本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 AWS 的應用程式和服務授權 Directory Service
<a name="ad_manage_apps_services_authorization"></a>

 本主題說明使用 和 AWS Directory Service AWS Directory Service Data AWS 的應用程式和服務授權 

## 在 Active Directory 上授權 AWS 應用程式
<a name="ad_manage_apps_services_authorization_ADS"></a>

 Directory Service 當您授權應用程式時， 會授予特定許可，讓所選 AWS 應用程式與 Active Directory 無縫整合。 AWS 應用程式只會獲得其特定使用案例所需的存取權。以下是授權後授予應用程式和應用程式管理員的一組內部許可：

**注意**  
 需要 `ds:AuthorizationApplication`許可才能授權 Active Directory 的新 AWS 應用程式。僅應向設定目錄服務整合的管理員提供此動作的許可。
+ 在 AWS Managed Microsoft AD、Simple AD、AD Connector 目錄的所有組織單位 (OU)，以及 AWS Managed Microsoft AD 的受信任網域中，對 Active Directory 使用者、群組、組織單位、電腦或憑證授權單位資料的讀取存取權。
+ 寫入存取權給 AWS Managed Microsoft AD 組織單位中的使用者、群組、群組成員資格、電腦或認證授權單位資料。對 Simple AD 的所有 OU 具有的寫入權限。
+ 所有目錄類型 Active Directory 使用者的驗證和工作階段管理。

Amazon RDS 和 Amazon FSx 等特定 AWS Managed Microsoft AD 應用程式透過直接網路連線與您的 Active Directory 整合。在這種情況下，目錄互動使用本機 Active Directory 協定，例如 LDAP 和 Kerberos。這些 AWS 應用程式的許可是由應用程式授權期間在 AWS 預留組織單位 (OU) 中建立的目錄使用者帳戶所控制，其中包括 DNS 管理和為應用程式建立的自訂 OU 的完整存取權。為了使用此帳戶，應用程式需要透過呼叫者憑證或 IAM 角色來取得 `ds:GetAuthorizedApplicationDetails` 動作的許可。

如需 Directory Service API 許可的詳細資訊，請參閱 [Directory Service API 許可：動作、資源和條件參考](UsingWithDS_IAM_ResourcePermissions.md)。

 如需為 AWS Managed Microsoft AD 啟用 AWS 應用程式和服務的詳細資訊，請參閱 [從 AWS Managed Microsoft AD 存取 AWS 應用程式和服務](ms_ad_manage_apps_services.md)。如需為 Simple AD 啟用 AWS 應用程式和服務的詳細資訊，請參閱 [從 Simple AD 存取 AWS 應用程式和服務](simple_ad_manage_apps_services.md)。如需啟用 AD Connector AWS 應用程式和服務的詳細資訊，請參閱 [從 AD Connector 存取 AWS 應用程式和服務](ad_connector_manage_apps_services.md)。

**在 Active Directory 上取消授權 AWS 應用程式**  
 需要 `ds:UnauthorizedApplication`許可才能移除 AWS 應用程式存取 Active Directory 的許可。遵循應用程式提供的程序來停用它。

## AWS 具有 Directory Service Data 的應用程式授權
<a name="ad_manage_apps_services_authorization_ADSD"></a>

 對於 AWS Managed Microsoft AD 目錄， Directory Service Data (ds-data) API 提供使用者和群組管理任務的程式設計存取權。 AWS 應用程式的授權模式與 Directory Service Data 的存取控制不同，這表示 Directory Service Data 動作的存取政策不會影響 AWS 應用程式的授權。拒絕存取 ds-data 中的目錄不會中斷 AWS 應用程式整合或 AWS 應用程式的使用案例。

 為授權 AWS 應用程式的 AWS Managed Microsoft AD 目錄撰寫存取政策時，請注意使用者和群組功能可能可透過呼叫授權 AWS 的應用程式或目錄服務資料 API 來使用。Amazon WorkDocs、Amazon WorkMail、Amazon WorkSpaces、Amazon Quick 和 Amazon Chime 在其 APIs 中提供使用者和群組管理動作。使用 IAM 政策控制對 AWS 此應用程式功能的存取。

**範例**  
 下列程式碼片段顯示當 WorkDocs 和 Amazon WorkMail 等 AWS 應用程式在 目錄中獲得授權時，拒絕`DeleteUser`功能的不正確正確方法。

 **不正確** 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ds-data:DeleteUser"
            ],
            "Resource": "*"
        }
    ]
}
```

------

 **正確** 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ds-data:DeleteUser",
                "workmail:DeleteUser",
                "workdocs:DeleteUser"
            ],
            "Resource": "*"
        }
    ]
}
```

------