Acciones, recursos y claves de condición para AWS Directory Service
AWS Directory Service (prefijo de servicio: ds) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para su uso en las políticas de permisos de IAM.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las operaciones de API disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.
Temas
Acciones definidas por AWS Directory Service
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Nivel de acceso de la tabla Acciones describe cómo se clasifica la acción (lista, lectura, administración de permisos o etiquetado). Esta clasificación puede ayudarle a entender el nivel de acceso que una acción concede cuando se utiliza en una política. Para obtener más información sobre los niveles de acceso, consulte Niveles de acceso en los resúmenes de políticas.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
La columna Acciones dependientes de la tabla Acciones muestra los permisos adicionales que pueden ser necesarios para llamar a una acción correctamente. Es posible que estos permisos sean necesarios además del permiso para la acción en sí. Cuando una acción especifica acciones dependientes, esas dependencias pueden aplicarse a los recursos adicionales definidos para esa acción, no solo al primer recurso de la tabla.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| AcceptSharedDirectory | Concede permiso para aceptar una solicitud de directorio compartido enviada desde la cuenta del propietario del directorio | Write | |||
| AccessDSData [solo permiso] | Concede permiso para acceder a los datos del directorio mediante la API de Directory Service Data | Administración de permisos | |||
| AddIpRoutes | Concede permiso para agregar un bloque de direcciones de CIDR para dirigir correctamente el tráfico hacia y desde su Microsoft AD en Amazon Web Services | Escritura |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:DescribeSecurityGroups |
||
| AddRegion | Concede permiso para agregar dos controladores de dominio en la región establecida para el directorio especificado | Escritura |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| AddTagsToResource | Concede permiso para agregar o sobrescribir una o varias etiquetas para el directorio especificado de Amazon Directory Services | Etiquetado |
ec2:CreateTags |
||
| AuthorizeApplication [solo permiso] | Concede permiso para autorizar una aplicación para su Directorio AWS | Escritura | |||
| CancelSchemaExtension | Concede permiso para cancelar una extensión de esquema en curso a un directorio de Microsoft AD | Escritura | |||
| CheckAlias [solo permiso] | Concede permiso para verificar que el alias esté disponible para su uso | Lectura | |||
| ConnectDirectory | Concede permiso para crear un AD Connector para conectarse a un directorio en las instalaciones | Escritura |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateAlias | Concede permiso para crear un alias para un directorio y asigna el alias al directorio | Escritura | |||
| CreateComputer | Concede permiso para crear una cuenta de computadora en el directorio especificado y une la computadora al directorio | Escritura | |||
| CreateConditionalForwarder | Concede permiso para crear un reenviador condicional asociado a su directorio de AWS | Escritura | |||
| CreateDirectory | Concede permiso para crear un directorio Simple AD | Escritura |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateHybridAD | Concede permiso para crear un directorio AD híbrido y administrado. | Escritura |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateNetworkInterfacePermission ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs iam:CreateServiceLinkedRole iam:GetRole secretsmanager:DescribeSecret secretsmanager:GetSecretValue ssm:GetCommandInvocation ssm:GetConnectionStatus ssm:ListCommands ssm:SendCommand |
||
| CreateIdentityPoolDirectory [solo permiso] | Concede permiso para crear un directorio de IdentityPool en la nube de AWS | Escritura | |||
| CreateLogSubscription | Concede permiso para crear una suscripción para reenviar en tiempo real registros de seguridad del controlador de dominio de Directory Service al grupo de registros de CloudWatch especificado en su Cuenta de AWS | Escritura | |||
| CreateMicrosoftAD | Concede permiso para crear un Microsoft AD en la nube de AWS | Escritura |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateSnapshot | Concede permiso para crear una instantánea de un directorio de Simple AD o de Microsoft AD en la nube de AWS | Escritura | |||
