本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Directory Service 的動作、資源和條件索引鍵
AWS Directory Service (服務字首:ds) 提供下列服務特定的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視可供此服務使用的 API 操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
AWS Directory Service 定義的動作
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時,通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
動作資料表的存取層級欄說明動作的分類方式 (列出、讀取、許可管理或標記)。此分類可協助您了解在政策中使用某動作時,該動作授予您的存取層級。如需存取層級的詳細資訊,請參閱政策摘要中的存取層級。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取,則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
動作資料表的相依動作欄會顯示成功呼叫動作所需的其他許可。除了 動作本身的許可之外,還可能需要這些許可。當動作指定相依動作時,這些相依性可能適用於針對該動作定義的其他資源,而不只是資料表中列出的第一個資源。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| AcceptSharedDirectory | 准許接受從目錄擁有者帳戶傳送的目錄共享請求 | 寫入 | |||
| AccessDSData [僅限許可] | 准許使用 Directory Service Data API 存取目錄資料 | 許可管理 | |||
| AddIpRoutes | 准許新增 CIDR 地址區塊,在 Amazon Web Services 上往返於您的 Microsoft AD 正確地路由傳送流量 | 寫入 |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:DescribeSecurityGroups |
||
| AddRegion | 准許在指定目錄的指定區域中新增兩個網域控制器 | 寫入 |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| AddTagsToResource | 准許針對指定的 Amazon Directory Services 目錄,新增或覆寫一或多個標籤 | 標記 |
ec2:CreateTags |
||
| AuthorizeApplication [僅限許可] | 准許為您的 AWS 目錄授權應用程式 | 寫入 | |||
| CancelSchemaExtension | 准許取消 Microsoft AD 目錄的進行中結構描述延伸 | 寫入 | |||
| CheckAlias [僅限許可] | 准許驗證別名是否可供使用 | 閱讀 | |||
| ConnectDirectory | 准許建立 AD Connector 以連接到現場部署目錄 | 寫入 |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateAlias | 准許建立目錄的別名,並將別名指派給目錄 | 寫入 | |||
| CreateComputer | 准許在指定的目錄中建立電腦帳戶,並將電腦加入目錄 | 寫入 | |||
| CreateConditionalForwarder | 准許建立與您的 AWS 目錄相關聯的條件式轉送器 | 寫入 | |||
| CreateDirectory | 准許建立 Simple AD 目錄 | 寫入 |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateHybridAD | 准許建立混合 Managed AD 目錄 | 寫入 |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateNetworkInterfacePermission ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs iam:CreateServiceLinkedRole iam:GetRole secretsmanager:DescribeSecret secretsmanager:GetSecretValue ssm:GetCommandInvocation ssm:GetConnectionStatus ssm:ListCommands ssm:SendCommand |
||
| CreateIdentityPoolDirectory [僅限許可] | 准許在 AWS 雲端中建立 IdentityPool 目錄 | 寫入 | |||
| CreateLogSubscription | 准許建立訂閱,將即時 Directory Service 網域控制站安全日誌轉送至您 中指定的 CloudWatch 日誌群組 AWS 帳戶 | 寫入 | |||
| CreateMicrosoftAD | 准許在 AWS 雲端中建立 Microsoft AD | 寫入 |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateSnapshot | 准許在 AWS 雲端中建立 Simple AD 或 Microsoft AD 目錄的快照 | 寫入 | |||
| CreateTrust | 准許在 AWS 雲端中的 Microsoft AD 與外部網域之間建立信任關係的 AWS 端 | 寫入 | |||
| DeleteADAssessment | 准許刪除目錄評估 | 寫入 | |||
| DeleteConditionalForwarder | 准許刪除已為您的 AWS 目錄設定的條件式轉送器 | 寫入 | |||
| DeleteDirectory | 准許刪除 AWS Directory Service 目錄 | 寫入 |
ec2:DeleteNetworkInterface ec2:DeleteSecurityGroup ec2:DescribeNetworkInterfaces ec2:RevokeSecurityGroupEgress ec2:RevokeSecurityGroupIngress |
