使用对 Amazon 应用程序和服务的授权 Amazon Directory Service - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用对 Amazon 应用程序和服务的授权 Amazon Directory Service

本主题介绍使用和 Di Amazon rectory Service Data 对 Amazon 应用程序 Amazon Directory Service 和服务的授权

在 Active Di Amazon rectory 上授权应用程序

Amazon Directory Service 授予所选应用程序的特定权限,以便在您授权应用程序时与您的 Active Directory 无缝集成。 Amazon Amazon 仅向应用程序授予其特定用例所需的访问权限。以下是授权后授予应用程序和应用程序管理员的一组内部权限:

注意

需要该ds:AuthorizationApplication权限才能为活动目录的新 Amazon 应用程序授权。只能向配置与 Directory Service 集成的管理员提供此操作的权限。

  • 在托管的微软 AD、Simple AD、AD Connector 目录中的所有组织单位 (OU) 以及 Amazon 托管微软 AD 的可信域中,读取对 Active Directory 用户、群组、组织单位、计算机或证书颁发机构数据的访问权限(如果信任关系允许)。 Amazon

  • 写入对 Amazon 托管 Microsoft AD 组织单位中的用户、群组、群组成员资格、计算机或证书颁发机构数据的访问权限。对 Simple AD 的所有 OU 的写入权限。

  • 对所有目录类型的 Active Directory 用户的身份验证和会话管理权限。

某些 Amazon 托管的 Microsoft AD 应用程序(例如亚马逊RDS和亚马逊)通过直接的网络连接FSx集成到您的活动目录。在这种情况下,目录交互使用原生 Active Directory 协议,例如LDAP和 Kerberos。这些 Amazon 应用程序的权限由应用程序授权期间在 Amazon 保留组织单位 (OU) 中创建的目录用户帐户控制,其中包括DNS管理和对为应用程序创建的自定义 OU 的完全访问权限。要使用此账户,应用程序需要通过来电者凭据或IAM角色进行ds:GetAuthorizedApplicationDetails操作的权限。

有关 Amazon Directory Service API权限的更多信息,请参阅Amazon Directory Service API权限:操作、资源和条件参考

有关为 Amazon 托管 Microsoft AD 启用 Amazon 应用程序和服务的更多信息,请参阅从你的 Amazon 托管 Microsoft AD 访问 Amazon 应用程序和服务。有关为 Simple AD 启用 Amazon 应用程序和服务的更多信息,请参阅通过 Simple AD 访问 Amazon 应用程序和服务。有关为 AD Connector 启用 Amazon 应用程序和服务的信息,请参阅从 AD Connector 访问 Amazon 应用程序和服务

取消对 Active Direct Amazon ory 上应用程序的授权

删除 Amazon 应用程序访问 Active Directory 的权限需要该权限。ds:UnauthorizedApplication按照应用程序提供的程序将其禁用。

Amazon 使用目录服务数据进行应用程序授权

对于 Amazon 托管的 Microsoft AD 目录,目录服务数据 (ds-data) API 提供对用户和组管理任务的编程访问权限。 Amazon 应用程序的授权模型与 Directory Service Data 的访问控制是分开的,这意味着目录服务数据操作的访问策略不会影响 Amazon 应用程序的授权。拒绝访问 ds-data 中的目录不会中断 Amazon 应用程序集成或应用程序的用例。 Amazon

在为授权 Amazon 应用程序的 Microsoft AD Amazon 托管目录编写访问策略时,请注意,通过调用授权的 Amazon 应用程序或目录服务数据,用户和组的功能可能就可用API。亚马逊 WorkDocs、亚马逊 WorkMail、亚马逊 WorkSpaces QuickSight、亚马逊和Amazon Chime都在其中提供了用户和群组管理操作。APIs使用IAM策略控制对此 Amazon 应用程序功能的访问权限。

示例

以下片段显示了在目录上授权诸如Amazon和Amazon之类的 Amazon 应用程序时 WorkMail,拒绝DeleteUser功能的错误 WorkDocs 和正确方法。

不正确

{ "Version": "2012-10-17", "Statement": [{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": [ "ds-data:DeleteUser" ], "Resource": "*" } ] }

正确

{ "Version": "2012-10-17", "Statement": [{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": [ "ds-data:DeleteUser", "workmail:DeleteUser", "workdocs:DeleteUser" ], "Resource": "*" } ] }