AWS의 관리형 정책AWS Directory Service - AWS Directory Service
AWSDirectoryServiceFullAccessAWSDirectoryServiceReadOnlyAccessAWSDirectoryServiceDataFullAccessAWSDirectoryServiceDataReadOnlyAccessAWSDirectoryServiceServiceRolePolicy 정책 업데이트

AWS의 관리형 정책AWS Directory Service

AWS 관리형 정책은 AWS에 의해 생성되고 관리되는 독립 실행형 정책입니다. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었습니다.

AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있기 때문에 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.

AWS 관리형 정책에서 정의한 권한은 변경할 수 없습니다. 만약 AWS가 AWS 관리형 정책에 정의된 권한을 업데이트할 경우 정책이 연결되어 있는 모든 위탁자 ID(사용자, 그룹 및 역할)에도 업데이트가 적용됩니다. 새 AWS 서비스를 시작하거나 새 API 작업을 기존 서비스에 이용하는 경우, AWS가 AWS 관리형 정책을 업데이트할 가능성이 높습니다.

자세한 내용은 IAM 사용 설명서AWS 관리형 정책을 참조하세요.

다음 섹션에서는 Directory Service에 고유한 AWS 관리형 정책을 설명합니다. 이러한 정책을 계정의 사용자에게 연결할 수 있습니다.

자세한 내용은 IAM 사용 설명서AWS 관리형 정책을 참조하세요.

AWS 관리형 정책:AWSDirectoryServiceFullAccess .

AWSDirectoryServiceFullAccess 정책을 IAM ID에 연결할 수 있습니다. 이 정책의 모든 권한을 보려면 AWS 관리형 정책 참조AWSDirectoryServiceFullAccess를 참조하세요.

이 정책은 위탁자에게 모든 Directory Service 작업에 대한 전체 액세스 권한을 허용하는 관리 권한을 부여합니다. 이러한 권한이 있는 보안 주체는 Simple AD, AD Connector 및 Managed Microsoft AD를 포함한 디렉터리를 생성, 구성, 관리할 수 있습니다. 또한 디렉터리 공유, 신뢰 관계, 모니터링 구성을 관리할 수 있습니다. 이 정책에는 Directory Service에 필요한 기본 네트워크 인프라를 관리할 수 있는 권한이 포함되어 있습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • ds – 위탁자에게 모든 Directory Service 작업에 대한 전체 액세스 권한을 허용합니다.

  • ec2 - 보안 주체가 네트워크 인터페이스, 보안 그룹을 관리하고 디렉터리 작업에 필요한 VPC 리소스를 설명하도록 허용합니다.

  • sns - 보안 주체가 디렉터리 모니터링을 위한 SNS 주제, 특히 이름이 ‘DirectoryMonitoring’으로 시작하는 주제를 생성하고 관리하도록 허용합니다.

  • iam - 보안 주체가 Directory Service 작업에 대한 IAM 역할을 나열하도록 허용합니다.

  • organizations - 보안 주체가 AWS 조직 통합을 관리하고 Directory Service에 대한 서비스 액세스를 활성화/비활성화하도록 허용합니다.

AWS 관리형 정책:AWSDirectoryServiceReadOnlyAccess .

AWSDirectoryServiceReadOnlyAccess 정책을 IAM ID에 연결할 수 있습니다. 이 정책의 모든 권한을 보려면 AWS 관리형 정책 참조AWSDirectoryServiceReadOnlyAccess를 참조하세요.

이 정책은 Directory Service의 정보를 볼 수 있는 읽기 전용 권한을 사용자에게 부여합니다. 이 정책에 연결된 보안 주체는 어떠한 디렉터리 또는 해당 구성도 업데이트할 수 없습니다. 예를 들어, 이러한 권한이 있는 보안 주체는 디렉터리 세부 정보, 신뢰 관계, 모니터링 구성을 볼 수 있지만 새 디렉터리를 생성하거나 기존 디렉터리를 수정할 수는 없습니다. 또한 디렉터리와 연결된 관련 EC2 네트워크 리소스 및 SNS 주제를 볼 수 있습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • ds - 사용자가 디렉터리 정보를 반환하는 읽기 전용 작업을 수행하도록 허용합니다. 이는 Check, Describe, Get, List, Verify으로 시작하는 API 작업을 포함합니다.

  • ec2 - 사용자가 Directory Service와 연결된 네트워크 인터페이스, 서브넷, VPC를 설명하도록 허용합니다.

  • sns - 사용자가 디렉터리 모니터링에 사용되는 SNS 주제 및 구독에 대한 정보를 나열하고 가져오도록 허용합니다.

  • organizations - 사용자가 Directory Service와 관련된 AWS Organizations 계정 및 서비스 액세스 구성을 설명하도록 허용합니다.

AWS 관리형 정책:AWSDirectoryServiceDataFullAccess .

AWSDirectoryServiceDataFullAccess 정책을 IAM ID에 연결할 수 있습니다. 이 정책의 모든 권한을 보려면 AWS 관리형 정책 참조AWSDirectoryServiceDataFullAccess를 참조하세요.

