Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Operazioni, risorse e chiavi di condizione per AWS Directory Service
AWS Directory Service (prefisso del servizio:ds) fornisce le seguenti risorse, azioni e chiavi di contesto delle condizioni specifiche del servizio da utilizzare nelle politiche di autorizzazione IAM.
Riferimenti:
-
Scopri come configurare questo servizio.
-
Visualizza un elenco delle operazioni API disponibili per questo servizio.
-
Scopri come proteggere questo servizio e le sue risorse utilizzando le policy delle autorizzazioni di IAM.
Argomenti
Operazioni definite da AWS Directory Service
Puoi specificare le seguenti operazioni nell'elemento Action di un'istruzione di policy IAM. Utilizza le policy per concedere le autorizzazioni per eseguire un'operazione in AWS. Quando utilizzi un'operazione in una policy, in genere consenti o rifiuti l'accesso all'operazione API o al comando CLI con lo stesso nome. Tuttavia, in alcuni casi, una singola operazione controlla l'accesso a più di una operazione. In alternativa, alcune operazioni richiedono operazioni differenti.
La colonna Livello di accesso della tabella Azioni descrive come viene classificata l'azione (List, Read, Permissions management o Tagging). Questa classificazione può aiutare a comprendere il livello di accesso che un'operazione mette a disposizione quando viene utilizzata in una policy. Per ulteriori informazioni sui livelli di accesso, vedere Livelli di accesso nei riepiloghi delle politiche.
La colonna Tipi di risorsa della tabella Operazioni indica se ogni operazione supporta le autorizzazioni a livello di risorsa. Se non vi è nessun valore in corrispondenza di questa colonna, è necessario specificare tutte le risorse ("*") alle quali si applica la policy nell'elemento Resource dell'istruzione di policy. Se la colonna include un tipo di risorsa, puoi specificare un ARN di quel tipo in una istruzione con tale operazione. Se l'operazione ha una o più risorse richieste, il chiamante deve disporre dell'autorizzazione per utilizzare l'operazione con tali risorse. Le risorse richieste sono indicate nella tabella con un asterisco (*). Se si limita l'accesso alle risorse con l'elemento Resource in una policy IAM, è necessario includere un ARN o un modello per ogni tipo di risorsa richiesta. Alcune operazioni supportano più tipi di risorse. Se il tipo di risorsa è facoltativo (non indicato come obbligatorio), puoi scegliere di utilizzare uno tra i tipi di risorsa facoltativi.
La colonna Chiavi di condizione della tabella Operazioni contiene le chiavi che è possibile specificare nell'elemento Condition di un'istruzione di policy. Per ulteriori informazioni sulle chiavi di condizione associate alle risorse per il servizio guarda la colonna Chiavi di condizione della tabella Tipi di risorsa.
Nota
Le chiavi relative alle condizioni delle risorse sono elencate nella tabella Tipi di risorse. Nella colonna Tipi di risorse (*obbligatorio) della tabella Operazioni è presente un collegamento al tipo di risorsa che si applica a un'operazione. Il tipo di risorsa nella tabella Tipi di risorse include la colonna Chiavi di condizione, che contiene le chiavi delle condizioni delle risorse che si applicano a un'operazione nella tabella Operazioni.
Per dettagli sulle colonne nella tabella seguente, consultare Tabella delle operazioni.
| Azioni | Descrizione | Livello di accesso | Tipi di risorsa (*obbligatorio) | Chiavi di condizione | Operazioni dipendenti |
|---|---|---|---|---|---|
| AcceptSharedDirectory | Concede l'autorizzazione per accettare una richiesta di condivisione della directory inviata dall'account del proprietario della directory | Scrittura | |||
| AccessDSData [solo autorizzazione] | Concede l'autorizzazione ad accedere ai dati delle directory utilizzando l'API Directory Service Data | Gestione delle autorizzazioni | |||
| AddIpRoutes | Concede l'autorizzazione per aggiungere un indirizzo di blocco CIDR per instradare correttamente il traffico da e verso la propria Microsoft AD su Amazon Web Services | Scrittura |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:DescribeSecurityGroups |
||
| AddRegion | Concede l'autorizzazione per aggiungere due controller di dominio nella regione specificata per la directory specificata | Scrittura |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| AddTagsToResource | Concede l'autorizzazione per aggiungere o sovrascrive uno o più tag alla directory di Amazon Directory Service specificata. | Assegnazione di tag |
ec2:CreateTags |
||
| AuthorizeApplication [solo autorizzazione] | Concede l'autorizzazione ad autorizzare un'applicazione per la tua Directory AWS | Scrittura | |||
