Ações, recursos e chaves de condição do AWS Directory Service
O AWS Directory Service (prefixo de serviço: ds) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso em políticas de permissão do IAM.
Referências:
-
Saiba como configurar este serviço.
-
Visualize uma lista das operações de API disponíveis para este serviço.
-
Saiba como proteger esse serviço e seus recursos usando políticas de permissão do IAM.
Tópicos
Ações definidas pelo AWS Directory Service
Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.
A coluna Nível de acesso da tabela Ações descreve como a ação é classificada (lista, leitura, gravação, gerenciamento de permissões ou marcação). Esta classificação pode ajudar você a compreender o nível de acesso que uma ação concede quando a usa em uma política. Para obter mais informações sobre níveis de acesso, consulte Níveis de acesso em resumos de políticas.
A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma instrução com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o elemento Resource em uma política do IAM, deverá incluir um ARN ou padrão para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.
A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.
A coluna Ações dependentes da tabela Ações mostra permissões adicionais que podem ser necessárias para chamar uma ação com êxito. Essas permissões podem ser necessárias além da permissão para a ação em si. Quando uma ação especifica ações dependentes, essas dependências podem se aplicar a recursos adicionais definidos para essa ação, não somente ao primeiro recurso listado na tabela.
nota
As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.
Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.
| Ações | Descrição | Nível de acesso | Tipos de recursos (*necessários) | Chaves de condição | Ações dependentes |
|---|---|---|---|---|---|
| AcceptSharedDirectory | Concede permissão para aceitar uma solicitação de compartilhamento de diretório enviada da conta do proprietário do diretório | Gravar | |||
| AccessDSData [somente permissão] | Concede permissão para acessar dados do diretório usando a API de dados do Directory Service | Gerenciamento de permissões | |||
| AddIpRoutes | Concede permissão para adicionar um bloco de endereços CIDR para encaminhar corretamente o tráfego de e para o Microsoft AD no Amazon Web Services | Gravar |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:DescribeSecurityGroups |
||
| AddRegion | Concede permissão para adicionar ao diretório selecionado dois controladores de domínio na região especificada para o diretório especificado | Gravar |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| AddTagsToResource | Concede permissão para adicionar ou substituir uma ou mais etiquetas do diretório especificado do Amazon Directory Services | Tags |
ec2:CreateTags |
||
| AuthorizeApplication [somente permissão] | Concede permissão para autorizar uma aplicação para seu diretório AWS | Gravar | |||
| CancelSchemaExtension | Concede permissão para cancelar uma extensão de esquema em andamento para um diretório do Microsoft AD | Gravar | |||
| CheckAlias [somente permissão] | Concede permissão para verificar se o alias está disponível para uso | Leitura | |||
| ConnectDirectory | Concede permissão para criar um AD Connector para se conectar a um diretório on-premises | Gravar |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateAlias | Concede permissão para criar um alias para um diretório e atribuí-lo ao diretório | Gravar | |||
| CreateComputer | Concede permissão para criar uma conta de computador no diretório especificado e ingressa o computador no diretório | Gravar | |||
| CreateConditionalForwarder | Concede permissão para criar um encaminhador condicional associado ao seu diretório AWS | Gravar | |||
| CreateDirectory | Concede permissão para criar um diretório Simple AD | Gravar |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateHybridAD | Concede permissão para criar um diretório do AD gerenciado de modo híbrido | Gravar |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateNetworkInterfacePermission ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs iam:CreateServiceLinkedRole iam:GetRole secretsmanager:DescribeSecret secretsmanager:GetSecretValue ssm:GetCommandInvocation ssm:GetConnectionStatus ssm:ListCommands ssm:SendCommand |
||
| CreateIdentityPoolDirectory [somente permissão] | Concede permissão para criar um diretório IdentityPool na AWS nuvem | Gravar | |||