| CreateTrust | Concede permiso para comenzar la creación del lado AWS de una relación de confianza entre un Microsoft AD en la nube de AWS y un dominio externo | Escritura | |||
| DeleteADAssessment | Concede permiso para eliminar una evaluación de directorio. | Escritura | |||
| DeleteConditionalForwarder | Concede permiso para eliminar un reenviador condicional que se ha configurado para su directorio de AWS | Escritura | |||
| DeleteDirectory | Concede permiso para eliminar un directorio de AWS Directory Service | Escritura |
ec2:DeleteNetworkInterface ec2:DeleteSecurityGroup ec2:DescribeNetworkInterfaces ec2:RevokeSecurityGroupEgress ec2:RevokeSecurityGroupIngress |
||
| DeleteLogSubscription | Concede permiso para eliminar el registro de la suscripción especificado | Escritura | |||
| DeleteSnapshot | Concede permiso para eliminar una instantánea de directorio | Escritura | |||
| DeleteTrust | Concede permiso para eliminar una relación de confianza existente entre su Microsoft AD en la nube de AWS y un dominio externo | Escritura | |||
| DeregisterCertificate | Concede permiso para eliminar del sistema el certificado que fue registrado para una conexión LDAP segura | Escritura | |||
| DeregisterEventTopic | Concede permiso para quitar el directorio especificado como publicador en el tema de SNS especificado | Escritura | |||
| DescribeADAssessment | Concede permiso para describir una evaluación de directorio. | Lectura | |||
| DescribeCAEnrollmentPolicy | Concede permiso para describir el estado de la inscripción de la CA de un directorio específico. | Lectura | |||
| DescribeCertificate | Concede permiso para mostrar información sobre el certificado registrado para una conexión LDAP segura | Lectura | |||
| DescribeClientAuthenticationSettings | Concede permiso para recuperar información sobre el tipo de autenticación de cliente para el directorio especificado, si se especifica el tipo. Si no se especifica ningún tipo, se recupera información sobre todos los tipos de autenticación de clientes que se admiten para el directorio especificado. En la actualidad, solo se admite SmartCard | Lectura | |||
| DescribeConditionalForwarders | Concede permiso para obtener información acerca de los reenviadores condicionales para esta cuenta | Lectura | |||
| DescribeDirectories | Concede permiso para obtener información acerca de los directorios que pertenecen a esta cuenta | Enumeración | |||
| DescribeDirectoryDataAccess | Concede permiso para describir el estado de la API de Directory Service Data para el directorio especificado | Lectura | |||
| DescribeDomainControllers | Concede permiso para proporcionar información acerca de los controladores de dominio de su directorio | Lectura | |||
| DescribeEventTopics | Concede permiso para obtener información acerca de qué temas de SNS reciben mensajes de estado desde el directorio especificado | Lectura | |||
| DescribeHybridADUpdate | Concede permiso para describir las actualizaciones de un directorio híbrido especificado. | Lectura | |||
| DescribeLDAPSSettings | Concede permiso para escribir el estado de la seguridad de LDAP para el directorio especificado | Lectura | |||
| DescribeRegions | Concede permiso para proporcionar información acerca de las regiones configuradas para la replicación de varias regiones | Lectura | |||
| DescribeSettings | Concede permiso para recuperar información sobre los ajustes configurables para el directorio especificado. | Lectura | |||
| DescribeSharedDirectories | Concede permiso para devolver los directorios compartidos de su cuenta | Lectura | |||
| DescribeSnapshots | Concede permiso para obtener información acerca de las instantáneas de directorios que pertenecen a esta cuenta | Lectura | |||
| DescribeTrusts | Concede permiso para obtener información acerca de las relaciones de confianza de esta cuenta | Lectura | |||
| DescribeUpdateDirectory | Concede permiso para describir las actualizaciones de un directorio correspondientes a un determinado tipo de actualización | Lectura | |||
| DisableCAEnrollmentPolicy | Concede permiso para deshabilitar la inscripción de la CA de un directorio especificado. | Escritura | |||
| DisableClientAuthentication | Concede permiso para desactivar los métodos alternativos de autenticación de clientes para el directorio especificado | Escritura | |||
