本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Directory Service API 权限:操作、资源和条件参考
在设置 访问控制 和编写您可附加到 IAM 身份的权限策略(基于身份的策略)时,可以使用 Amazon Directory Service API 权限:操作、资源和条件参考 表作为参考。表中的每个 API 条目都包含以下内容:
-
每个 API 操作的名称
-
您可授予权限进行执行的每个 API 操作的对应操作
-
您可以向其授予权限的 Amazon 资源
您在策略的 Action
字段中指定操作,并在策略的 Resource
字段中指定资源值。要指定操作,请在 API 操作名称之前使用 ds:
前缀(例如,ds:CreateDirectory
)。某些 Amazon 应用程序可能需要在其策略中使用非公共 Amazon Directory Service API 操作,例如ds:AuthorizeApplication
ds:CheckAlias
ds:CreateIdentityPoolDirectory
ds:GetAuthorizedApplicationDetails
、ds:UpdateAuthorizedApplication
、、、和ds:UnauthorizeApplication
。
有些 Amazon Directory Service APIs 只能通过 Amazon Web Services Management Console. 它们不是公开的 APIs,从某种意义上说,它们不能以编程方式调用,也不是由任何 SDK 提供的。它们接受用户凭证。这些 API 操作包括 ds:DisableRoleAccess
、ds:EnableRoleAccess
和 ds:UpdateDirectory
。
您可以在 Amazon Directory Service 和 Directory Service Data 策略中使用 Amazon 全局条件密钥来表达条件。有关 Amazon 密钥的完整列表,请参阅 IAM 用户指南中的可用全局条件密钥。
Amazon Directory Service API 和操作所需的权限
Amazon Directory Service Data API 和操作所需的权限
注意
要指定操作,请在 API 操作名称之前使用 ds-data:
前缀(例如,ds-data:AddGroupMember
)。
Directory Service Data API 操作 | 所需权限(API 操作) | 资源 |
---|---|---|
AddGroupMember |
|
* |
CreateGroup |
|
* |
CreateUser |
|
* |
DeleteGroup |
|
* |
DeleteUser |
|
* |
DescribeGroup |
|
* |
DescribeUser |
|
* |
DisableUser |
|
* |
ListGroupMembers |
|
* |
ListGroupsForMember |
|
* |
ListUsers |
|
* |
RemoveGroupMember |
|
* |
SearchGroups |
|
* |
SearchUsers |
|
* |
UpdateGroup |
|
* |
UpdateUser |
|
* |