翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Directory Service のアクション、リソース、および条件キー
AWS Directory Service (サービスプレフィックス: ds) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
リファレンス:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
AWS Directory Service で定義されるアクション
IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
Actions テーブルのアクセスレベル列は、アクションの分類方法 (List、Read、Permissions Management、Tagging) を示しています。このように分類することで、ポリシーで使用する際にアクションで付与するアクセスレベルを理解しやすくなります。アクセスレベルの詳細については、ポリシー概要の「アクセスレベル」を参照してください。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
Actions テーブルの Dependent actions 列には、アクションを正常に呼び出すために必要な追加のアクセス許可が表示されます。これらのアクセス許可は、アクション自体のアクセス許可に加えて必要になる場合があります。アクションが依存アクションを指定すると、それらの依存関係は、テーブルにリストされている最初のリソースだけでなく、そのアクションに定義された追加のリソースに適用される場合があります。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
| アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
|---|---|---|---|---|---|
| AcceptSharedDirectory | ディレクトリ所有者アカウントから送信されたディレクトリ共有リクエストを受け入れる許可を付与 | 書き込み | |||
| AccessDSData [アクセス許可のみ] | Directory Service Data API を使用してディレクトリデータにアクセスする許可を付与する | 権限の管理 | |||
| AddIpRoutes | トラフィックを Amazon Web Services の Microsoft AD との間で正しくルーティングできるように CIDR アドレスブロックを追加する許可を付与 | 書き込み |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:DescribeSecurityGroups |
||
| AddRegion | 指定されたディレクトリの指定されたリージョンに 2 つのドメインコントローラーを追加する許可を付与 | 書き込み |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| AddTagsToResource | 指定された Amazon Directory Services ディレクトリの 1 つまたは複数のタグを追加または上書きする許可を付与 | Tagging |
ec2:CreateTags |
||
| AuthorizeApplication [アクセス許可のみ] | AWS ディレクトリのアプリケーションを承認するアクセス許可を付与します | 書き込み | |||
| CancelSchemaExtension | 進行中の Microsoft AD ディレクトリへのスキーマ拡張をキャンセルする許可を付与 | 書き込み | |||
| CheckAlias [アクセス許可のみ] | エイリアスが使用可能であることを確認する許可を付与 | 読み取り | |||
| ConnectDirectory | オンプレミスディレクトリに接続するための AD Connector を作成する許可を付与 | 書き込み |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateAlias | ディレクトリのエイリアスを作成し、ディレクトリにエイリアスを割り当てる許可を付与 | 書き込み | |||
| CreateComputer | 指定されたディレクトリにコンピュータアカウントを作成し、コンピュータをディレクトリに結合する許可を付与 | 書き込み | |||
| CreateConditionalForwarder | AWS ディレクトリに関連付けられた条件付きフォワーダーを作成するアクセス許可を付与します | 書き込み | |||
| CreateDirectory | Simple AD ディレクトリを作成する許可を付与 | 書き込み |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateHybridAD | Hybrid Managed AD ディレクトリを作成するアクセス許可を付与します | 書き込み |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateNetworkInterfacePermission ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs iam:CreateServiceLinkedRole iam:GetRole secretsmanager:DescribeSecret secretsmanager:GetSecretValue ssm:GetCommandInvocation ssm:GetConnectionStatus ssm:ListCommands ssm:SendCommand |
||
| CreateIdentityPoolDirectory [アクセス許可のみ] | AWS クラウドに IdentityPool ディレクトリを作成するアクセス許可を付与します | 書き込み | |||