||
| DeleteLogSubscription | 准許刪除指定的日誌訂閱 | 寫入 | |||
| DeleteSnapshot | 准許刪除目錄快照 | 寫入 | |||
| DeleteTrust | 准許刪除 AWS 雲端中 Microsoft AD 與外部網域之間的現有信任關係 | 寫入 | |||
| DeregisterCertificate | 准許從系統刪除已註冊為安全 LDAP 連線的憑證 | 寫入 | |||
| DeregisterEventTopic | 准許移除指向特定 SNS 主題的特定發佈者目錄 | 寫入 | |||
| DescribeADAssessment | 准許描述目錄評估 | 閱讀 | |||
| DescribeCAEnrollmentPolicy | 准許描述指定目錄的 ca 註冊狀態 | 閱讀 | |||
| DescribeCertificate | 准許顯示已註冊為安全 LDAP 連線之憑證的詳細資訊 | 閱讀 | |||
| DescribeClientAuthenticationSettings | 准許擷取指定目錄之用戶端驗證類型的相關資訊 (若已指定類型)。如果未指定類型,則會擷取指定目錄支援之所有用戶端身分驗證類型的相關資訊。目前僅支援 SmartCard | 閱讀 | |||
| DescribeConditionalForwarders | 准許取得此帳戶的條件式轉寄站的相關資訊 | 閱讀 | |||
| DescribeDirectories | 准許取得屬於此帳戶之目錄的相關資訊 | 清單 | |||
| DescribeDirectoryDataAccess | 准許描述指定目錄的 Directory Service Data API 狀態 | 閱讀 | |||
| DescribeDomainControllers | 准許提供您的目錄中任何網域控制站的相關資訊 | 閱讀 | |||
| DescribeEventTopics | 准許針對哪些 SNS 主題接收特定目錄的狀態訊息,提供相關資訊 | 閱讀 | |||
| DescribeHybridADUpdate | 准許描述指定混合目錄的更新 | 閱讀 | |||
| DescribeLDAPSSettings | 准許描述指定目錄的 LDAP 安全性狀態 | 閱讀 | |||
| DescribeRegions | 准許提供針對多區域複寫設定之區域的相關資訊 | 閱讀 | |||
| DescribeSettings | 准許擷取指定目錄的組態設定相關資訊 | 閱讀 | |||
| DescribeSharedDirectories | 准許傳回您的帳戶中的共用目錄 | 閱讀 | |||
| DescribeSnapshots | 准許取得屬於此帳戶的目錄快照的相關資訊 | 閱讀 | |||
| DescribeTrusts | 准許取得此帳戶的信任關係的相關資訊 | 閱讀 | |||
| DescribeUpdateDirectory | 准許描述特定更新類型的目錄更新 | 閱讀 | |||
| DisableCAEnrollmentPolicy | 准許停用指定目錄的 ca 註冊 | 寫入 | |||
| DisableClientAuthentication | 准許停用指定目錄的替代用戶端身分驗證方法 | 寫入 | |||
| DisableDirectoryDataAccess | 准許停用指定目錄的 Directory Service Data API | 寫入 | |||
| DisableLDAPS | 准許停用指定目錄的 LDAP 安全呼叫 | 寫入 | |||
| DisableRadius | 針對 AD Connector 目錄,准許停用透過遠端驗證撥入使用者服務 (RADIUS) 伺服器進行多重要素驗證 (MFA)。 | 寫入 | |||
| DisableRoleAccess [僅限許可] | 准許停用 AWS 目錄中身分的 AWS Management Console 存取 | 寫入 | |||
| DisableSso | 准許停用目錄的單一登入 | 寫入 | |||
| EnableCAEnrollmentPolicy | 准許啟用指定目錄的 ca 註冊 | 寫入 |
acm-pca:DescribeCertificateAuthority pca-connector-ad:GetConnector |
||
| EnableClientAuthentication | 准許啟用指定目錄的替代用戶端身分驗證方法 | 寫入 | |||
| EnableDirectoryDataAccess | 准許為指定的目錄啟用 Directory Service Data API | 寫入 | |||
| EnableLDAPS | 准許啟用特定目錄的參數,以永遠使用 LDAP 安全呼叫 | 寫入 | |||
| EnableRadius | 針對 AD Connector 目錄,准許啟用透過遠端驗證撥入使用者服務 (RADIUS) 伺服器進行多重要素驗證 (MFA)。 | 寫入 | |||
| EnableRoleAccess [僅限許可] | 准許在您的 AWS 目錄中啟用身分 AWS Management Console 存取 | 寫入 |
iam:PassRole |
||
| EnableSso | 准許啟用目錄的單一登入 | 寫入 | |||
| GetAuthorizedApplicationDetails [僅限許可] | 准許擷取目錄上已授權應用程式的詳細資訊 | 閱讀 | |||
| GetDirectoryLimits | 准許取得目前區域的目錄限制資訊 | 閱讀 | |||
| GetSnapshotLimits | 准許取得目錄的手動快照限制 | 閱讀 | |||
| ListADAssessments | 准許列出目錄評估 | 清單 | |||
| ListAuthorizedApplications [僅限許可] | 准許取得針對目錄授權 AWS 的應用程式 | 閱讀 | |||
| ListCertificates | 准許針對指定的目錄,列出已註冊為安全 LDAP 連線的所有憑證 | 清單 | |||
| ListIpRoutes | 准許列出您已新增到目錄的地址區塊 | 閱讀 | |||
| ListLogSubscriptions | 准許列出 的作用中日誌訂閱 AWS 帳戶 | 閱讀 | |||
| ListSchemaExtensions | 准許列出套用到 Microsoft AD 目錄的所有結構描述延伸 | 清單 | |||