| CancelSchemaExtension | Concede l'autorizzazione per annullare un'estensione dello schema in esecuzione su una directory di Microsoft AD | Scrittura | |||
| CheckAlias [solo autorizzazione] | Concede l'autorizzazione per verificare che l'alias sia disponibile per l'uso | Lettura | |||
| ConnectDirectory | Concede l'autorizzazione per creare un AD Connector per la connessione a una directory On-Premise | Scrittura |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateAlias | Concede l'autorizzazione per creare un alias per una directory e assegna tale alias alla directory | Scrittura | |||
| CreateComputer | Concede l'autorizzazione per creare un account computer nella directory specificata e aggiungere il computer alla directory | Scrittura | |||
| CreateConditionalForwarder | Concede l'autorizzazione a creare un server d'inoltro condizionale associato alla directory AWS | Scrittura | |||
| CreateDirectory | Concede l'autorizzazione per creare una directory Simple AD | Scrittura |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateIdentityPoolDirectory [solo autorizzazione] | Concede l'autorizzazione a creare una directory nel cloud IdentityPool AWS | Scrittura | |||
| CreateLogSubscription | Concede l'autorizzazione a creare un abbonamento per inoltrare i log di sicurezza del controller di dominio Directory Service in tempo reale al gruppo di CloudWatch log specificato nel Account AWS | Scrittura | |||
| CreateMicrosoftAD | Concede l'autorizzazione a creare un Microsoft AD nel cloud AWS | Scrittura |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateSnapshot | Concede l'autorizzazione a creare un'istantanea di una directory Simple AD o Microsoft AD nel cloud AWS | Scrittura | |||
| CreateTrust | Concede l'autorizzazione per avviare la creazione del AWS lato di una relazione di trust tra un Microsoft AD nel AWS cloud e un dominio esterno | Scrittura | |||
| DeleteConditionalForwarder | Concede l'autorizzazione a eliminare un server d'inoltro condizionale che è stato impostato per la directory AWS | Scrittura | |||
| DeleteDirectory | Concede l'autorizzazione per eliminare una AWS directory di Directory Service | Scrittura |
ec2:DeleteNetworkInterface ec2:DeleteSecurityGroup ec2:DescribeNetworkInterfaces ec2:RevokeSecurityGroupEgress ec2:RevokeSecurityGroupIngress |
||
| DeleteLogSubscription | Concede l'autorizzazione per eliminare la sottoscrizione al log specificato | Scrittura | |||
| DeleteSnapshot | Concede l'autorizzazione per eliminare una directory snapshot | Scrittura | |||
| DeleteTrust | Concede l'autorizzazione a eliminare una relazione di trust esistente tra Microsoft AD nel AWS cloud e un dominio esterno | Scrittura | |||
| DeregisterCertificate | Concede l'autorizzazione per eliminare dal sistema il certificato registrato per una connessione LDAP protetta | Scrittura | |||
| DeregisterEventTopic | Concede l'autorizzazione per rimuovere la directory specificata dal ruolo di generatore di contenuti per l'argomento SNS specificato | Scrittura | |||
| DescribeCertificate | Concede l'autorizzazione per visualizzare informazioni sul certificato registrato per una connessione LDAP protetta | Lettura | |||
| DescribeClientAuthenticationSettings | Concede l'autorizzazione per recuperare informazioni sul tipo di autenticazione client per la directory specificata, se specificato. Se non viene specificato alcun tipo, vengono recuperate le informazioni su tutti i tipi di autenticazione client supportati per la directory specificata. Attualmente, SmartCard è supportato solo | Lettura | |||
| DescribeConditionalForwarders | Concede l'autorizzazione per ottenere le informazioni sui server d'inoltro condizionale di questo account | Lettura | |||
| DescribeDirectories | Concede l'autorizzazione per ottenere le informazioni sulle directory che appartengono a questo account | Elenco | |||
| DescribeDirectoryDataAccess | Concede l'autorizzazione a descrivere lo stato dell'API Directory Service Data per la directory specificata | Lettura | |||
| DescribeDomainControllers | Concede l'autorizzazione per fornire informazioni su qualsiasi controller di dominio nella directory | Lettura | |||
| DescribeEventTopics | Concede l'autorizzazione per ottenere le informazioni su quali argomenti SNS ricevono messaggi di stato dalla directory specificata | Lettura | |||
| DescribeLDAPSSettings | Concede l'autorizzazione per descrivere lo stato di sicurezza LDAP per la directory specificata | Lettura | |||
| DescribeRegions | Concede l'autorizzazione per fornire informazioni sulle regioni configurate per la replica multi-regione | Lettura | |||
| DescribeSettings | Concede l'autorizzazione per recuperare le informazioni sulle impostazioni configurabili per la directory specificata | Lettura | |||