| CreateLogSubscription | Directory Service ドメインコントローラーのセキュリティログを の指定された CloudWatch ロググループに転送するサブスクリプションを作成するアクセス許可を付与します AWS アカウント | 書き込み | |||
| CreateMicrosoftAD | AWS クラウドで Microsoft AD を作成するアクセス許可を付与します | 書き込み |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateSnapshot | AWS クラウド内の Simple AD または Microsoft AD ディレクトリのスナップショットを作成するアクセス許可を付与します | 書き込み | |||
| CreateTrust | AWS クラウド内の Microsoft AD と外部ドメイン間の信頼関係の AWS 側の作成を開始するアクセス許可を付与します | 書き込み | |||
| DeleteADAssessment | ディレクトリ評価を削除するアクセス許可を付与します | 書き込み | |||
| DeleteConditionalForwarder | AWS ディレクトリに設定された条件付きフォワーダーを削除するアクセス許可を付与します | 書き込み | |||
| DeleteDirectory | AWS Directory Service ディレクトリを削除するアクセス許可を付与します | 書き込み |
ec2:DeleteNetworkInterface ec2:DeleteSecurityGroup ec2:DescribeNetworkInterfaces ec2:RevokeSecurityGroupEgress ec2:RevokeSecurityGroupIngress |
||
| DeleteLogSubscription | 指定されたログサブスクリプションを削除する許可を付与 | 書き込み | |||
| DeleteSnapshot | ディレクトリスナップショットを削除する許可を付与 | 書き込み | |||
| DeleteTrust | AWS クラウド内の Microsoft AD と外部ドメイン間の既存の信頼関係を削除するアクセス許可を付与します | 書き込み | |||
| DeregisterCertificate | セキュリティで保護された LDAP 接続用に登録された証明書をシステムから削除する許可を付与 | 書き込み | |||
| DeregisterEventTopic | 指定された SNS トピックへの発行者として指定されたディレクトリを削除する許可を付与 | 書き込み | |||
| DescribeADAssessment | ディレクトリ評価を記述するアクセス許可を付与します | 読み取り | |||
| DescribeCAEnrollmentPolicy | 指定されたディレクトリの ca 登録ステータスを記述するアクセス許可を付与します | 読み取り | |||
| DescribeCertificate | セキュリティで保護された LDAP 接続に登録された証明書に関する情報を表示する許可を付与 | 読み取り | |||
| DescribeClientAuthenticationSettings | タイプが指定されている場合、指定したディレクトリのクライアント認証のタイプに関する情報を取得する許可を付与 タイプを指定しないと、指定したディレクトリでサポートされているすべてのクライアント認証タイプに関する情報が取得されます。現在は、SmartCard のみがサポートされています。 | 読み取り | |||
| DescribeConditionalForwarders | このアカウントの条件付きフォワーダーに関する情報を取得する許可を付与 | 読み取り | |||
| DescribeDirectories | このアカウントに属するディレクトリに関する情報を取得する許可を付与 | リスト | |||
| DescribeDirectoryDataAccess | 指定されたディレクトリの Directory Service Data API ステータスを記述する許可を付与する | 読み取り | |||
| DescribeDomainControllers | ディレクトリ内のドメインコントローラに関する情報を提供する許可を付与 | 読み取り | |||
| DescribeEventTopics | 指定されたディレクトリからステータスメッセージを受信する SNS トピックに関する情報を取得する許可を付与 | 読み取り | |||
| DescribeHybridADUpdate | 指定されたハイブリッドディレクトリの更新を記述するアクセス許可を付与します | 読み取り | |||
| DescribeLDAPSSettings | 指定されたディレクトリの LDAP セキュリティのステータスを説明する許可を付与 | 読み取り | |||
| DescribeRegions | マルチリージョンレプリケーション用に設定されているリージョンに関する情報を提供する許可を付与 | 読み取り | |||
| DescribeSettings | 指定されたディレクトリの設定可能なセッティングに関する情報を取得する許可の付与 | 読み取り | |||
| DescribeSharedDirectories | アカウント内の共有ディレクトリを返す許可を付与 | 読み取り | |||
| DescribeSnapshots | このアカウントに属するディレクトリスナップショットに関する情報を取得する許可を付与 | 読み取り | |||
| DescribeTrusts | このアカウントの信頼関係に関する情報を取得する許可を付与 | 読み取り | |||
| DescribeUpdateDirectory | 特定の更新タイプのディレクトリの更新を記述する権限を付与する | 読み取り | |||
| DisableCAEnrollmentPolicy | 指定されたディレクトリの CA 登録を無効にするアクセス許可を付与します | 書き込み | |||