| DisableDirectoryDataAccess | Concede permiso para desactivar la API de Directory Service Data para el directorio especificado | Escritura | |||
| DisableLDAPS | Concede permiso para desactivar las llamadas seguras LDAP para el directorio especificado | Escritura | |||
| DisableRadius | Concede permiso para desactivar la autenticación multifactor (MFA) con el servidor Remote Authentication Dial In User Service (RADIUS) para un directorio de AD Connector | Escritura | |||
| DisableRoleAccess [solo permiso] | Concede permiso para deshabilitar el acceso de la Consola de administración de AWS a la identidad en su directorio de AWS | Escritura | |||
| DisableSso | Concede permiso para desactivar un ingreso de única vez para un directorio | Escritura | |||
| EnableCAEnrollmentPolicy | Concede permiso para habilitar la inscripción de la CA de un directorio especificado. | Escritura |
acm-pca:DescribeCertificateAuthority pca-connector-ad:GetConnector |
||
| EnableClientAuthentication | Concede permiso para habilitar métodos alternativos de autenticación de clientes para el directorio especificado | Escritura | |||
| EnableDirectoryDataAccess | Concede permiso para habilitar la API de Directory Service Data para el directorio especificado | Escritura | |||
| EnableLDAPS | Concede permiso para activar el control para que el directorio específico utilice llamadas seguras LDAP | Escritura | |||
| EnableRadius | Concede permiso para habilitar la autenticación multifactor (MFA) con el servidor Remote Authentication Dial In User Service (RADIUS) para un directorio de AD Connector | Escritura | |||
| EnableRoleAccess [solo permiso] | Concede permiso para permitir el acceso de la Consola de administración de AWS a la identidad en su directorio de AWS | Escritura |
iam:PassRole |
||
| EnableSso | Concede permiso para habilitar el inicio de sesión único para un directorio | Escritura | |||
| GetAuthorizedApplicationDetails [solo permiso] | Concede permiso para recuperar los detalles de las aplicaciones autorizadas de un directorio | Lectura | |||
| GetDirectoryLimits | Concede permiso para obtener información acerca del límite de directorios para la región actual | Lectura | |||
| GetSnapshotLimits | Concede permiso para obtener los límites de la instantánea manual para un directorio | Lectura | |||
| ListADAssessments | Concede permiso para enumerar evaluaciones de directorio. | Enumeración | |||
| ListAuthorizedApplications [solo permiso] | Concede permiso para obtener las aplicaciones de AWS autorizadas para un directorio | Lectura | |||
| ListCertificates | Concede permiso para enumerar todos los certificados registrados para una conexión LDAP segura, para el directorio especificado | Enumeración | |||
| ListIpRoutes | Concede permiso para enumerar los bloques de direcciones que ha agregado a un directorio | Lectura | |||
| ListLogSubscriptions | Concede permiso para enumerar todas las suscripciones de registro de la Cuenta de AWS | Lectura | |||
| ListSchemaExtensions | Concede permiso para enumerar todas las extensiones de esquema que se aplican a un directorio de Microsoft AD | Enumeración | |||
| ListTagsForResource | Concede permiso para enumerar todas las etiquetas de un directorio de Amazon Directory Services | Lectura | |||
| RegisterCertificate | Concede permiso para registrar un certificado para una conexión LDAP segura | Escritura | |||
| RegisterEventTopic | Concede permiso para asociar un directorio a un tema de SNS | Escritura |
sns:GetTopicAttributes |
||
| RejectSharedDirectory | Concede permiso para reflejar una solicitud de directorio compartido que se envió desde la cuenta del propietario del directorio | Escritura | |||
| RemoveIpRoutes | Concede permiso para eliminar bloques de direcciones IP de un directorio | Escritura | |||
| RemoveRegion | Concede permiso para detener toda la replicación y elimina los controladores de dominio de la región especificada. No puede eliminar la región principal con esta operación | Escritura | |||
| RemoveTagsFromResource | Concede permiso para eliminar las etiquetas de un directorio de Amazon Directory Services | Etiquetado |
ec2:DeleteTags |
||
| ResetUserPassword | Concede permiso para restablecer la contraseña de cualquier usuario de su directorio de AWS Microsoft AD o Simple AD administrado | Escritura | |||
