使用 Amazon Directory Service 对 Amazon 应用程序和服务进行授权 - Amazon Directory Service
在 Active Directory 上授权 Amazon 应用程序 使用 Directory Service Data 进行 Amazon 应用程序授权
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 Amazon Directory Service 对 Amazon 应用程序和服务进行授权

本主题介绍使用 Amazon Directory Service 和 Amazon Directory Service Data 对 Amazon 应用程序和服务的授权

在 Active Directory 上授权 Amazon 应用程序

当您授权 Amazon 应用程序时,Amazon Directory Service 为所选应用程序授予特定权限,以便与 Active Directory 无缝集成。仅授予 Amazon 应用程序其特定用例所需的访问权限。以下为授权后授予应用程序和应用程序管理员的内部权限集:

注意

向新 Amazon 应用程序授权 Active Directory 需要 ds:AuthorizationApplication 权限。只能向配置与 Directory Service 集成的管理员提供此操作的权限。

  • 对 Amazon Managed Microsoft AD、Simple AD、AD Connector 目录中的所有组织单位(OU)以及 Amazon Managed Microsoft AD 的可信域的 Active Directory 用户、组、组织单位、计算机或证书颁发机构数据的读取权限(如果信任关系允许)。

  • 对 Amazon Managed Microsoft AD 组织单位中的用户、组、组成员资格、计算机或证书颁发机构数据的写入权限。对 Simple AD 的所有 OU 的写入权限。

  • 对所有目录类型的 Active Directory 用户的身份验证和会话管理权限。

某些 Amazon Managed Microsoft AD 应用程序(例如 Amazon RDS 和 Amazon FSx)通过直接网络连接集成到您的 Active Directory。在这种情况下,目录交互使用本机 Active Directory 协议,例如 LDAP 和 Kerberos。这些 Amazon 应用程序的权限由应用程序授权期间在 Amazon 预留组织单位(OU)中创建的目录用户账户控制,其中包括 DNS 管理和对应用程序创建的自定义 OU 的完全访问权限。要使用此账户,应用程序需要通过调用者凭证或 IAM 角色执行 ds:GetAuthorizedApplicationDetails 操作的权限。

有关 Amazon Directory Service API 权限的更多信息,请参阅 Amazon Directory Service API 权限:操作、资源和条件参考

有关为 Amazon Managed Microsoft AD 启用 Amazon 应用程序和服务的更多信息,请参阅 通过 Amazon Managed Microsoft AD 访问 Amazon 应用程序和服务。有关为 Simple AD 启用 Amazon 应用程序和服务的更多信息,请参阅 通过 Simple AD 访问 Amazon 应用程序和服务。有关为 AD Connector 启用 Amazon 应用程序和服务的信息,请参阅从 AD Connector 访问 Amazon 应用程序和服务

取消对 Active Directory 上 Amazon 应用程序的授权

要移除 Amazon 应用程序访问 Active Directory 的权限,需要 ds:UnauthorizedApplication 权限。按照应用程序提供的步骤将其禁用。

使用 Directory Service Data 进行 Amazon 应用程序授权

对于 Amazon Managed Microsoft AD 目录,Directory Service Data(ds-data)API 提供对用户和组管理任务的编程访问权限。Amazon 应用程序的授权模型与 Directory Service Data 的访问控制是分开的,这意味着 Directory Service Data 操作的访问策略不会影响 Amazon 应用程序的授权。拒绝访问 ds-data 中的目录不会中断 Amazon 应用程序集成或 Amazon 应用程序的用例。

在为授权 Amazon 应用程序的 Amazon Managed Microsoft AD 目录编写访问策略时,请注意,通过调用授权的 Amazon 应用程序或 Directory Service Data API,用户和组功能可能是可用的。Amazon WorkDocs、Amazon WorkMail、Amazon WorkSpaces、Amazon Quick Suite 和 Amazon Chime 都在其 API 中提供用户和组管理操作。使用 IAM 策略控制对此 Amazon 应用程序功能的访问权限。

示例

以下代码段显示了在目录上授权 Amazon 应用程序(例如 WorkDocs 和 Amazon WorkMail)时拒绝 DeleteUser 功能的错误和正确方法。

错误

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ds-data:DeleteUser"
            ],
            "Resource": "*"
        }
    ]
}

正确

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ds-data:DeleteUser",
                "workmail:DeleteUser",
                "workdocs:DeleteUser"
            ],
            "Resource": "*"
        }
    ]
}