本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用对 AWS 应用程序和服务的授权 Directory Service
<a name="ad_manage_apps_services_authorization"></a>

 本主题介绍使用和 Di AWS rectory Service Data 对 AWS 应用程序 AWS Directory Service 和服务的授权 

## 在 Active Di AWS rectory 上授权应用程序
<a name="ad_manage_apps_services_authorization_ADS"></a>

 Directory Service 授予所选应用程序的特定权限，以便在您授权应用程序时与您的 Active Directory 无缝集成。 AWS AWS 仅向应用程序授予其特定用例所需的访问权限。以下为授权后授予应用程序和应用程序管理员的内部权限集：

**注意**  
 授权活动目录的新 AWS 应用程序需要该`ds:AuthorizationApplication`权限。只能向配置与 Directory Service 集成的管理员提供此操作的权限。
+ 在托管的微软 AD、Simple AD、AD Connector 目录中的所有组织单位 (OU) 以及 AWS 托管微软 AD 的可信域中，读取对 Active Directory 用户、群组、组织单位、计算机或证书颁发机构数据的访问权限（如果信任关系允许）。 AWS 
+ 写入对 AWS 托管 Microsoft AD 组织单位中的用户、群组、群组成员资格、计算机或证书颁发机构数据的访问权限。对 Simple AD 的所有 OU 的写入权限。
+ 对所有目录类型的 Active Directory 用户的身份验证和会话管理权限。

某些 AWS 托管的 Microsoft AD 应用程序（例如 Amazon RDS 和 Amazon）通过直接网络连接 FSx 集成到您的活动目录。在这种情况下，目录交互使用本机 Active Directory 协议，例如 LDAP 和 Kerberos。这些 AWS 应用程序的权限由应用程序授权期间在 AWS 预留组织单位 (OU) 中创建的目录用户帐户控制，其中包括对为应用程序创建的自定义 OU 的 DNS 管理和完全访问权限。要使用此账户，应用程序需要通过调用者凭证或 IAM 角色执行 `ds:GetAuthorizedApplicationDetails` 操作的权限。

有关 Directory Service API 权限的更多信息，请参阅[Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。

 有关为 AWS 托管 Microsoft AD 启用 AWS 应用程序和服务的更多信息，请参阅[从你的 AWS 托管 Microsoft AD 访问 AWS 应用程序和服务](ms_ad_manage_apps_services.md)。有关为 Simple AD 启用 AWS 应用程序和服务的更多信息，请参阅[通过 Simple AD 访问 AWS 应用程序和服务](simple_ad_manage_apps_services.md)。有关为 AD Connector 启用 AWS 应用程序和服务的信息，请参阅[从 AD Connector 访问 AWS 应用程序和服务](ad_connector_manage_apps_services.md)。

**取消对 Active Direct AWS ory 上应用程序的授权**  
 删除 AWS 应用程序访问 Active Directory 的权限需要该权限。`ds:UnauthorizedApplication`按照应用程序提供的步骤将其禁用。

## AWS 使用目录服务数据进行应用程序授权
<a name="ad_manage_apps_services_authorization_ADSD"></a>

 对于 AWS 托管的 Microsoft AD 目录，目录服务数据 (ds-data) API 提供对用户和群组管理任务的编程访问权限。 AWS 应用程序的授权模型与目录服务数据的访问控制是分开的，这意味着目录服务数据操作的访问策略不会影响 AWS 应用程序的授权。拒绝访问 ds-data 中的目录不会中断 AWS 应用程序集成或应用程序的用例。 AWS 

 在为授权 AWS 应用程序的 Microsoft AD AWS 托管目录编写访问策略时，请注意，通过调用经授权的 AWS 应用程序或目录服务数据 API，用户和群组功能可能就可用。亚马逊 WorkDocs、亚马逊 WorkMail、亚马逊 WorkSpaces、Amazon Quick 和 Amazon Chime 都在其中提供了用户和群组管理操作。 APIs使用 IAM 策略控制对此 AWS 应用程序功能的访问权限。

**示例**  
 以下片段显示了在目录上授权 AWS 应用程序（例如和 Amazon WorkMail）时拒绝`DeleteUser`功能的错误 WorkDocs 和正确方法。

 **错误** 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ds-data:DeleteUser"
            ],
            "Resource": "*"
        }
    ]
}
```

------

 **正确** 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ds-data:DeleteUser",
                "workmail:DeleteUser",
                "workdocs:DeleteUser"
            ],
            "Resource": "*"
        }
    ]
}
```

------