本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS 的托管策略 AWS Directory Service
<a name="security-iam-awsmanpol"></a>

 AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限，以便您可以开始为用户、组和角色分配权限。

请记住， AWS 托管策略可能不会为您的特定用例授予最低权限权限，因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限，则更新会影响该策略所关联的所有委托人身份（用户、组和角色）。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。

有关更多信息，请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

 以下各节描述了特定于的 AWS 托管策略 Directory Service。您可以将这些策略附加到您账户中的用户。

有关更多信息，请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

## AWS 托管策略：AWSDirectoryServiceFullAccess
<a name="security-iam-awsmanpol-AWSDirectoryServiceFullAccess"></a>

您可以将 `AWSDirectoryServiceFullAccess` 策略附加到 IAM 身份。要查看此策略的全部权限，请参阅[AWSDirectoryServiceFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDirectoryServiceFullAccess.html)《*AWS 托管策略参考*》。

此策略授予管理权限，允许委托人完全访问所有 Directory Service 操作。拥有这些权限的主体可以创建、配置和管理目录，包括 Simple AD、AD Connector 和 Managed Microsoft AD。此外还可以管理目录共享、信任关系和监控配置。此策略包括管理目录服务所需底层网络基础设施的权限。

**权限详细信息**

该策略包含以下权限：
+ `ds`：允许主体完全访问所有 Directory Service 操作。
+ `ec2`：允许主体管理网络接口、安全组和描述目录操作所需的 VPC 资源。
+ `sns`— 允许委托人创建和管理用于目录监控的 SNS 主题，特别是名称以 “” DirectoryMonitoring 开头的主题。
+ `iam`：允许主体列出进行目录服务操作的 IAM 角色。
+ `organizations`— 允许委托人管理 Organi AWS zations 集成和目录服务的 enable/disable 服务访问权限。

## AWS 托管策略：AWSDirectoryServiceReadOnlyAccess
<a name="security-iam-awsmanpol-AWSDirectoryServiceReadOnlyAccess"></a>

您可以将 `AWSDirectoryServiceReadOnlyAccess` 策略附加到 IAM 身份。要查看此策略的全部权限，请参阅[AWSDirectoryServiceReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDirectoryServiceReadOnlyAccess.html)《*AWS 托管策略参考*》。

此策略授予只读权限，允许用户查看 Directory Service中的信息。附加此策略的主体无法对目录或其配置进行任何更新。例如，拥有这些权限的主体可以查看目录详细信息、信任关系和监控配置，但无法创建新的目录或修改现有目录。这些主体还可以查看与目录相关的 EC2 网络资源和 SNS 主题。

**权限详细信息**

该策略包含以下权限：
+ `ds`：允许用户执行返回目录信息的只读操作。这包括以 `Check`、`Describe`、`Get`、`List` 或 `Verify` 开头的 API 操作。
+ `ec2`— 允许用户描述网络接口、子网以及 VPCs 与目录服务相关联。
+ `sns`：允许用户列出和获取用于目录监控的 SNS 主题和订阅相关信息。
+ `organizations`：允许用户描述与目录服务相关的 AWS Organizations 账户和服务访问配置。

## AWS 托管策略：AWSDirectoryServiceDataFullAccess
<a name="security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess"></a>

您可以将 `AWSDirectoryServiceDataFullAccess` 策略附加到 IAM 身份。要查看此策略的全部权限，请参阅[AWSDirectoryServiceDataFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDirectoryServiceDataFullAccess.html)《*AWS 托管策略参考*》。

此策略授予管理权限，允许主体完全访问 Directory Service Data 操作。拥有这些权限的主体可以在托管目录中创建、更新和删除 Active Directory 用户和组。他们可以管理组成员资格，启用或禁用用户，以及执行全面的用户和组管理操作。此策略适用于需要以编程方式管理 Active Directory 对象的管理员。

**权限详细信息**

该策略包含以下权限：
+ `ds`：允许主体通过 Directory Service Data API 访问目录数据。
+ `ds-data`：允许主体完全访问所有 Directory Service Data 操作，包括创建、更新和删除用户和组、管理组成员资格以及搜索目录对象。

## AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess
<a name="security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess"></a>

您可以将 `AWSDirectoryServiceDataReadOnlyAccess` 策略附加到 IAM 身份。要查看此策略的全部权限，请参阅[AWSDirectoryServiceDataReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDirectoryServiceDataReadOnlyAccess.html)《*AWS 托管策略参考*》。

此策略授予只读权限，支持用户查看和搜索托管目录中的 Active Directory 对象。附加此策略的主体无法对用户、组或组成员资格进行任何更新。例如，拥有这些权限的主体可以搜索用户和组、查看用户和组的详细信息以及列出组成员资格，但无法创建、修改或删除任何目录对象。

**权限详细信息**

该策略包含以下权限：
+ `ds`：允许主体通过 Directory Service Data API 访问目录数据。
+ `ds-data`：允许用户执行返回目录对象信息的只读操作。这包括以`Describe`、`List` 或 `Search` 开头的 API 操作。

## AWSDirectoryServiceServiceRolePolicy
<a name="security-iam-awsmanpol-AWSDirectoryServiceServiceRolePolicy"></a>

您不可以将 `AWSDirectoryServiceServiceRolePolicy` 策略附加到 IAM 身份。此附加到服务相关角色的策略允许 AWS Directory Service 代表您执行操作。要查看此策略的权限，请参阅《AWS 托管式策略参考》中的 [AWSDirectoryServiceServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDirectoryServiceServiceRolePolicy.html)**。

此策略授予的权限允许 Directory Service 在混合 Active Directory 环境中监控和评估自我管理的域控制器。该服务使用这些权限来运行自动运行状况评估、执行兼容性测试 PowerShell脚本以及收集网络配置信息，以确保适当的混合连接和自动恢复功能。

**权限详细信息**

该策略包含以下权限：
+ `ssm`— 允许该服务向本地域控制器发送 PowerShell 命令并检索命令执行结果以进行监控和评估。
+ `ec2`— 允许该服务描述网络资源 VPCs，例如子网、安全组和网络接口，以验证混合连接配置。

## IAM 和托 AWS 管策略的 Directory Service 更新
<a name="security-iam-awsmanpol-updates"></a>

查看自该服务开始跟踪这些更改以来对 IAM 和 AWS 托管策略所做的更新的详细信息。要获得有关此页面变更的自动提醒，请在 IAM 和 Directory Service 文档历史记录页面上订阅 RSS feed。


| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
|  [AWSDirectoryServiceServiceRolePolicy](#security-iam-awsmanpol-AWSDirectoryServiceServiceRolePolicy) - 新策略  |  Directory Service 添加了一项新策略， AWS 允许监控客户的自行管理的域控制器。  | 2025 年 7 月 30 日 | 
|  [AWS 托管策略：AWSDirectoryServiceDataReadOnlyAccess](#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess)：新策略  |  Directory Service 添加了一项新策略，允许用户或群组访问权限来查看和搜索 AD 用户、成员和群组。  | 2024 年 9 月 17 日 | 
|  [AWS 托管策略：AWSDirectoryServiceDataFullAccess](#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess)：新策略  |  Directory Service 添加了一个新策略，允许用户或群组使用目录服务数据访问内置对象管理，从而创建、管理和查看 AD 用户、成员和群组。  | 2024 年 9 月 17 日 | 
|  Directory Service 已开始跟踪更改  |  Directory Service 开始跟踪其 AWS 托管策略的更改。  | 2024 年 9 月 17 日 |