AWSpolíticas gerenciadas para AWS Directory Service - AWS Directory Service
AWSDirectoryServiceFullAccessAWSDirectoryServiceReadOnlyAccessAWSDirectoryServiceDataFullAccessAWSDirectoryServiceDataReadOnlyAccessAWSDirectoryServiceServiceRolePolicy Atualizações da política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSpolíticas gerenciadas para AWS Directory Service

Uma política AWS gerenciada é uma política autônoma criada e administrada porAWS. AWSas políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as políticas gerenciadas pelo cliente que são específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWSé mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.

Para saber mais, consulte AWSPolíticas gerenciadas pela no Guia do usuário do IAM.

As seções a seguir descrevem as políticas AWS gerenciadas que são específicas doDirectory Service. Você pode anexar essas políticas aos usuários em sua conta.

Para saber mais, consulte AWSPolíticas gerenciadas pela no Guia do usuário do IAM.

AWSpolítica gerenciada: AWSDirectoryServiceFullAccess

É possível anexar a política AWSDirectoryServiceFullAccess às suas identidades do IAM. Para ver as permissões completas dessa política, consulte AWSDirectoryServiceFullAccessna Referência de política AWS gerenciada.

Essa política concede permissões administrativas que permitem ao principal acesso total a todas as Directory Service ações. As entidades principais com essas permissões podem criar, configurar e gerenciar diretórios, incluindo Simple AD, AD Connector e Managed Microsoft AD. Elas também podem gerenciar o compartilhamento de diretórios, as relações de confiança e as configurações de monitoramento. Essa política inclui permissões para gerenciar a infraestrutura de rede subjacente exigida para serviços de diretório.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • ds: permite às entidades principais acessar todas as ações do Directory Service.

  • ec2 — Permite que as entidades principais gerenciem interfaces de rede, grupos de segurança e descrevam os recursos de VPC exigidos para operações de diretório.

  • sns— Permite que os diretores criem e gerenciem tópicos do SNS para monitoramento de diretórios, especificamente tópicos com nomes que começam com "”DirectoryMonitoring.

  • iam — Permite que as entidades principais listem perfis do IAM para as operações de serviço de diretório.

  • organizations— permite que os diretores gerenciem a integração de AWS Organizations e o acesso aos enable/disable serviços de diretório.

AWSpolítica gerenciada: AWSDirectoryServiceReadOnlyAccess

É possível anexar a política AWSDirectoryServiceReadOnlyAccess às suas identidades do IAM. Para ver as permissões completas dessa política, consulte AWSDirectoryServiceReadOnlyAccessna Referência de política AWS gerenciada.

Essa política concede permissões de acesso somente leitura que permitem que os usuários visualizem informações no Directory Service. Entidades principais com essa política anexada podem fazer qualquer atualização aos diretórios ou respectivas configurações. Por exemplo, entidades com essas permissões podem visualizar detalhes do diretório, relações de confiança e configurações de monitoramento, mas não podem criar novos diretórios nem modificar os existentes. Eles também podem visualizar recursos de EC2 rede relacionados e tópicos de SNS associados aos diretórios.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • ds — Permite que os usuários realizem ações somente para leitura que retornam informações do diretório. Isso inclui operações de API que começam com Check, Describe, Get, List ou Verify.

  • ec2— permite que os usuários descrevam interfaces de rede, sub-redes e serviços VPCs associados a diretórios.

  • sns — Permite que os usuários listem e obtenham informações sobre tópicos e assinaturas do SNS usados para monitoramento de diretório.

  • organizations — Permite que os usuários descrevam contas e configurações de acesso ao serviço do AWS Organizations relacionadas aos serviços de diretório.

AWSpolítica gerenciada: AWSDirectoryServiceDataFullAccess

É possível anexar a política AWSDirectoryServiceDataFullAccess às suas identidades do IAM. Para ver as permissões completas dessa política, consulte AWSDirectoryServiceDataFullAccessna Referência de política AWS gerenciada.