이 정책은 보안 주체에게 관리 권한을 부여하여 모든 디렉터리 서비스 데이터 작업에 대한 전체 액세스 권한을 허용합니다. 이러한 권한을 가진 보안 주체는 관리형 디렉터리 내에서 Active Directory 사용자 및 그룹을 생성, 업데이트, 삭제할 수 있습니다. 그룹 멤버십을 관리하고, 사용자를 활성화 또는 비활성화하고, 포괄적인 사용자 및 그룹 관리 작업을 수행할 수 있습니다. 이 정책은 Active Directory 객체를 프로그래밍 방식으로 관리해야 하는 관리자를 위해 설계되었습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • ds - 보안 주체가 디렉터리 서비스 데이터 API를 통해 디렉터리 데이터에 액세스하도록 허용합니다.

  • ds-data - 보안 주체가 사용자 및 그룹 생성, 업데이트, 삭제, 그룹 멤버십 관리, 디렉터리 객체 검색을 포함한 모든 디렉터리 서비스 데이터 작업에 액세스하도록 모든 권한을 허용합니다.

AWS 관리형 정책:AWSDirectoryServiceDataReadOnlyAccess .

AWSDirectoryServiceDataReadOnlyAccess 정책을 IAM ID에 연결할 수 있습니다. 이 정책의 권한을 보려면 AWS 관리형 정책 참조AWSDirectoryServiceDataReadOnlyAccess를 참조하세요.

이 정책은 사용자가 관리형 디렉터리 내에서 Active Directory 객체를 보고 검색할 수 있는 읽기 전용 권한을 부여합니다. 이 정책이 연결된 보안 주체는 어떠한 사용자, 그룹, 그룹 멤버십도 업데이트할 수 없습니다. 예를 들어 이러한 권한이 있는 보안 주체는 사용자 및 그룹을 검색하고, 사용자 및 그룹 세부 정보를 보고, 그룹 멤버십을 나열할 수 있지만 디렉터리 객체를 생성, 수정, 삭제할 수는 없습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • ds - 보안 주체가 디렉터리 서비스 데이터 API를 통해 디렉터리 데이터에 액세스하도록 허용합니다.

  • ds-data - 사용자가 디렉터리 객체 정보를 반환하는 읽기 전용 작업을 수행하도록 허용합니다. 여기에는 Describe, List 또는 Search(으)로 시작하는 API 작업이 포함됩니다.

AWSDirectoryServiceServiceRolePolicy

AWSDirectoryServiceServiceRolePolicy 정책은 IAM ID에 연결할 수 없습니다. 이 정책은 AWS Directory Service에서 사용자를 대신하여 작업을 수행하도록 서비스 연결 역할에 연결됩니다. 이 정책의 권한을 보려면 AWS 관리형 정책 참조AWSDirectoryServiceServiceRolePolicy를 참조하세요.

이 정책은 Directory Service가 하이브리드 Active Directory 환경에서 자체 관리형 도메인 컨트롤러를 모니터링하고 평가할 수 있는 권한을 부여합니다. 이 서비스는 이러한 권한을 사용하여 자동 상태 평가를 실행하고, 호환성 테스트를 위해 PowerShell 스크립트를 실행하고, 적절한 하이브리드 연결 및 자동 복구 기능을 보장하기 위해 네트워크 구성 정보를 수집합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • ssm - 서비스가 모니터링 및 평가 목적으로 온프레미스 도메인 컨트롤러에 PowerShell 명령을 보내고 명령 실행 결과를 검색하도록 허용합니다.

  • ec2 - 서비스가 VPC, 서브넷, 보안 그룹, 네트워크 인터페이스와 같은 네트워크 리소스를 설명하여 하이브리드 연결 구성을 검증하도록 허용합니다.

AWS 관리형 정책으로 IAM과 Directory Service 업데이트

서비스가 이러한 변경 내용을 추적하기 시작한 이후부터 IAM 및 AWS 관리형 정책 업데이트에 대한 세부 정보를 확인합니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 IAM 및 Directory Service 문서 기록 페이지에서 RSS 피드를 구독하세요.

변경 사항 설명 날짜

AWSDirectoryServiceServiceRolePolicy - 새 정책

Directory Service는 AWS가 고객의 자체 관리형 도메인 컨트롤러를 모니터링하도록 허용하는 새 정책을 추가했습니다.

 2025년 7월 30일

AWS 관리형 정책:AWSDirectoryServiceDataReadOnlyAccess . - 새 정책

사용자 또는 그룹 액세스가 AD 사용자, 멤버 및 그룹을 보고 검색할 수 있도록 Directory Service에 새 정책이 추가되었습니다.

 2024년 9월 17일

AWS 관리형 정책:AWSDirectoryServiceDataFullAccess . - 새 정책

Directory Service는 사용자 또는 그룹이 Directory Service Data를 사용하여 기본 제공 객체 관리에 액세스하여 AD 사용자, 멤버 및 그룹을 생성, 관리 및 볼 수 있도록 허용하는 새 정책을 추가했습니다.

 2024년 9월 17일

Directory Service에서 변경 사항 추적 시작

Directory Service에서 AWS 관리형 정책에 대한 변경 내용 추적을 시작했습니다.

 2024년 9월 17일