Amazon Directory Service API权限:操作、资源和条件参考 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Directory Service API权限:操作、资源和条件参考

在设置访问控制和编写可以附加到身份的权限策略(基于IAM身份的策略)时,可以使用该Amazon Directory Service API权限:操作、资源和条件参考表作为参考。中的每个API条目都包括以下内容:

  • Amazon Directory Service API操作名称

  • 您可授予执行该操作的权限的对应操作

  • 您可以为其授予权限的 Amazon 资源

您在策略的 Action 字段中指定操作,并在策略的 Resource 字段中指定资源值。要指定操作,请使用ds:前缀和API操作名称(例如ds:CreateDirectory)。某些 Amazon 应用程序可能需要在其策略中使用非公开 Amazon Directory Service API操作ds:AuthorizeApplication,例如ds:CheckAliasds:CreateIdentityPoolDirectoryds:GetAuthorizedApplicationDetailsds:UpdateAuthorizedApplication、、、和ds:UnauthorizeApplication

有些 Amazon Directory Service APIs只能通过 Amazon Web Services Management Console. 从某种意义上说APIs,它们不是公开的,因为它们不能以编程方式调用,也不是由任何SDK人提供的。他们接受用户证书。这些API操作包括ds:DisableRoleAccessds:EnableRoleAccess、和ds:UpdateDirectory

您可以在 Amazon Directory Service 策略中使用 Amazon 全局条件密钥来表达条件。有关 Amazon 密钥的完整列表,请参阅《IAM用户指南》中的可用全局条件密钥