Amazon Directory Service API 权限:操作、资源和条件参考 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Directory Service API 权限:操作、资源和条件参考

在设置 访问控制 和编写您可附加到 IAM 身份的权限策略(基于身份的策略)时,可以使用 Amazon Directory Service API 权限:操作、资源和条件参考 表作为参考。中的每个 API 条目都包含以下内容:

  • Amazon Directory Service API 操作的名称

  • 您可授予执行该操作的权限的对应操作

  • 您可以为其授予权限的 Amazon 资源

您在策略的 Action 字段中指定操作,并在策略的 Resource 字段中指定资源值。要指定操作,请在 API 操作名称之前使用 ds: 前缀(例如,ds:CreateDirectory)。某些 Amazon 应用程序可能需要在其策略中使用非公共 Amazon Directory Service API 操作,例如ds:AuthorizeApplicationds:CheckAliasds:CreateIdentityPoolDirectoryds:GetAuthorizedApplicationDetailsds:UpdateAuthorizedApplication、、、和ds:UnauthorizeApplication

有些 Amazon Directory Service API 只能通过调用 Amazon Web Services Management Console。从某种意义上说,它们不是公共 API,因为它们不能以编程方式调用,也不是由任何 SDK 提供的。他们接受用户证书。这些 API 操作包括ds:DisableRoleAccessds:EnableRoleAccess、和ds:UpdateDirectory

您可以在 Amazon Directory Service 策略中使用 Amazon 全局条件密钥来表达条件。有关 Amazon 密钥的完整列表,请参阅 IAM 用户指南中的可用全局条件密钥