Amazon Directory Service API 权限:操作、资源和条件参考 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Directory Service API 权限:操作、资源和条件参考

在设置 访问控制 和编写您可附加到 IAM 身份的权限策略(基于身份的策略)时,可以使用 Amazon Directory Service API 权限:操作、资源和条件参考 表作为参考。中的每个 API 条目都包含以下内容:

  • 每个 API 操作的名称

  • 您可授予权限进行执行的每个 API 操作的对应操作

  • 您可以向其授予权限的 Amazon 资源

您在策略的 Action 字段中指定操作,并在策略的 Resource 字段中指定资源值。要指定操作,请在 API 操作名称之前使用 ds: 前缀(例如,ds:CreateDirectory)。某些 Amazon 应用程序可能需要在其策略中使用非公共 Amazon Directory Service API 操作,例如ds:AuthorizeApplicationds:CheckAliasds:CreateIdentityPoolDirectoryds:GetAuthorizedApplicationDetailsds:UpdateAuthorizedApplication、、、和ds:UnauthorizeApplication

有些 Amazon Directory Service APIs 只能通过 Amazon Web Services Management Console. 它们不是公开的 APIs,从某种意义上说,它们不能以编程方式调用,也不是由任何 SDK 提供的。它们接受用户凭证。这些 API 操作包括 ds:DisableRoleAccessds:EnableRoleAccessds:UpdateDirectory

您可以在 Amazon Directory Service 和 Directory Service Data 策略中使用 Amazon 全局条件密钥来表达条件。有关 Amazon 密钥的完整列表,请参阅 IAM 用户指南中的可用全局条件密钥

Amazon Directory Service Data API 和操作所需的权限

注意

要指定操作,请在 API 操作名称之前使用 ds-data: 前缀(例如,ds-data:AddGroupMember)。

Directory Service Data API 操作 所需权限(API 操作) 资源
AddGroupMember

ds-data:AddGroupMember

*

CreateGroup

ds-data:CreateGroup

*

CreateUser

ds-data:CreateUser

*

DeleteGroup

ds-data:DeleteGroup

*

DeleteUser

ds-data:DeleteUser

*

DescribeGroup

ds-data:DescribeGroup

*

DescribeUser

ds-data:DescribeUser

*

DisableUser

ds-data:DisableUser

*

ListGroupMembers

ds-data:ListGroupMembers

*

ListGroupsForMember

ds-data:ListGroupsForMember

*

ListUsers

ds-data:ListUsers

*

RemoveGroupMember

ds-data:RemoveGroupMember

*

SearchGroups

ds-data:DescribeGroup

ds-data:SearchGroups

*

SearchUsers

ds-data:DescribeUser

ds-data:SearchUsers

*

UpdateGroup

ds-data:UpdateGroup

*

UpdateUser

ds-data:UpdateUser

*