| CreateLogSubscription | Concede permissão para criar uma assinatura para encaminhar logs de segurança do controlador de domínio do Directory Service em tempo real ao grupo de logs especificado do CloudWatch no Conta da AWS | Gravar | |||
| CreateMicrosoftAD | Concede permissão para criar um Microsoft AD na AWS nuvem | Gravar |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateSnapshot | Concede permissão para criar um snapshot de um diretório do Simple AD ou do Microsoft AD na AWS nuvem | Gravar | |||
| CreateTrust | Concede permissão para iniciar a criação lado da AWS de uma relacionamento de confiança entre um Microsoft AD na AWS nuvem e um domínio externo | Gravar | |||
| DeleteADAssessment | Concede permissão para excluir uma atribuição de diretório | Gravar | |||
| DeleteConditionalForwarder | Concede permissão para excluir um encaminhador condicional que foi configurado para seu diretório AWS | Gravar | |||
| DeleteDirectory | Concede permissão para excluir um diretório do AWS Directory Service | Gravar |
ec2:DeleteNetworkInterface ec2:DeleteSecurityGroup ec2:DescribeNetworkInterfaces ec2:RevokeSecurityGroupEgress ec2:RevokeSecurityGroupIngress |
||
| DeleteLogSubscription | Concede permissão para excluir a assinatura de Log especificada | Gravar | |||
| DeleteSnapshot | Concede permissão para excluir um diretório snapshot | Gravar | |||
| DeleteTrust | Concede permissão de excluir um relacionamento de confiança existente entre o Microsoft AD na AWS nuvem e um domínio externo | Gravar | |||
| DeregisterCertificate | Concede permissão para excluir do sistema o certificado que foi registrado para uma conexão LDAP segura | Gravar | |||
| DeregisterEventTopic | Concede permissão para remover o diretório especificado como publicador para o tópico do SNS especificado | Gravar | |||
| DescribeADAssessment | Concede permissão para descrever uma atribuição de diretório | Leitura | |||
| DescribeCAEnrollmentPolicy | Concede permissão para descrever o status da inscrição CA de um diretório especificado | Leitura | |||
| DescribeCertificate | Concede permissão para exibir informações sobre o certificado registrado para uma conexão LDAP segura | Leitura | |||
| DescribeClientAuthenticationSettings | Concede permissão para recuperar informações sobre o tipo de autenticação de cliente para o diretório especificado, se o tipo for especificado. Se nenhum tipo for especificado, as informações sobre todos os tipos de autenticação do cliente compatíveis com o diretório especificado serão recuperadas. No momento, só há compatibilidade com o SmartCard | Leitura | |||
| DescribeConditionalForwarders | Concede permissão para obter informações sobre os encaminhadores condicionais dessa conta | Leitura | |||
| DescribeDirectories | Concede permissão para obter informações sobre os diretórios que pertencem a essa conta | Lista | |||
| DescribeDirectoryDataAccess | Concede permissão para descrever o status da API de dados do Directory Service para o diretório especificado | Leitura | |||
| DescribeDomainControllers | Concede permissão para fornecer informações sobre todos os controladores de domínio em seu diretório | Leitura | |||
| DescribeEventTopics | Concede permissão para obter informações sobre quais tópicos do SNS recebem mensagens de status do diretório especificado | Leitura | |||
| DescribeHybridADUpdate | Concede permissão para descrever as atualizações de um diretório híbrido especificado | Leitura | |||
| DescribeLDAPSSettings | Concede permissão para descrever o status da segurança LDAP do diretório especificado | Leitura | |||
| DescribeRegions | Concede permissão para fornecer informações sobre as regiões configuradas para replicação multirregional | Leitura | |||
| DescribeSettings | Concede permissão para recuperar informações sobre as configurações ajustáveis para o diretório especificado | Leitura | |||
| DescribeSharedDirectories | Concede permissão para devolver os diretórios compartilhados em sua conta | Leitura | |||
| DescribeSnapshots | Concede permissão para obter informações sobre os snapshots de diretório que pertencem a essa conta | Leitura | |||
| DescribeTrusts | Concede permissão para obter informações sobre as relações de confiança dessa conta | Leitura | |||
| DescribeUpdateDirectory | Concede permissão para descrever as atualizações de um diretório para um determinado tipo de atualização | Leitura | |||
