AWS の 管理ポリシー AWS Directory Service - AWS Directory Service
AWSDirectoryServiceFullAccessAWSDirectoryServiceReadOnlyAccessAWSDirectoryServiceDataFullAccessAWSDirectoryServiceDataReadOnlyAccessAWSDirectoryServiceServiceRolePolicy ポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS の 管理ポリシー AWS Directory Service

AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。

AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。

AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS 管理ポリシーを更新する可能性が高くなります。

詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

以下のセクションでは、 固有の AWS 管理ポリシーについて説明します Directory Service。これらのポリシーは、アカウントのユーザーに付加できます。

詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS 管理ポリシー: AWSDirectoryServiceFullAccess

AWSDirectoryServiceFullAccess ポリシーを IAM アイデンティティにアタッチできます。このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AWSDirectoryServiceFullAccess」を参照してください。

このポリシーは、プリンシパルにすべての Directory Service アクションへのフルアクセスを許可する管理アクセス許可を付与します。これらのアクセス許可を持つプリンシパルは、Simple AD、AD Connector、Managed Microsoft AD などのディレクトリを作成、設定、管理できます。また、ディレクトリの共有、信頼関係、モニタリング設定を管理することもできます。このポリシーには、ディレクトリサービスに必要な基盤となるネットワークインフラストラクチャを管理するためのアクセス許可が含まれています。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • ds – プリンシパルに Directory Service のすべてのアクションへのフルアクセスを許可します。

  • ec2 – プリンシパルがネットワークインターフェイス、セキュリティグループを管理し、ディレクトリオペレーションに必要な VPC リソースを記述できるようにします。

  • sns – プリンシパルがディレクトリモニタリング用の SNS トピック、特にDirectoryMonitoring」で始まる名前のトピックを作成および管理できるようにします。

  • iam – プリンシパルがディレクトリサービスオペレーションの IAM ロールを一覧表示できるようにします。

  • organizations – プリンシパルが AWS Organizations の統合を管理し、ディレクトリサービスのサービスアクセスを有効/無効にできるようにします。

AWS 管理ポリシー: AWSDirectoryServiceReadOnlyAccess

AWSDirectoryServiceReadOnlyAccess ポリシーを IAM アイデンティティにアタッチできます。このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AWSDirectoryServiceReadOnlyAccess」を参照してください。

このポリシーは、ユーザーが Directory Serviceの情報を閲覧するための読み取り専用の権限を付与します。このポリシーがアタッチされているプリンシパルは、ディレクトリまたはその設定を更新できません。たとえば、これらのアクセス許可を持つプリンシパルは、ディレクトリの詳細、信頼関係、モニタリング設定を表示できますが、新しいディレクトリを作成したり、既存のディレクトリを変更したりすることはできません。また、ディレクトリに関連付けられた関連する EC2 ネットワークリソースと SNS トピックを表示することもできます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • ds – ディレクトリ情報を返す読み取り専用アクションを実行することをユーザーに許可します。これには、DescribeCheckGetList、または Verify で始まる API 演算が含まれます。

  • ec2 – ユーザーがディレクトリサービスに関連付けられたネットワークインターフェイス、サブネット、VPC を記述できるようにします。

  • sns – ユーザーがディレクトリモニタリングに使用される SNS トピックとサブスクリプションに関する情報を一覧表示して取得できるようにします。

  • organizations – ユーザーがディレクトリサービスに関連する AWS Organizations アカウントとサービスアクセス設定を記述できるようにします。

AWS 管理ポリシー: AWSDirectoryServiceDataFullAccess

AWSDirectoryServiceDataFullAccess ポリシーを IAM アイデンティティにアタッチできます。このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AWSDirectoryServiceDataFullAccess」を参照してください。

このポリシーは、プリンシパルにすべてのディレクトリサービスデータ操作へのフルアクセスを許可する管理者権限を付与します。これらのアクセス許可を持つプリンシパルは、マネージドディレクトリ内の Active Directory ユーザーとグループを作成、更新、削除できます。グループメンバーシップを管理し、ユーザーを有効または無効にし、包括的なユーザーおよびグループ管理操作を実行できます。このポリシーは、Active Directory オブジェクトをプログラムで管理する必要がある管理者向けに設計されています。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • ds – プリンシパルが Directory Service Data API を介してディレクトリデータにアクセスできるようにします。