| RestoreFromSnapshot | Concede permiso para restaurar un directorio usando una instantánea de directorio existente | Escritura | |||
| ShareDirectory | Concede permiso para compartir un directorio especificado en su Cuenta de AWS (propietario de directorio) con otra Cuenta de AWS (consumidor de directorio). Con esta operación, puede utilizar su directorio desde cualquier Cuenta de AWS y desde cualquier Amazon VPC dentro de una Región de AWS | Escritura | |||
| StartADAssessment | Concede permiso para iniciar una evaluación de directorio. | Escritura |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateNetworkInterfacePermission ec2:CreateSecurityGroup ec2:DeleteNetworkInterface ec2:DeleteSecurityGroup ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs ssm:GetCommandInvocation ssm:GetConnectionStatus ssm:ListCommands ssm:SendCommand |
||
| StartSchemaExtension | Concede permiso para aplicar una extensión de esquema a un directorio de Microsoft AD | Escritura | |||
| UnauthorizeApplication [solo permiso] | Concede permiso para desautorizar una aplicación de su AWS Directory | Escritura | |||
| UnshareDirectory | Concede permiso para detener el uso compartido de directorios entre el propietario del directorio y las cuentas del consumidor | Escritura | |||
| UpdateAuthorizedApplication [solo permiso] | Otorga permiso para actualizar una aplicación autorizada para su Directorio de AWS | Escritura | |||
| UpdateConditionalForwarder | Concede permiso para actualizar un reenviador condicional que se ha configurado para su directorio de AWS | Escritura | |||
| UpdateDirectory [solo permiso] | Concede permiso para actualizar las configuraciones, tales como credenciales de la cuenta de servicio o direcciones IP del servidor DNS, para el directorio especificado | Escritura | |||
| UpdateDirectorySetup | Concede permiso para actualizar el directorio con un determinado tipo de actualización | Escritura | |||
| UpdateHybridAD | Concede permiso para actualizar la configuración de un directorio híbrido especificado. | Escritura |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateNetworkInterfacePermission ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs secretsmanager:DescribeSecret secretsmanager:GetSecretValue ssm:GetCommandInvocation ssm:GetConnectionStatus ssm:ListCommands ssm:SendCommand |
||
| UpdateNumberOfDomainControllers | Concede permiso para agregar o quitar controladores de dominio en el directorio o hacia el directorio. En función de la diferencia entre el valor actual y el valor nuevo (proporcionada a través de esta llamada a la API), los controladores de dominio se agregarán o eliminarán. Esta operación puede tardar hasta 45 minutos para que cualquier controlador de dominio nuevo pase a estar totalmente activo una vez que el número de controladores de dominio solicitados se actualice. Durante este tiempo, no puede realizar ninguna otra solicitud de actualización | Escritura | |||
| UpdateRadius | Concede permiso para actualizar la información del servidor Remote Authentication Dial In User Service (RADIUS) para un directorio de AD Connector | Escritura | |||
| UpdateSettings | Concede permiso para actualizar la configuración del directorio especificado. | Escritura | |||
| UpdateTrust | Concede permiso para actualizar la relación de confianza que se ha configurado entre su directorio administrado de AWS de Microsoft AD y una instancia de Active Directory en las instalaciones | Escritura | |||
| VerifyTrust | Concede permiso para verificar una relación de confianza entre su Microsoft AD en la nube de AWS y un dominio externo | Lectura |
Tipos de recursos definidos por AWS Directory Service
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| directory |
arn:${Partition}:ds:${Region}:${Account}:directory/${DirectoryId}
|
Claves de condición para AWS Directory Service
AWS Directory Service define las siguientes claves de condición que pueden utilizarse en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.
A fin de ver las claves de condición globales que están disponibles para todos los servicios, consulte AWSClaves de contexto de condición globales.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra el acceso mediante el valor de la solicitud para DS de AWS | Cadena |
| aws:ResourceTag/${TagKey} | Filtra el acceso mediante el AWS DS Resource sobre el que se actúa | Cadena |
| aws:TagKeys | Filtra el acceso por las claves de etiquetas que se pasan en la solicitud | ArrayOfString |