| DisableCAEnrollmentPolicy | Concede permissão para desabilitar a inscrição CA de um diretório especificado | Gravar | |||
| DisableClientAuthentication | Concede permissão para desabilitar métodos alternativos de autenticação de clientes do diretório especificado | Gravar | |||
| DisableDirectoryDataAccess | Concede permissão para desabilitar a API de dados do Directory Service para o diretório especificado | Gravar | |||
| DisableLDAPS | Concede permissão para desativar chamadas seguras LDAP para o diretório especificado | Gravar | |||
| DisableRadius | Concede permissão para desabilitar a autenticação multifator (MFA) com o servidor Remote Authentication Dial In User Service (RADIUS) para um diretório do AD Connector | Gravar | |||
| DisableRoleAccess [somente permissão] | Concede permissão para desativar o acesso do Console de gerenciamento da AWS à identidade no seu AWS Directory | Gravar | |||
| DisableSso | Concede permissão para desabilitar o Single Sign-On para um diretório | Gravar | |||
| EnableCAEnrollmentPolicy | Concede permissão para habilitar a inscrição CA de um diretório especificado | Gravar |
acm-pca:DescribeCertificateAuthority pca-connector-ad:GetConnector |
||
| EnableClientAuthentication | Concede permissão para habilitar métodos alternativos de autenticação de clientes do diretório especificado | Gravar | |||
| EnableDirectoryDataAccess | Concede permissão para habilitar a API de dados do Directory Service para o diretório especificado | Gravar | |||
| EnableLDAPS | Concede permissão para ativar o switch para o diretório específico para sempre usar chamadas seguras LDAP | Gravar | |||
| EnableRadius | Concede permissão para habilitar a autenticação multifator (MFA) com o servidor Remote Authentication Dial In User Service (RADIUS) para um diretório do AD Connector | Gravar | |||
| EnableRoleAccess [somente permissão] | Concede permissão para habilitar o acesso do Console de gerenciamento da AWS à identidade no seu AWS Directory | Gravar |
iam:PassRole |
||
| EnableSso | Concede permissão para habilitar o single sign-on para um diretório | Gravar | |||
| GetAuthorizedApplicationDetails [somente permissão] | Concede permissão para recuperar as informações das aplicações autorizadas em um diretório | Leitura | |||
| GetDirectoryLimits | Concede permissão para obter informações sobre limites de diretório para a região atual | Leitura | |||
| GetSnapshotLimits | Concede permissão para obter os limites do snapshot manual de um diretório | Leitura | |||
| ListADAssessments | Concede permissão para listar atribuições de diretório | Lista | |||
| ListAuthorizedApplications [somente permissão] | Concede permissão para obter as aplicações da AWS autorizadas para um diretório | Leitura | |||
| ListCertificates | Concede permissão para listar todos os certificados registrados para uma conexão LDAP segura para o diretório especificado | Lista | |||
| ListIpRoutes | Concede permissão para listar os blocos de endereços que você adicionou a um diretório | Leitura | |||
| ListLogSubscriptions | Concede permissão para listar as assinaturas de log ativas para a Conta da AWS | Leitura | |||
| ListSchemaExtensions | Concede permissão para listar todas as extensões de esquema aplicadas a um diretório do Microsoft AD | Lista | |||
| ListTagsForResource | Concede permissão para listar todas as etiquetas em um diretório do Amazon Directory Services | Leitura | |||
| RegisterCertificate | Concede permissão para registrar um certificado para conexão LDAP segura | Gravar | |||
| RegisterEventTopic | Concede permissão para associar um diretório a um tópico do SNS | Gravar |
sns:GetTopicAttributes |
||
| RejectSharedDirectory | Concede permissão para rejeitar uma solicitação de compartilhamento de diretório enviada da conta do proprietário do diretório | Gravar | |||
| RemoveIpRoutes | Concede permissão para remover blocos de endereço IP de um diretório | Gravar | |||
| RemoveRegion | Concede permissão para interromper toda a replicação e remover os controladores de domínio da região especificada. Não é possível remover a região principal com essa operação | Gravar | |||
| RemoveTagsFromResource | Concede permissão para remover as etiquetas de um diretório do Amazon Directory Services | Tags |
ec2:DeleteTags |
||
| ResetUserPassword | Concede permissão para redefinir a senha de qualquer usuário em seu diretório Microsoft AD ou Simple AD gerenciado pela AWS | Gravar | |||