  • ds-data – ユーザーとグループの作成、更新、削除、グループメンバーシップの管理、ディレクトリオブジェクトの検索など、すべての Directory Service Data オペレーションへのフルアクセスをプリンシパルに許可します。

AWS 管理ポリシー: AWSDirectoryServiceDataReadOnlyAccess

AWSDirectoryServiceDataReadOnlyAccess ポリシーを IAM アイデンティティにアタッチできます。このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AWSDirectoryServiceDataReadOnlyAccess」を参照してください。

このポリシーは、ユーザーがマネージドディレクトリ内の Active Directory オブジェクトを表示および検索できるようにする読み取り専用アクセス許可を付与します。このポリシーが添付されたプリンシパルでは、ユーザー、またはグループメンバーシップを更新することができません。たとえば、これらのアクセス許可を持つプリンシパルは、ユーザーとグループを検索したり、ユーザーとグループの詳細を表示したり、グループメンバーシップを一覧表示したりできますが、ディレクトリオブジェクトを作成、変更、または削除することはできません。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • ds – プリンシパルが Directory Service Data API を介してディレクトリデータにアクセスできるようにします。

  • ds-data – ディレクトリオブジェクト情報を返す読み取り専用アクションを実行することをユーザーに許可します。これには、DescribeList、または Search で始まる API オペレーションが含まれます。

AWSDirectoryServiceServiceRolePolicy

AWSDirectoryServiceServiceRolePolicy ポリシーを IAM アイデンティティにアタッチできません。このポリシーは、ユーザーに代わって AWS ディレクトリサービスがアクションを実行することを許可する、サービスリンクロールにアタッチされます。このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AWSDirectoryServiceServiceRolePolicy」を参照してください。

このポリシーは、 がハイブリッド Active Directory 環境でセルフマネージド型ドメインコントローラーをモニタリングおよび評価 Directory Service できるようにするアクセス許可を付与します。このサービスは、これらのアクセス許可を使用して、自動ヘルス評価を実行し、互換性テストのために PowerShell スクリプトを実行し、ネットワーク設定情報を収集して、適切なハイブリッド接続と自動復旧機能を確保します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • ssm – サービスが PowerShell コマンドをオンプレミスのドメインコントローラーに送信し、モニタリングと評価の目的でコマンド実行結果を取得できるようにします。

  • ec2 – サービスが VPC、サブネット、セキュリティグループ、ネットワークインターフェイスなどのネットワークリソースを記述して、ハイブリッド接続設定を検証できるようにします。

IAM と AWS マネージドポリシー Directory Service の更新

サービスがこれらの変更の追跡を開始してからの IAM および AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、IAM および Directory Service ドキュメント履歴ページの RSS フィードにサブスクライブしてください。

変更 説明 日付

AWSDirectoryServiceServiceRolePolicy - 新しいポリシー

Directory Service は、 AWS が顧客の自己管理型ドメインコントローラーをモニタリングできるようにする新しいポリシーを追加しました。

 2025 年 7 月 30 日

AWS 管理ポリシー: AWSDirectoryServiceDataReadOnlyAccess - 新しいポリシー

Directory Service は、ユーザーまたはグループが AD ユーザー、メンバー、およびグループを表示および検索できるようにする新しいポリシーを追加しました。

 2024 年 9 月 17 日

AWS 管理ポリシー: AWSDirectoryServiceDataFullAccess - 新しいポリシー

Directory Service は、ユーザーまたはグループが Directory Service Data を使用した組み込みオブジェクト管理にアクセスして AD ユーザー、メンバー、グループを作成、管理、表示できるようにする新しいポリシーを追加しました。

 2024 年 9 月 17 日

Directory Service が変更の追跡を開始しました

Directory Service は、 AWS 管理ポリシーの変更の追跡を開始しました。

 2024 年 9 月 17 日