| ListTagsForResource | 准許列出 Amazon Directory Services 目錄上的所有標籤 | 閱讀 | |||
| RegisterCertificate | 准許註冊安全 LDAP 連線的憑證 | 寫入 | |||
| RegisterEventTopic | 准許建立目錄與 SNS 主題的關聯 | 寫入 |
sns:GetTopicAttributes |
||
| RejectSharedDirectory | 准許拒絕從目錄擁有者帳戶傳送的目錄共享請求 | 寫入 | |||
| RemoveIpRoutes | 准許從目錄移除 IP 地址區塊 | 寫入 | |||
| RemoveRegion | 准許停止所有複寫,並從指定的區域移除網域控制器。您無法使用此操作移除主要區域 | 寫入 | |||
| RemoveTagsFromResource | 准許從 Amazon Directory Services 目錄移除標籤 | 標記 |
ec2:DeleteTags |
||
| ResetUserPassword | 准許重設 AWS Managed Microsoft AD 或 Simple AD 目錄中任何使用者的密碼 | 寫入 | |||
| RestoreFromSnapshot | 准許使用現有的目錄快照來還原目錄 | 寫入 | |||
| ShareDirectory | 准許與另一個 AWS 帳戶 (目錄消費者) 共用您 AWS 帳戶 (目錄擁有者) 中指定的目錄。透過此操作,您可以從 內的任何 AWS 帳戶 和任何 Amazon VPC 使用您的目錄 AWS 區域 | 寫入 | |||
| StartADAssessment | 准許啟動目錄評估 | 寫入 |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateNetworkInterfacePermission ec2:CreateSecurityGroup ec2:DeleteNetworkInterface ec2:DeleteSecurityGroup ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs ssm:GetCommandInvocation ssm:GetConnectionStatus ssm:ListCommands ssm:SendCommand |
||
| StartSchemaExtension | 准許套用結構描述延伸至 Microsoft AD 目錄 | 寫入 | |||
| UnauthorizeApplication [僅限許可] | 准許從您的 AWS 目錄取消授權應用程式 | 寫入 | |||
| UnshareDirectory | 准許在目錄擁有者與消費者帳戶之間,停止目錄共享 | 寫入 | |||
| UpdateAuthorizedApplication [僅限許可] | 准許更新 AWS 目錄的授權應用程式 | 寫入 | |||
| UpdateConditionalForwarder | 准許更新已為您的 AWS 目錄設定的條件式轉送器 | 寫入 | |||
| UpdateDirectory [僅限許可] | 准許更新指定目錄的組態 (例如服務帳戶憑證或 DNS 伺服器 IP 地址) | 寫入 | |||
| UpdateDirectorySetup | 准許更新特定更新類型 | 寫入 | |||
| UpdateHybridAD | 准許更新指定混合目錄的組態 | 寫入 |
ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateNetworkInterface ec2:CreateNetworkInterfacePermission ec2:CreateSecurityGroup ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs secretsmanager:DescribeSecret secretsmanager:GetSecretValue ssm:GetCommandInvocation ssm:GetConnectionStatus ssm:ListCommands ssm:SendCommand |
||
| UpdateNumberOfDomainControllers | 准許將網域控制站新增至目錄,或從目錄移除網域控制站。新增或移除網域控制站,取決於目前值和新的值 (透過這個 API 呼叫提供) 之間的差異。更新所要求的網域控制站數量之後,任何新的網域控制站可能需要將近 45 分鐘才能完全運作。在這段期間,您無法提出另一個更新請求 | 寫入 | |||
| UpdateRadius | 准許更新 AD Connector 目錄的遠端驗證撥入使用者服務 (RADIUS) 伺服器資訊 | 寫入 | |||
| UpdateSettings | 准許更新指定目錄的組態設定 | 寫入 | |||
| UpdateTrust | 准許更新 AWS Managed Microsoft AD 目錄和內部部署 Active Directory 之間設定的信任 | 寫入 | |||
| VerifyTrust | 准許驗證 AWS 雲端中的 Microsoft AD 與外部網域之間的信任關係 | 閱讀 |
AWS Directory Service 定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| directory |
arn:${Partition}:ds:${Region}:${Account}:directory/${DirectoryId}
|
AWS Directory Service 的條件索引鍵
AWS Directory Service 定義下列條件索引鍵,可用於 IAM 政策的 Condition元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表。
若要檢視所有 服務可用的全域條件索引鍵,請參閱AWS 全域條件內容索引鍵。
| 條件索引鍵 | 描述 | 類型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 依對 AWS DS 的請求值篩選存取權 | String |
| aws:ResourceTag/${TagKey} | 依要執行動作的 AWS DS 資源篩選存取權 | String |
| aws:TagKeys | 依要求中傳遞的標籤索引鍵來篩選存取權 | ArrayOfString |
