Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWSpolíticas gestionadas para AWS Directory Service
Una política AWS gestionada es una política independiente creada y administrada porAWS. AWSLas políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWSes más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte Políticas administradas por AWS en la Guía del usuario de IAM.
En las siguientes secciones se describen las políticas AWS gestionadas específicas deDirectory Service. Puede adjuntar estas políticas a los usuarios de su cuenta.
Para obtener más información, consulte Políticas administradas por AWS en la Guía del usuario de IAM.
AWSpolítica gestionada: AWSDirectoryServiceFullAccess
Puede asociar la política AWSDirectoryServiceFullAccess a las identidades de IAM. Para ver todos los permisos de esta política, consulte AWSDirectoryServiceFullAccessla Referencia de políticas AWS gestionadas.
Esta política otorga permisos administrativos que permiten al director acceder plenamente a todas Directory Service las acciones. Las entidades principales con estos permisos pueden crear, configurar y administrar directorios, incluidos Simple AD, Conector AD y Managed Microsoft AD. También pueden administrar el uso compartido de directorios, las relaciones de confianza y las configuraciones de monitoreo. Esta política incluye permisos para administrar la infraestructura de red subyacente necesaria para los servicios de directorio.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
ds: permite a las entidades principales obtener acceso completo a todas las acciones de Directory Service. -
ec2: permite a las entidades principales administrar las interfaces de red y los grupos de seguridad y describir los recursos de VPC necesarios para las operaciones de directorio. -
sns— Permite a los directores crear y administrar temas de SNS para la supervisión de directorios, específicamente temas cuyos nombres comienzan por "»DirectoryMonitoring. -
iam: permite que las entidades principales enumeren los roles de IAM para las operaciones de servicios de directorios. -
organizations— Permite a los directores gestionar la integración de AWS Organizations y enable/disable el acceso a los servicios de directorio.
AWSpolítica gestionada: AWSDirectoryServiceReadOnlyAccess
Puede asociar la política AWSDirectoryServiceReadOnlyAccess a las identidades de IAM. Para ver todos los permisos de esta política, consulte AWSDirectoryServiceReadOnlyAccessla Referencia de políticas AWS gestionadas.
Esta política concede permisos de solo lectura que permiten a los usuarios ver información en Directory Service. Las entidades principales que cuentan con esta política adjunta no pueden actualizar los directorios ni sus configuraciones. Por ejemplo, las entidades principales con estos permisos pueden ver los detalles del directorio, las relaciones de confianza y las configuraciones de monitoreo, pero no pueden crear directorios nuevos ni modificar los existentes. También pueden ver los recursos de EC2 red relacionados y los temas de SNS asociados a los directorios.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
ds: permite a los usuarios realizar acciones de solo lectura que devuelven información del directorio. Esto incluye las operaciones de la API que comienzan conDescribe,List,Check,GetoVerify. -
ec2— Permite a los usuarios describir las interfaces de red, las subredes y los servicios de directorio VPCs asociados a ellos. -
sns: permite a los usuarios enumerar y obtener información sobre los temas de SNS y las suscripciones que se utilizan para el monitoreo de directorios. -
organizations: permite a los usuarios describir las configuraciones de acceso a las cuentas y los servicios de AWS Organizations relacionadas con los servicios de directorio.
AWSpolítica gestionada: AWSDirectoryServiceDataFullAccess
Puede asociar la política AWSDirectoryServiceDataFullAccess a las identidades de IAM. Para ver todos los permisos de esta política, consulte AWSDirectoryServiceDataFullAccessla Referencia de políticas AWS gestionadas.
Esta política concede permisos administrativos que brindan a una entidad principal acceso completo a todas las acciones de Directory Service Data. Las entidades principales con estos permisos pueden crear, actualizar y eliminar usuarios y grupos de Active Directory en los directorios administrados. Pueden administrar la pertenencia a grupos, habilitar o deshabilitar usuarios y realizar operaciones integrales de administración de usuarios y grupos. Esta política está diseñada para los administradores que necesitan administrar los objetos de Active Directory mediante programación.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
ds: permite que las entidades principales accedan a los datos del directorio a través de la API de Directory Service Data. -
ds-data: permite a las entidades principales el acceso total a todas las operaciones de Directory Service Data, incluidas la creación, actualización y eliminación de usuarios y grupos, la administración de la pertenencia a grupos y la búsqueda de objetos de directorio.
