を使用したAWSアプリケーションとサービスの認可Directory Service - AWS Directory Service
Active Directory でのAWSアプリケーションの認可 AWSDirectory Service Data を使用したアプリケーション認可

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用したAWSアプリケーションとサービスの認可Directory Service

このトピックでは、 および AWSDirectory Service Data を使用するAWSアプリケーションAWS Directory Serviceとサービスの認可について説明します。

Active Directory でのAWSアプリケーションの認可

Directory Serviceは、アプリケーションを承認するときに、選択したAWSアプリケーションに Active Directory とシームレスに統合するための特定のアクセス許可を付与します。 AWSアプリケーションには、特定のユースケースに必要なアクセスのみが付与されます。承認後にアプリケーションとアプリケーション管理者に付与される内部アクセス許可のセットは次のとおりです:

注記

Active Directory の新しいAWSアプリケーションを認可するには、 アクセスds:AuthorizationApplication許可が必要です。このアクションを実行するアクセス許可は、ディレクトリサービスとの統合を設定する管理者にのみ提供してください。

  • AWSManaged Microsoft AD、Simple AD、AD Connector ディレクトリのすべての組織単位 (OU) の Active Directory ユーザー、グループ、組織単位、コンピュータ、または認証機関データへの読み取りアクセス、および信頼関係で許可されている場合は AWSManaged Microsoft AD の信頼されたドメインへの読み取りアクセス。

  • AWSManaged Microsoft AD の組織単位のユーザー、グループ、グループメンバーシップ、コンピュータ、または認証機関データへの書き込みアクセス。Simple AD のすべての OU への書き込みアクセス。

  • すべてのディレクトリタイプの Active Directory ユーザーの認証とセッション管理。

Amazon RDS や Amazon FSx などの特定の AWSManaged Microsoft AD アプリケーションは、Active Directory への直接ネットワーク接続を介して統合されます。この場合、ディレクトリインタラクションには LDAP や Kerberos などのネイティブの Active Directory プロトコルが使用されます。これらのAWSアプリケーションのアクセス許可は、アプリケーション認可中にAWSリザーブド組織単位 (OU) で作成されたディレクトリユーザーアカウントによって制御されます。これには、DNS 管理と、アプリケーション用に作成されたカスタム OU へのフルアクセスが含まれます。このアカウントを使用するには、アプリケーションに呼び出し元の認証情報または IAM ロールを介した ds:GetAuthorizedApplicationDetails アクションへのアクセス許可が必要です。

Directory ServiceAPI アクセス許可の詳細については、「」を参照してくださいDirectory ServiceAPI アクセス許可: アクション、リソース、および条件リファレンス

AWSManaged Microsoft AD のAWSアプリケーションとサービスを有効にする方法の詳細については、「」を参照してくださいAWS Managed Microsoft AD からの AWS アプリケーションとサービスアクセス許可。Simple AD のAWSアプリケーションとサービスの有効化の詳細については、「」を参照してくださいSimple AD からの AWS アプリケーションとサービスへのアクセス。AD Connector のAWSアプリケーションとサービスを有効にする方法については、「」を参照してくださいAD Connector からの AWS アプリケーションとサービスへのアクセス

Active Directory でのAWSアプリケーションの認証解除

AWSアプリケーションが Active Directory にアクセスするためのds:UnauthorizedApplicationアクセス許可を削除するには、 アクセス許可が必要です。アプリケーションに表示される指示に従ってそれを無効化します。

AWSDirectory Service Data を使用したアプリケーション認可

AWSManaged Microsoft AD ディレクトリの場合、 Directory Service Data (ds-data) API は、ユーザーとグループの管理タスクへのプログラムによるアクセスを提供します。AWSアプリケーションの認可モデルは Directory Service Data のアクセスコントロールとは別のものです。つまり、Directory Service Data アクションのアクセスポリシーは、AWSアプリケーションの認可には影響しません。ds-data のディレクトリへのアクセスを拒否しても、AWSアプリケーション統合やAWSアプリケーションのユースケースが中断されることはありません。

AWSアプリケーションを許可する AWSManaged Microsoft AD ディレクトリのアクセスポリシーを作成するときは、承認された AWSApplication または Directory Service Data API を呼び出すことで、ユーザーとグループの機能が利用可能になる可能性があることに注意してください。Amazon WorkDocs、Amazon WorkMail、Amazon WorkSpaces、Amazon Quick Suite、および Amazon Chime はすべて API でユーザーとグループの管理アクションを提供します。IAM ポリシーを使用して、このAWSアプリケーション機能へのアクセスを制御します。

次のスニペットは、WorkDocs や Amazon WorkMail などのAWSアプリケーションが ディレクトリで承認されている場合に、正しくない方法でDeleteUser機能を拒否する方法を示しています。

正確ではない

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ds-data:DeleteUser"
            ],
            "Resource": "*"
        }
    ]
}

正確

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ds-data:DeleteUser",
                "workmail:DeleteUser",
                "workdocs:DeleteUser"
            ],
            "Resource": "*"
        }
    ]
}