
RemoveIpRoutes	`ds:RemoveIpRoutes`	*
RemoveTagsFromResource	`ds:RemoveTagsFromResource` `ec2:DeleteTags`	*
ResetUserPassword	`ds:ResetUserPassword`	*
RestoreFromSnapshot	`ds:RestoreFromSnapshot`	*
ShareDirectory	`ds:ShareDirectory` `organizations:DescribeAccount` `organizations:DescribeOrganization` `organizations:ListAWSServiceAccessForOrganization`	*
StartSchemaExtension	`ds:StartSchemaExtension`	*
UnshareDirectory	`ds:UnshareDirectory`	*
UpdateConditionalForwarder	`ds:UpdateConditionalForwarder`	*
UpdateNumberOfDomainControllers	`ds:UpdateNumberOfDomainControllers` `ec2:DescribeSubnets` `ec2:DescribeVpcs` `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:DeleteNetworkInterface`	*
UpdateRadius	`ds:UpdateRadius`	*
UpdateTrust	`ds:UpdateTrust`	*
VerifyTrust	`ds:VerifyTrust`	*

AWS API de datos de Directory Service y permisos necesarios para las acciones

nota

Para especificar una acción, use el prefijo ds-data: seguido del nombre de operación de la API (por ejemplo, ds-data:AddGroupMember).

Operaciones de la API de Directory Service Data	Permisos necesarios (acciones de la API)	Recursos
AddGroupMember	`ds-data:AddGroupMember`	*
CreateGroup	`ds-data:CreateGroup`	*
CreateUser	`ds-data:CreateUser`	*
DeleteGroup	`ds-data:DeleteGroup`	*
DeleteUser	`ds-data:DeleteUser`	*
DescribeGroup	`ds-data:DescribeGroup`	*
DescribeUser	`ds-data:DescribeUser`	*
DisableUser	`ds-data:DisableUser`	*
ListGroups	`ds-data:ListGroups`	*
ListGroupMembers	`ds-data:ListGroupMembers`	*
ListGroupsForMember	`ds-data:ListGroupsForMember`	*
ListUsers	`ds-data:ListUsers`	*
RemoveGroupMember	`ds-data:RemoveGroupMember`	*
SearchGroups	`ds-data:DescribeGroup` `ds-data:SearchGroups`	*
SearchUsers	`ds-data:DescribeUser` `ds-data:SearchUsers`	*
UpdateGroup	`ds-data:UpdateGroup`	*
UpdateUser	`ds-data:UpdateUser`	*

Temas relacionados

Control de acceso

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Uso de políticas basadas en identidades (políticas de IAM)

Claves de condición de Directory Service Data