| RestoreFromSnapshot | Concede permissão para restaurar um diretório usando um snapshot existente do diretório | Gravar | |||
| ShareDirectory | Concede permissão para compartilhar um diretório especificado na sua Conta da AWS (proprietário do diretório) com outra Conta da AWS (consumidor do diretório). Com essa operação, você pode usar o seu diretório em qualquer Conta da AWS e em qualquer Amazon VPC dentro de uma Região da AWS | Gravar | |||
| StartADAssessment | Concede permissão para iniciar uma atribuição de diretório | Gravar |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateNetworkInterfacePermission ec2:CreateSecurityGroup ec2:DeleteNetworkInterface ec2:DeleteSecurityGroup ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs ssm:GetCommandInvocation ssm:GetConnectionStatus ssm:ListCommands ssm:SendCommand |
||
| StartSchemaExtension | Concede permissão para aplicar uma extensão de esquema a um diretório do Microsoft AD | Gravar | |||
| UnauthorizeApplication [somente permissão] | Concede permissão para desautorizar uma aplicação do seu diretório AWS | Gravar | |||
| UnshareDirectory | Concede a permissão de interromper o compartilhamento de diretório entre as contas proprietárias e consumidoras do diretório | Gravar | |||
| UpdateAuthorizedApplication [somente permissão] | Concede permissão para atualizar um aplicativo autorizado para seu diretório AWS | Gravar | |||
| UpdateConditionalForwarder | Concede permissão para atualizar um encaminhador condicional que foi configurado para o seu diretório AWS | Gravar | |||
| UpdateDirectory [somente permissão] | Concede permissão para atualizar as configurações, como credenciais da conta de serviço ou endereços IP do servidor DNS para o diretório especificado | Gravar | |||
| UpdateDirectorySetup | Concede permissão para atualizar o diretório para um tipo de atualização específico | Gravar | |||
| UpdateHybridAD | Concede permissão para atualizar configurações para um diretório híbrido especificado | Gravar |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateNetworkInterfacePermission ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs secretsmanager:DescribeSecret secretsmanager:GetSecretValue ssm:GetCommandInvocation ssm:GetConnectionStatus ssm:ListCommands ssm:SendCommand |
||
| UpdateNumberOfDomainControllers | Concede a permissão de adicionar ou remover os controladores de domínio de ou para o diretório. Com base na diferença entre o valor atual e o novo valor (fornecidos por essa chamada de API), os controladores de domínio serão adicionados ou removidos. Pode levar até 45 minutos para que qualquer novo controlador de domínio se torne totalmente ativo depois que o número solicitado de controladores de domínio for atualizado. Durante esse período, não é possível fazer outra solicitação de atualização | Gravar | |||
| UpdateRadius | Concede permissão para atualizar as informações do servidor Remote Authentication Dial In User Service (RADIUS) para um diretório do AD Connector | Gravar | |||
| UpdateSettings | Concede permissão para atualizar as configurações ajustáveis para o diretório especificado | Gravar | |||
| UpdateTrust | Concede permissão para atualizar a confiança que foi configurada entre o seu diretório Microsoft AD gerenciado pela AWS e um Diretório Ativo on-premises | Gravar | |||
| VerifyTrust | Concede permissão para verificar um relacionamento de confiança existente entre o Microsoft AD na nuvem AWS e um domínio externo | Leitura |
Tipos de recursos definidos pelo AWS Directory Service
Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.
| Tipos de recursos | ARN | Chaves de condição |
|---|---|---|
| directory |
arn:${Partition}:ds:${Region}:${Account}:directory/${DirectoryId}
|
Chaves de condição do AWS Directory Service
O AWS Directory Service define as seguintes chaves de condição que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.
Para exibir as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de contexto de condição globais da AWS.
| Chaves de condição | Descrição | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra o acesso pelo valor da solicitação para o DS AWS | Segmento |
| aws:ResourceTag/${TagKey} | Filtra o acesso pela ação sobre o recurso DS da AWS | String |
| aws:TagKeys | Filtra o acesso pelas chaves da etiqueta que são transmitidas na solicitação | ArrayOfString |
