AWS の マネージドポリシーAWS Directory Service

AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースに対してアクセス許可を提供するように設計されているため、ユーザー、グループ、ロールへのアクセス権の割り当てを開始できます。

AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。これは、すべての AWS ユーザーが使用できるようになるのを避けるためです。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。

AWS マネージドポリシーで定義されたアクセス許可は変更できません。AWS が AWS マネージドポリシーに定義されている権限を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

以下のセクションでは、Directory Service に特定される AWS マネージドポリシーについて説明します。これらのポリシーは、アカウントのユーザーに付加できます。

詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS マネージドポリシー: AWSDirectoryServiceFullAccess

AWSDirectoryServiceFullAccess ポリシーを IAM アイデンティティにアタッチできます。このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AWSDirectoryServiceFullAccess」を参照してください。

このポリシーは、プリンシパルにすべての Directory Service アクションへのフルアクセスを許可する管理者権限を付与します。これらのアクセス許可を持つプリンシパルは、Simple AD、AD Connector、Managed Microsoft AD などのディレクトリを作成、設定、管理できます。また、ディレクトリの共有、信頼関係、モニタリング設定を管理することもできます。このポリシーには、ディレクトリサービスに必要な基盤となるネットワークインフラストラクチャを管理するためのアクセス許可が含まれています。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

AWS マネージドポリシー: AWSDirectoryServiceReadOnlyAccess

AWSDirectoryServiceReadOnlyAccess ポリシーを IAM アイデンティティにアタッチできます。このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AWSDirectoryServiceReadOnlyAccess」を参照してください。

このポリシーは、ユーザーが Directory Service の情報を閲覧するための読み取り専用の権限を付与します。このポリシーがアタッチされているプリンシパルは、ディレクトリまたはその設定を更新できません。たとえば、これらのアクセス許可を持つプリンシパルは、ディレクトリの詳細、信頼関係、モニタリング設定を表示できますが、新しいディレクトリを作成したり、既存のディレクトリを変更したりすることはできません。また、ディレクトリに関連付けられた関連する EC2 ネットワークリソースと SNS トピックを表示することもできます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

AWS マネージドポリシー: AWSDirectoryServiceDataFullAccess

AWSDirectoryServiceDataFullAccess ポリシーを IAM アイデンティティにアタッチできます。このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AWSDirectoryServiceDataFullAccess」を参照してください。

このポリシーは、プリンシパルにすべてのディレクトリサービスデータ操作へのフルアクセスを許可する管理者権限を付与します。これらのアクセス許可を持つプリンシパルは、マネージドディレクトリ内の Active Directory ユーザーとグループを作成、更新、削除できます。グループメンバーシップを管理し、ユーザーを有効または無効にし、包括的なユーザーおよびグループ管理操作を実行できます。このポリシーは、Active Directory オブジェクトをプログラムで管理する必要がある管理者向けに設計されています。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

AWS マネージドポリシー: AWSDirectoryServiceDataReadOnlyAccess

AWSDirectoryServiceDataReadOnlyAccess ポリシーを IAM アイデンティティにアタッチできます。このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AWSDirectoryServiceDataReadOnlyAccess」を参照してください。

このポリシーは、ユーザーがマネージドディレクトリ内の Active Directory オブジェクトを表示および検索できるようにする読み取り専用アクセス許可を付与します。このポリシーが添付されたプリンシパルでは、ユーザー、またはグループメンバーシップを更新することができません。たとえば、これらのアクセス許可を持つプリンシパルは、ユーザーとグループを検索したり、ユーザーとグループの詳細を表示したり、グループメンバーシップを一覧表示したりできますが、ディレクトリオブジェクトを作成、変更、または削除することはできません。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

AWSDirectoryServiceServiceRolePolicy

AWSDirectoryServiceServiceRolePolicy ポリシーを IAM アイデンティティにアタッチできません。このポリシーは、ユーザーに代わって AWS ディレクトリサービスがアクションを実行することを許可する、サービスリンクロールにアタッチされます。このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AWSDirectoryServiceServiceRolePolicy」を参照してください。

このポリシーは、Directory Service がハイブリッド Active Directory 環境でセルフマネージド型ドメインコントローラーをモニタリングおよび評価できるようにするアクセス許可を付与します。このサービスは、これらのアクセス許可を使用して、自動ヘルス評価を実行し、互換性テストのために PowerShell スクリプトを実行し、ネットワーク設定情報を収集して、適切なハイブリッド接続と自動復旧機能を確保します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

AWS マネージドポリシーに対する IAM および Directory Service の更新

サービスが変更の追跡を開始してからの、IAM と AWS 管理ポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、IAM および Directory Service ドキュメントの履歴ページの RSS フィードをサブスクライブしてください。