| DescribeSharedDirectories | Concede l'autorizzazione per restituire le directory condivise nel tuo account | Lettura | |||
| DescribeSnapshots | Concede l'autorizzazione per ottenere le informazioni sugli snapshot di directory che appartengono a questo account | Lettura | |||
| DescribeTrusts | Concede l'autorizzazione per ottenere le informazioni sulle relazioni di trust di questo account | Lettura | |||
| DescribeUpdateDirectory | Concede l'autorizzazione per descrivere gli aggiornamenti di una directory per un particolare tipo di aggiornamento | Lettura | |||
| DisableClientAuthentication | Concede l'autorizzazione per disabilitare i metodi di autenticazione client alternativi per la directory specificata | Scrittura | |||
| DisableDirectoryDataAccess | Concede l'autorizzazione a disabilitare l'API Directory Service Data per la directory specificata | Scrittura | |||
| DisableLDAPS | Concede l'autorizzazione per disattivare le chiamate protette LDAP per la directory specificata | Scrittura | |||
| DisableRadius | Concede l'autorizzazione per disabilitare l'autenticazine a più fattori (MFA) tramite server Remote Authentication Dial In User Service (RADIUS) per una directory AD Connector | Scrittura | |||
| DisableRoleAccess [solo autorizzazione] | Concede l'autorizzazione a disabilitare AWS Management Console l'accesso per l'identità nella Directory AWS | Scrittura | |||
| DisableSso | Concede l'autorizzazione per disabilitare il Single-Sign On per una directory | Scrittura | |||
| EnableClientAuthentication | Concede l'autorizzazione per abilitare i metodi di autenticazione client alternativi per la directory specificata | Scrittura | |||
| EnableDirectoryDataAccess | Concede l'autorizzazione per abilitare l'API Directory Service Data per la directory specificata | Scrittura | |||
| EnableLDAPS | Concede l'autorizzazione per attivare l'opzione per la directory specifica per utilizzare sempre le chiamate sicure LDAP. | Scrittura | |||
| EnableRadius | Concede l'autorizzazione per abilitare l'autenticazione a più fattori (MFA) tramite server Remote Authentication Dial In User Service (RADIUS) per una directory AD Connector | Scrittura | |||
| EnableRoleAccess [solo autorizzazione] | Concede l'autorizzazione per abilitare AWS Management Console l'accesso all'identità nella Directory AWS | Scrittura |
iam:PassRole |
||
| EnableSso | Concede l'autorizzazione per abilitare il Single-Sign on per una directory | Scrittura | |||
| GetAuthorizedApplicationDetails [solo autorizzazione] | Concede l'autorizzazione per recuperare i dettagli delle applicazioni autorizzate su una directory | Lettura | |||
| GetDirectoryLimits | Concede l'autorizzazione per ottenere le informazioni sui limiti delle directory per la regione corrente | Lettura | |||
| GetSnapshotLimits | Concede l'autorizzazione per ottenere il numero massimo di snapshot manuali per una directory | Lettura | |||
| ListAuthorizedApplications [solo autorizzazione] | Concede il permesso di ottenere le AWS applicazioni autorizzate per una directory | Lettura | |||
| ListCertificates | Concede l'autorizzazione per elencare tutti i certificati registrati per una connessione LDAP sicura per la directory specificata | Elenco | |||
| ListIpRoutes | Concede l'autorizzazione per elencare i blocchi di indirizzi che sono stati aggiunti a una directory | Lettura | |||
| ListLogSubscriptions | Concede l'autorizzazione a elencare le sottoscrizioni di registro attive per Account AWS | Lettura | |||
| ListSchemaExtensions | Concede l'autorizzazione per elencare tutte le estensioni dello schema applicate a una directory Microsoft AD | Elenco | |||
| ListTagsForResource | Concede l'autorizzazione per elencare tutti i tag di una directory Amazon Directory Service | Lettura | |||
| RegisterCertificate | Concede l'autorizzazione per registrare un certificato per la connessione LDAP sicura | Scrittura | |||
| RegisterEventTopic | Concede l'autorizzazione per associare una directory a un argomento SNS | Scrittura |
sns:GetTopicAttributes |
||
| RejectSharedDirectory | Concede l'autorizzazione per rifiutare una richiesta di condivisione della directory inviata dall'account del proprietario della directory | Scrittura | |||
| RemoveIpRoutes | Concede l'autorizzazione per rimuovere blocchi di indirizzi IP da una directory | Scrittura | |||
| RemoveRegion | Concede l'autorizzazione per interrompere tutte le repliche e rimuovere i controller di dominio dalla regione specificata Non è possibile rimuovere la regione principale con questa operazione | Scrittura | |||
| RemoveTagsFromResource | Concede l'autorizzazione per rimuovere i tag da una directory di Amazon Directory Service | Assegnazione di tag |
ec2:DeleteTags |
