本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用对 Amazon 应用程序和服务的授权 Amazon Directory Service
在 Active Di Amazon rectory 上授权应用程序
Amazon Directory Service 授予所选应用程序的特定权限,以便在您授权应用程序时与您的 Active Directory 无缝集成。 Amazon Amazon 应用程序仅被授予其用例所需的访问权限。授权后授予应用程序和应用程序管理员的内部权限集如下所示:
注意
授权新 Amazon 应用程序使用 Active Directory 需要该ds:AuthorizationApplication权限。只能向配置与 Directory Service 集成的管理员提供此操作的权限。
在托管的微软 AD、Simple AD、AD Connector 目录中的所有组织单位 (OU) 以及 Amazon 托管微软 AD 的可信域中,读取对 Active Directory 用户、群组、组织单位、计算机或证书颁发机构数据的访问权限(如果信任关系允许)。 Amazon
写入对 Amazon 托管 Microsoft AD 组织单位中的用户、群组、群组成员资格、计算机或证书颁发机构数据的访问权限。对 Simple AD 的所有 OU 的写入权限。
对所有目录类型的 Active Directory 用户的身份验证和会话管理权限。
某些 Amazon 托管的 Microsoft AD 应用程序,例如亚马逊 RDS 和 Amazon FSx,通过直接的网络连接集成到您的 Active Directory。在这种情况下,目录交互使用本机 Active Directory 协议,例如 LDAP 和 Kerberos。这些 Amazon 应用程序的权限由应用程序授权期间在 Amazon 预留组织单位 (OU) 中创建的目录用户帐户控制,其中包括对为应用程序创建的自定义 OU 的 DNS 管理和完全访问权限。要使用此账户,应用程序需要通过调用者凭证或 IAM 角色执行 ds:GetAuthorizedApplicationDetails 操作的权限。
有关 Amazon Directory Service API 权限的更多信息,请参阅Amazon Directory Service API 权限:操作、资源和条件参考。
有关为 Amazon 托管 Microsoft AD 启用 Amazon 应用程序和服务的更多信息,请参阅允许访问 Amazon 应用程序和服务。有关为 AD Connector 启用 Amazon 应用程序和服务的更多信息,请参阅允许访问 Amazon 应用程序和服务。有关为 Simple AD 启用 Amazon 应用程序和服务的更多信息,请参阅允许访问 Amazon 应用程序和服务。
取消对 Active Direct Amazon ory 上应用程序的授权
要删除 Amazon 应用程序访问活动目录的权限,需要该ds:UnauthorizedApplication权限。按照应用程序提供的步骤将其禁用。