本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 的 受管政策 AWS Directory Service
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。 AWS 服務 當新的 啟動或新的 API 操作可用於現有服務時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
下列各節說明特定的 AWS 受管政策 Directory Service。您可以將這些政策連接到您帳戶中的使用者。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策: AWSDirectoryServiceFullAccess
您可將 `AWSDirectoryServiceFullAccess` 政策連接到 IAM 身分。若要檢視此政策的完整許可,請參閱《 *AWS 受管政策參考*》中的 [AWSDirectoryServiceFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDirectoryServiceFullAccess.html)。
此政策會授予管理許可,允許委託人完整存取所有 Directory Service 動作。具有這些許可的主體可以建立、設定和管理目錄,包括 Simple AD、AD Connector 和 Managed Microsoft AD。他們也可以管理目錄共用、信任關係和監控組態。此政策包含管理目錄服務所需基礎網路基礎設施的許可。
**許可詳細資訊**
此政策包含以下許可:
+ `ds` – 允許主體完整存取所有 Directory Service 動作。
+ `ec2` – 允許主體管理網路介面、安全群組,並描述目錄操作所需的 VPC 資源。
+ `sns` – 允許主體建立和管理 SNS 主題以進行目錄監控,特別是名稱開頭為「DirectoryMonitoring」的主題。
+ `iam` – 允許主體列出目錄服務操作的 IAM 角色。
+ `organizations` – 允許主體管理 AWS Organizations 整合,並啟用/停用目錄服務的服務存取。
## AWS 受管政策: AWSDirectoryServiceReadOnlyAccess
您可將 `AWSDirectoryServiceReadOnlyAccess` 政策連接到 IAM 身分。若要檢視此政策的完整許可,請參閱《 *AWS 受管政策參考*》中的 [AWSDirectoryServiceReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDirectoryServiceReadOnlyAccess.html)。
此政策授予唯讀許可,允許使用者檢視 中的資訊 Directory Service。已連接此政策的主體無法對目錄或其組態進行任何更新。例如,具有這些許可的主體可以檢視目錄詳細資訊、信任關係和監控組態,但無法建立新的目錄或修改現有的目錄。他們也可以檢視與目錄相關聯的相關 EC2 網路資源和 SNS 主題。
**許可詳細資訊**
此政策包含以下許可:
+ `ds` – 允許使用者執行傳回目錄資訊的唯讀動作。這包括以 `Check`、`Describe`、`List`、 `Get`或 開頭的 API 操作`Verify`。
+ `ec2` – 允許使用者描述與目錄服務相關聯的網路介面、子網路和 VPCs。
+ `sns` – 允許使用者列出並取得用於目錄監控的 SNS 主題和訂閱的相關資訊。
+ `organizations` – 允許使用者描述 AWS Organizations 與目錄服務相關的帳戶和服務存取組態。
## AWS 受管政策: AWSDirectoryServiceDataFullAccess
您可將 `AWSDirectoryServiceDataFullAccess` 政策連接到 IAM 身分。若要檢視此政策的完整許可,請參閱《 *AWS 受管政策參考*》中的 [AWSDirectoryServiceDataFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDirectoryServiceDataFullAccess.html)。
此政策會授予管理許可,允許委託人完整存取 Directory Service Data 操作。具有這些許可的主體可以在受管目錄中建立、更新和刪除 Active Directory 使用者和群組。他們可以管理群組成員資格、啟用或停用使用者,以及執行全面的使用者和群組管理操作。此政策專為需要以程式設計方式管理 Active Directory 物件的管理員而設計。
**許可詳細資訊**
此政策包含以下許可:
+ `ds` – 允許主體透過 Directory Service Data API 存取目錄資料。
+ `ds-data` – 允許主體完整存取所有 Directory Service Data 操作,包括建立、更新和刪除使用者和群組、管理群組成員資格,以及搜尋目錄物件。
## AWS 受管政策: AWSDirectoryServiceDataReadOnlyAccess
您可將 `AWSDirectoryServiceDataReadOnlyAccess` 政策連接到 IAM 身分。若要檢視此政策的完整許可,請參閱《 *AWS 受管政策參考*》中的 [AWSDirectoryServiceDataReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDirectoryServiceDataReadOnlyAccess.html)。
此政策授予唯讀許可,允許使用者檢視和搜尋受管目錄中的 Active Directory 物件。附加此政策的主體無法對使用者、群組或群組成員資格進行任何更新。例如,具有這些許可的主體可以搜尋使用者和群組、檢視使用者和群組詳細資訊,以及列出群組成員資格,但無法建立、修改或刪除任何目錄物件。
**許可詳細資訊**
此政策包含以下許可:
+ `ds` – 允許主體透過 Directory Service Data API 存取目錄資料。
+ `ds-data` – 允許使用者執行唯讀動作,以傳回目錄物件資訊。這包括以 `Describe`、 `List`或 開頭的 API 操作`Search`。
## AWSDirectoryServiceServiceRolePolicy
您無法將`AWSDirectoryServiceServiceRolePolicy`政策連接至 IAM 身分。此政策會連接到服務連結角色,允許 AWS Directory Service 代表您執行動作。若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSDirectoryServiceServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDirectoryServiceServiceRolePolicy.html)。
此政策授予許可,允許 Directory Service 在混合式 Active Directory 環境中監控和評估自我管理的網域控制站。此服務使用這些許可來執行自動化運作狀態評估、執行 PowerShell 指令碼進行相容性測試,以及收集網路組態資訊,以確保適當的混合連線能力和自動化復原功能。
**許可詳細資訊**
此政策包含以下許可:
+ `ssm` – 允許服務將 PowerShell 命令傳送至內部部署網域控制站,並擷取命令執行結果以進行監控和評估。
+ `ec2` – 允許 服務描述網路資源,例如 VPCs、子網路、安全群組和網路介面,以驗證混合連線組態。
## AWS 受管政策的 IAM 和 Directory Service 更新
檢視自服務開始追蹤這些變更以來,IAM 和 AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 IAM 和 Directory Service 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSDirectoryServiceServiceRolePolicy](#security-iam-awsmanpol-AWSDirectoryServiceServiceRolePolicy) – 新政策 | Directory Service 新增了新的政策, AWS 以允許 監控客戶的自我管理網域控制站。 | 2025 年 7 月 30 日 |
| [AWS 受管政策: AWSDirectoryServiceDataReadOnlyAccess](#security-iam-awsmanpol-AWSDirectoryServiceDataReadOnlyAccess) – 新政策 | Directory Service 新增了新的政策,以允許使用者或群組存取檢視和搜尋 AD 使用者、成員和群組。 | 2024 年 9 月 17 日 |
| [AWS 受管政策: AWSDirectoryServiceDataFullAccess](#security-iam-awsmanpol-AWSDirectoryServiceDataFullAccess) – 新政策 | Directory Service 新增了新的政策,以允許使用者或群組使用 Directory Service Data 存取內建物件管理,以建立、管理和檢視 AD 使用者、成員和群組。 | 2024 年 9 月 17 日 |
| Directory Service 開始追蹤變更 | Directory Service 已開始追蹤其 AWS 受管政策的變更。 | 2024 年 9 月 17 日 |