| DisableClientAuthentication | 指定されたディレクトリの代替クライアント認証方法を無効化する許可を付与 | 書き込み | |||
| DisableDirectoryDataAccess | 指定されたディレクトリの Directory Service Data API を無効にする許可を付与する | 書き込み | |||
| DisableLDAPS | 指定されたディレクトリの LDAP セキュアコールを非アクティブ化する許可を付与 | 書き込み | |||
| DisableRadius | AD Connector ディレクトリに対し、Remote Authentication Dial In User Service (RADIUS) サーバーを使った多要素認証 (MFA) を無効にする許可を付与 | 書き込み | |||
| DisableRoleAccess [アクセス許可のみ] | AWS ディレクトリ内の ID の AWS Management Console アクセスを無効にするアクセス許可を付与します | 書き込み | |||
| DisableSso | Single Sign-On で使用するディレクトリの関連付けを解除する許可を付与 | 書き込み | |||
| EnableCAEnrollmentPolicy | 指定されたディレクトリの ca 登録を有効にするアクセス許可を付与します | 書き込み |
acm-pca:DescribeCertificateAuthority pca-connector-ad:GetConnector |
||
| EnableClientAuthentication | 指定されたディレクトリの代替クライアント認証方式を有効化する許可を付与 | 書き込み | |||
| EnableDirectoryDataAccess | 指定されたディレクトリの Directory Service Data API を有効にする許可を付与する | 書き込み | |||
| EnableLDAPS | 特定のディレクトリのスイッチをアクティブ化して、常に LDAP セキュアコールを使用する許可を付与 | 書き込み | |||
| EnableRadius | AD Connector ディレクトリに対し、Remote Authentication Dial In User Service (RADIUS) サーバーを使った多要素認証 (MFA) を有効にする許可を付与 | 書き込み | |||
| EnableRoleAccess [アクセス許可のみ] | AWS ディレクトリ内の ID の AWS Management Console アクセスを有効にするアクセス許可を付与します | 書き込み |
iam:PassRole |
||
| EnableSso | ディレクトリに対してシングルサインオンを有効にする許可を付与 | 書き込み | |||
| GetAuthorizedApplicationDetails [アクセス許可のみ] | ディレクトリ上で許可されたアプリケーションの詳細を取得する許可を付与 | 読み取り | |||
| GetDirectoryLimits | 現在のリージョンのディレクトリ制限情報を取得する許可を付与 | 読み取り | |||
| GetSnapshotLimits | ディレクトリの手動スナップショットの制限を取得する許可を付与 | 読み取り | |||
| ListADAssessments | ディレクトリ評価を一覧表示する許可を付与 | リスト | |||
| ListAuthorizedApplications [許可のみ] | ディレクトリに対して承認された AWS アプリケーションを取得するアクセス許可を付与します | 読み取り | |||
| ListCertificates | 指定されたディレクトリについて、セキュリティで保護された LDAP 接続用に登録されたすべての証明書を一覧表示する許可を付与 | リスト | |||
| ListIpRoutes | ディレクトリに追加されたアドレスブロックを一覧表示する許可を付与 | 読み取り | |||
| ListLogSubscriptions | のアクティブなログサブスクリプションを一覧表示するアクセス許可を付与します AWS アカウント | 読み取り | |||
| ListSchemaExtensions | Microsoft AD ディレクトリに適用されているすべてのスキーマ拡張を一覧表示する許可を付与 | リスト | |||
| ListTagsForResource | Amazon Directory Services ディレクトリのすべてのタグを一覧表示する許可を付与 | 読み取り | |||
| RegisterCertificate | セキュリティで保護された LDAP 接続の証明書を登録する許可を付与 | 書き込み | |||
| RegisterEventTopic | ディレクトリを SNS トピックに関連付ける許可を付与 | 書き込み |
sns:GetTopicAttributes |
||
| RejectSharedDirectory | ディレクトリ所有者アカウントから送信されたディレクトリ共有リクエストを拒否する許可を付与 | 書き込み | |||
| RemoveIpRoutes | ディレクトリから IP アドレスブロックを削除する許可を付与 | 書き込み | |||
| RemoveRegion | すべてのレプリケーションを停止し、指定されたリージョンからドメインコントローラーを削除する許可を付与 このオペレーションでは、プライマリリージョンを削除できません。 | 書き込み | |||
| RemoveTagsFromResource | Amazon Directory Services ディレクトリからタグを削除する許可を付与 | Tagging |
ec2:DeleteTags |
||
| ResetUserPassword | AWS Managed Microsoft AD または Simple AD ディレクトリ内のユーザーのパスワードをリセットするアクセス許可を付与します | 書き込み | |||
| RestoreFromSnapshot | 既存のディレクトリスナップショットを使用してディレクトリを復元する許可を付与 | 書き込み | |||
