本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 的托管策略 AWS Directory Service
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管策略。
以下各节描述了特定于的 AWS 托管策略 AWS Directory Service。您可以将这些策略附加到您账户中的用户。
有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管策略。
AWS 托管策略:AWSDirectoryServiceFullAccess
您可以将 AWSDirectoryServiceFullAccess 策略附加到 IAM 身份。要查看此策略的全部权限,请参阅AWSDirectoryServiceFullAccess《AWS 托管策略参考》。
此策略授予管理权限,允许委托人完全访问所有 AWS Directory Service 操作。拥有这些权限的委托人可以创建、配置和管理目录,包括 Simple AD、AD Connector 和托管的 Microsoft AD。他们还可以管理目录共享、信任关系和监控配置。此策略包括管理目录服务所需的底层网络基础设施的权限。
权限详细信息
该策略包含以下权限:
-
ds– 允许主体完全访问所有 AWS Directory Service 操作。 -
ec2— 允许委托人管理网络接口、安全组和描述目录操作所需的 VPC 资源。 -
sns— 允许委托人创建和管理用于目录监控的 SNS 主题,特别是名称以 “” DirectoryMonitoring 开头的主题。 -
iam— 允许委托人列出用于目录服务操作的 IAM 角色。 -
organizations— 允许委托人管理 Organi AWS zations 集成和目录服务的 enable/disable 服务访问权限。
AWS 托管策略:AWSDirectoryServiceReadOnlyAccess
您可以将 AWSDirectoryServiceReadOnlyAccess 策略附加到 IAM 身份。要查看此策略的全部权限,请参阅AWSDirectoryServiceReadOnlyAccess《AWS 托管策略参考》。
此策略授予只读权限,允许用户查看中的信息 AWS Directory Service。附加了此策略的委托人无法对目录或其配置进行任何更新。例如,拥有这些权限的委托人可以查看目录详细信息、信任关系和监控配置,但不能创建新目录或修改现有目录。他们还可以查看相关的 EC2 网络资源和与目录关联的 SNS 主题。
权限详细信息
该策略包含以下权限:
-
ds— 允许用户执行返回目录信息的只读操作。这包括以Check、、DescribeGetList、或开头的 API 操作Verify。 -
ec2— 允许用户描述网络接口、子网以及 VPCs 与目录服务相关联。 -
sns— 允许用户列出和获取有关用于目录监控的 SNS 主题和订阅的信息。 -
organizations— 允许用户描述与目录服务相关的 AWS Organizations 帐户和服务访问配置。
AWS 托管策略:AWSDirectoryServiceDataFullAccess
您可以将 AWSDirectoryServiceDataFullAccess 策略附加到 IAM 身份。要查看此策略的全部权限,请参阅AWSDirectoryServiceDataFullAccess《AWS 托管策略参考》。
此策略授予管理权限,允许委托人完全访问 Directory Service Data 操作。拥有这些权限的委托人可以在托管目录中创建、更新和删除 Active Directory 用户和群组。他们可以管理群组成员资格、启用或禁用用户,以及执行全面的用户和群组管理操作。此策略专为需要以编程方式管理 Active Directory 对象的管理员而设计。
权限详细信息
该策略包含以下权限:
-
ds— 允许委托人通过 Directory Service Data API 访问目录数据。 -
ds-data— 允许委托人完全访问所有 Directory Service Data 操作,包括创建、更新和删除用户和群组、管理群组成员资格以及搜索目录对象。
AWS 托管策略:AWSDirectoryServiceDataReadOnlyAccess
您可以将 AWSDirectoryServiceDataReadOnlyAccess 策略附加到 IAM 身份。要查看此策略的全部权限,请参阅AWSDirectoryServiceDataReadOnlyAccess《AWS 托管策略参考》。
此策略授予只读权限,允许用户查看和搜索托管目录中的 Active Directory 对象。附加了此政策的委托人无法对用户、群组或群组成员资格进行任何更新。例如,拥有这些权限的委托人可以搜索用户和群组、查看用户和群组的详细信息以及列出群组成员资格,但不能创建、修改或删除任何目录对象。
权限详细信息
该策略包含以下权限:
-
ds— 允许委托人通过 Directory Service Data API 访问目录数据。 -
ds-data— 允许用户执行返回目录对象信息的只读操作。这包括以Describe、List或Search开头的 API 操作。
AWSDirectoryServiceServiceRolePolicy
您不能将该AWSDirectoryServiceServiceRolePolicy策略附加到您的 IAM 身份。此策略附加到服务相关角色,该角色允许 AWS
Directory Service 代表您执行操作。要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 AWSDirectoryServiceServiceRolePolicy。
此策略授予的权限允许 AWS Directory Service 在混合 Active Directory 环境中监控和评估自我管理的域控制器。该服务使用这些权限来运行自动运行状况评估、执行兼容性测试 PowerShell脚本以及收集网络配置信息,以确保适当的混合连接和自动恢复功能。
权限详细信息
该策略包含以下权限:
-
ssm— 允许该服务向本地域控制器发送 PowerShell 命令并检索命令执行结果以进行监控和评估。 -
ec2— 允许该服务描述网络资源 VPCs,例如子网、安全组和网络接口,以验证混合连接配置。
IAM 和托 AWS 管策略的 AWS Directory Service 更新
查看自该服务开始跟踪这些更改以来对 IAM 和 AWS 托管策略所做的更新的详细信息。要获得有关此页面变更的自动提醒,请在 IAM 和 AWS Directory Service 文档历史记录页面上订阅 RSS feed。
| 更改 | 描述 | 日期 |
|---|---|---|
|
AWS Directory Service 添加了一项新策略, AWS 允许监控客户的自行管理的域控制器。 |
2025 年 7 月 30 日 | |
|
AWS Directory Service 添加了一项新策略,允许用户或群组访问权限来查看和搜索 AD 用户、成员和群组。 |
2024 年 9 月 17 日 | |
|
AWS Directory Service 添加了一个新策略,允许用户或群组使用目录服务数据访问内置对象管理,从而创建、管理和查看 AD 用户、成员和群组。 |
2024 年 9 月 17 日 | |
|
AWS Directory Service 开始跟踪更改 |
AWS Directory Service 开始跟踪其 AWS 托管策略的更改。 |
2024 年 9 月 17 日 |