Política administrada de AWS: AWSDirectoryServiceDataReadOnlyAccess
Puede asociar la política AWSDirectoryServiceDataReadOnlyAccess a las identidades de IAM. Para ver todos los permisos de esta política, consulte AWSDirectoryServiceDataReadOnlyAccessla Referencia de políticas AWS administradas.
Esta política concede permisos de solo lectura que permiten a los usuarios la visualización y la búsqueda de objetos de Active Directory en directorios administrados. Las entidades principales que cuentan con esta política adjunta no pueden actualizar usuarios, grupos ni pertenencias a grupos. Por ejemplo, las entidades principales con estos permisos pueden buscar usuarios y grupos, ver los detalles de los usuarios y de los grupos y enumerar la pertenencia de los grupos, pero no pueden crear, modificar ni eliminar ningún objeto de directorio.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
ds: permite que las entidades principales accedan a los datos del directorio a través de la API de Directory Service Data. -
ds-data: permite a los usuarios realizar acciones de solo lectura que devuelven información sobre los objetos del directorio. Esto incluye las operaciones de la API que comienzan conDescribe,ListoSearch.
AWSDirectoryServiceServiceRolePolicy
No puede adjuntar la política AWSDirectoryServiceServiceRolePolicy a las identidades de IAM. Esta política está asociada a un rol vinculado a un servicio que permite a AWS Directory Service servicio realizar acciones por usted. Para ver los permisos de esta política, consulte AWSDirectoryServiceServiceRolePolicy en la Referencia de la política administrada de AWS.
Esta política otorga permisos que permiten Directory Service monitorear y evaluar los controladores de dominio autoadministrados en entornos híbridos de Active Directory. El servicio utiliza estos permisos para ejecutar evaluaciones de estado automatizadas, ejecutar PowerShell scripts para realizar pruebas de compatibilidad y recopilar información sobre la configuración de la red a fin de garantizar una conectividad híbrida adecuada y unas capacidades de recuperación automatizadas.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
ssm— Permite que el servicio envíe PowerShell comandos a los controladores de dominio locales y recupere los resultados de la ejecución de los comandos con fines de supervisión y evaluación. -
ec2— Permite que el servicio describa los recursos de la red VPCs, como las subredes, los grupos de seguridad y las interfaces de red, para validar las configuraciones de conectividad híbrida.
IAM y Directory Service actualizaciones de las políticas gestionadas AWS
Consulta los detalles sobre las actualizaciones de IAM y las políticas AWS gestionadas desde que el servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de las páginas de IAM e historial de Directory Service documentos.
| Cambio | Descripción | Fecha |
|---|---|---|
|
AWSDirectoryServiceServiceRolePolicy: política nueva |
Directory Serviceagregó una nueva política que permite AWS monitorear los controladores de dominio autogestionados de un cliente. |
30 de julio de 2025 |
|
Política administrada de AWS: AWSDirectoryServiceDataReadOnlyAccess: política nueva |
Directory Servicese agregó una nueva política que permite a un usuario o grupo acceder para ver y buscar usuarios, miembros y grupos de AD. |
17 de septiembre de 2024 |
|
AWSpolítica gestionada: AWSDirectoryServiceDataFullAccess: política nueva |
Directory Serviceagregó una nueva política para permitir a un usuario o grupo acceder a la administración de objetos integrada con Directory Service Data para crear, administrar y ver los usuarios, miembros y grupos de AD. |
17 de septiembre de 2024 |
|
Directory Servicecomenzó a rastrear los cambios |
Directory Servicecomenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas. |
17 de septiembre de 2024 |