| ShareDirectory | (ディレクトリ AWS アカウント 所有者) 内の指定されたディレクトリを別の AWS アカウント (ディレクトリコンシューマー) と共有するためのアクセス許可を付与します。このオペレーションでは、 内の任意の Amazon VPC AWS アカウント から ディレクトリを使用できます。 AWS リージョン | 書き込み | |||
| StartADAssessment | ディレクトリ評価を開始するアクセス許可を付与します | 書き込み |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateNetworkInterfacePermission ec2:CreateSecurityGroup ec2:DeleteNetworkInterface ec2:DeleteSecurityGroup ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs ssm:GetCommandInvocation ssm:GetConnectionStatus ssm:ListCommands ssm:SendCommand |
||
| StartSchemaExtension | Microsoft AD ディレクトリにスキーマ拡張を適用する許可を付与 | 書き込み | |||
| UnauthorizeApplication [アクセス許可のみ] | AWS ディレクトリからアプリケーションを認可解除するアクセス許可を付与します | 書き込み | |||
| UnshareDirectory | ディレクトリ所有者とコンシューマーアカウントの間のディレクトリ共有を停止する許可を付与 | 書き込み | |||
| UpdateAuthorizedApplication [アクセス許可のみ] | AWS ディレクトリの承認されたアプリケーションを更新するアクセス許可を付与します | 書き込み | |||
| UpdateConditionalForwarder | AWS ディレクトリに設定された条件付きフォワーダーを更新するアクセス許可を付与します | 書き込み | |||
| UpdateDirectory [アクセス許可のみ] | 指定したディレクトリのサービスアカウント認証情報や DNS サーバー IP アドレスなどの設定を更新するアクセス許可を付与します | 書き込み | |||
| UpdateDirectorySetup | 特定の更新タイプのディレクトリを更新する権限を付与する | 書き込み | |||
| UpdateHybridAD | 指定されたハイブリッドディレクトリの設定を更新するアクセス許可を付与します | 書き込み |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateNetworkInterfacePermission ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs secretsmanager:DescribeSecret secretsmanager:GetSecretValue ssm:GetCommandInvocation ssm:GetConnectionStatus ssm:ListCommands ssm:SendCommand |
||
| UpdateNumberOfDomainControllers | ディレクトリとの間でドメインコントローラを追加または削除する許可を付与 現在の値と新しい値 (この API コールで提供される) の差に基づいて、ドメインコントローラが追加または削除されます。リクエストされた数のドメインコントローラが更新されたら、新しいドメインコントローラが完全にアクティブになるまでに最大 45 分かかる場合があります。この間、別の更新をリクエストすることはできません。 | 書き込み | |||
| UpdateRadius | AD Connector ディレクトリの Remote Authentication Dial In User Service (RADIUS) サーバー情報を更新する許可を付与 | 書き込み | |||
| UpdateSettings | 指定したディレクトリの設定可能なセッティングを更新する許可の付与 | 書き込み | |||
| UpdateTrust | AWS Managed Microsoft AD ディレクトリとオンプレミス Active Directory の間で設定された信頼を更新する許可を付与 | 書き込み | |||
| VerifyTrust | AWS クラウド内の Microsoft AD と外部ドメイン間の信頼関係を検証するアクセス許可を付与します | 読み取り |
AWS Directory Service で定義されるリソースタイプ
以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
| リソースタイプ | ARN | 条件キー |
|---|---|---|
| directory |
arn:${Partition}:ds:${Region}:${Account}:directory/${DirectoryId}
|
AWS Directory Service の条件キー
AWS Directory Service は、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを表示するには、AWS 「グローバル条件コンテキストキー」を参照してください。
| 条件キー | 説明 | [Type] (タイプ) |
|---|---|---|
| aws:RequestTag/${TagKey} | DS AWS へのリクエストの値でアクセスをフィルタリングします | 文字列 |
| aws:ResourceTag/${TagKey} | 処理対象の DS AWS リソースによってアクセスをフィルタリングします | 文字列 |
| aws:TagKeys | リクエストで渡されたタグキーでアクセスをフィルタリングします | ArrayOfString |