||
| ResetUserPassword | Concede l'autorizzazione a reimpostare la password per qualsiasi utente nella directory AWS Managed Microsoft AD o Simple AD | Scrittura | |||
| RestoreFromSnapshot | Concede l'autorizzazione per ripristinare una directory utilizzando uno snapshot della directory esistente | Scrittura | |||
| ShareDirectory | Concede l'autorizzazione a condividere una directory specificata dell'utente Account AWS (proprietario della directory) con un altro Account AWS (utente della directory). Con questa operazione puoi utilizzare la tua directory da qualsiasi Account AWS Amazon VPC all'interno di un Regione AWS | Scrittura | |||
| StartSchemaExtension | Concede l'autorizzazione per applicare un'estensione dello schema a una directory di Microsoft AD | Scrittura | |||
| UnauthorizeApplication [solo autorizzazione] | Concede l'autorizzazione a non autorizzare un'applicazione dalla tua Directory AWS | Scrittura | |||
| UnshareDirectory | Concede l'autorizzazione per interrompere la condivisione della directory tra il proprietario della directory e gli account degli utilizzatori | Scrittura | |||
| UpdateAuthorizedApplication [solo autorizzazione] | Concede l'autorizzazione ad aggiornare un'applicazione autorizzata per la tua Directory AWS | Scrittura | |||
| UpdateConditionalForwarder | Concede l'autorizzazione ad aggiornare un server d'inoltro condizionale che è stato impostato per la directory AWS | Scrittura | |||
| UpdateDirectory [solo autorizzazione] | Concede l'autorizzazione per aggiornare le configurazioni come le credenziali degli account di servizio o gli indirizzi IP del server DNS per la directory specificata | Scrittura | |||
| UpdateDirectorySetup | Concede l'autorizzazione per aggiornare la directory per un particolare tipo di aggiornamento | Scrittura | |||
| UpdateNumberOfDomainControllers | Concede l'autorizzazione per aggiungere o rimuove i controller di dominio alla o dalla directory. In base alla differenza tra il valore corrente e il nuovo valore (forniti tramite questa chiamata API), i controller di dominio verranno aggiunti o rimossi. Potrebbero essere necessari fino a 45 minuti affinché un nuovo controller di dominio possa diventare completamente attivo dopo l'aggiornamento al numero richiesto di controller di dominio. Durante questo periodo di tempo non è possibile effettuare altre richieste di aggiornamento | Scrittura | |||
| UpdateRadius | Concede l'autorizzazione per aggiornare le informazioni del server Remote Authentication Dial In User Service (RADIUS) per una directory AD Connector | Scrittura | |||
| UpdateSettings | Concede l'autorizzazione per aggiornare le informazioni sulle impostazioni configurabili per la directory specificata | Scrittura | |||
| UpdateTrust | Concede l'autorizzazione ad aggiornare il trust che è stato impostato tra la directory AWS Managed Microsoft AD e un Active Directory locale | Scrittura | |||
| VerifyTrust | Concede l'autorizzazione a verificare una relazione di trust tra Microsoft AD nel AWS cloud e un dominio esterno | Lettura |
Tipi di risorse definiti da AWS Directory Service
I seguenti tipi di risorse sono definiti da questo servizio e possono essere utilizzati nell'elemento Resource delle istruzioni di policy delle autorizzazioni IAM. Ogni operazione nella Tabella delle operazioni identifica i tipi di risorse che possono essere specificati con tale operazione. Un tipo di risorsa può anche definire quali chiavi di condizione puoi includere in una policy. Queste chiavi vengono visualizzate nell'ultima colonna della tabella Tipi di risorsa. Per dettagli sulle colonne nella tabella seguente, consulta Tabella dei tipi di risorsa.
| Tipi di risorsa | ARN | Chiavi di condizione |
|---|---|---|
| directory |
arn:${Partition}:ds:${Region}:${Account}:directory/${DirectoryId}
|
Chiavi di condizione per AWS Directory Service
AWS Directory Service definisce le seguenti chiavi di condizione che possono essere utilizzate nell'Conditionelemento di una policy IAM. Puoi utilizzare queste chiavi per perfezionare ulteriormente le condizioni in base alle quali si applica l'istruzione di policy. Per dettagli sulle colonne nella tabella seguente, consulta Tabella delle chiavi di condizione.
Per visualizzare le chiavi di condizione globali disponibili per tutti i servizi, consulta le chiavi di contesto delle condizioni AWS globali.
| Chiavi di condizione | Descrizione | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra l'accesso in base al valore della richiesta a AWS DS | Stringa |
| aws:ResourceTag/${TagKey} | Filtra l'accesso da parte della risorsa AWS DS su cui si agisce | Stringa |
| aws:TagKeys | Filtra l'accesso tramite le chiavi di tag passate nella richiesta | ArrayOfString |