Essa política concede permissões administrativas que permitem a uma entidade principal o acesso total às operações do Directory Service Data. Entidades principais com essas permissões podem criar, atualizar e excluir usuários e grupos do Active Directory nos diretórios gerenciados. Elas podem gerenciar associações de grupos, habilitar ou desabilitar usuários e realizar operações abrangentes de gerenciamento de usuários e grupos. Essa política foi criada para administradores que precisam gerenciar objetos do Active Directory de modo programático.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • ds — Permite que as entidades principais acessem dados do diretório por meio da API do Directory Service Data.

  • ds-data — Permite que as entidades principais tenham acesso total a todas as operações do Directory Service Data, incluindo criar, atualizar e excluir usuários e grupos, gerenciar associações de grupos e pesquisar objetos de diretório.

Política gerenciada da AWS: AWSDirectoryServiceDataReadOnlyAccess

É possível anexar a política AWSDirectoryServiceDataReadOnlyAccess às identidades do IAM. Para ver as permissões completas dessa política, consulte AWSDirectoryServiceDataReadOnlyAccessna Referência de política AWS gerenciada.

Essa política concede permissões somente leitura, permitindo que os usuários visualizem e pesquisem objetos do Active Directory em diretórios gerenciados. As entidades principais com essa política anexada não podem fazer atualizações em usuários, grupos ou associações de grupos. Por exemplo, entidades principais com essas permissões podem pesquisar usuários e grupos, visualizar detalhes de usuários e grupos e listar associações de grupos, mas não podem criar, modificar ou excluir qualquer objeto de diretório.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • ds — Permite que as entidades principais acessem dados do diretório por meio da API do Directory Service Data.

  • ds-data — Permite que os usuários realizem ações somente para leitura que retornam informações de objeto do diretório. Isso inclui operações de API que começam com Describe, List ou Search.

AWSDirectoryServiceServiceRolePolicy

Você não pode anexar a política AWSDirectoryServiceServiceRolePolicy às identidades do IAM. Essa política é anexada a um perfil vinculado a um serviço que permite que AWS Directory Service execute ações em seu nome. Para visualizar as permissões para esta política, consulte AWSDirectoryServiceServiceRolePolicy na Referência de políticas gerenciadas pela AWS.

Essa política concede permissões que permitem Directory Service monitorar e avaliar controladores de domínio autogerenciados em ambientes híbridos do Active Directory. O serviço usa essas permissões para executar avaliações de integridade automatizadas, executar PowerShell scripts para testes de compatibilidade e coletar informações de configuração de rede para garantir a conectividade híbrida adequada e os recursos de recuperação automatizados.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • ssm— Permite que o serviço envie PowerShell comandos aos controladores de domínio locais e recupere os resultados da execução do comando para fins de monitoramento e avaliação.

  • ec2— Permite que o serviço descreva recursos de rede VPCs, como sub-redes, grupos de segurança e interfaces de rede, para validar configurações de conectividade híbrida.

IAM e Directory Service atualizações nas políticas AWS gerenciadas

Veja detalhes sobre as atualizações do IAM e das políticas AWS gerenciadas desde que o serviço começou a monitorar essas mudanças. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS nas páginas do IAM e do histórico do Directory Service documento.

Alteração Descrição Data

AWSDirectoryServiceServiceRolePolicy – Nova política

Directory Serviceadicionou uma nova política AWS para permitir monitorar os controladores de domínio autogerenciados de um cliente.

 30 de julho de 2025

Política gerenciada da AWS: AWSDirectoryServiceDataReadOnlyAccess – Nova política

Directory Serviceadicionou uma nova política para permitir que um usuário ou grupo acesse e pesquise usuários, membros e grupos do AD.

 17 de setembro de 2024

AWSpolítica gerenciada: AWSDirectoryServiceDataFullAccess – Nova política

Directory Serviceadicionou uma nova política para permitir que um usuário ou grupo acesse o gerenciamento de objetos incorporado com o Directory Service Data para criar, gerenciar e visualizar usuários, membros e grupos do AD.

 17 de setembro de 2024

Directory Servicecomeçou a rastrear as alterações

Directory Servicecomeçou a rastrear as mudanças em suas políticas AWS gerenciadas.

 17 de setembro de 2024