本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用对 Amazon 应用程序和服务的授权 Amazon Directory Service
<a name="ad_manage_apps_services_authorization"></a>

 本主题介绍使用和 Di Amazon rectory Service Data 对 Amazon 应用程序 Amazon Directory Service 和服务的授权 

## 在 Active Di Amazon rectory 上授权应用程序
<a name="ad_manage_apps_services_authorization_ADS"></a>

 Amazon Directory Service 授予所选应用程序的特定权限，以便在您授权应用程序时与您的 Active Directory 无缝集成。 Amazon Amazon 仅向应用程序授予其特定用例所需的访问权限。以下为授权后授予应用程序和应用程序管理员的内部权限集：

**注意**  
 授权活动目录的新 Amazon 应用程序需要该`ds:AuthorizationApplication`权限。只能向配置与 Directory Service 集成的管理员提供此操作的权限。
+ 在托管的微软 AD、Simple AD、AD Connector 目录中的所有组织单位 (OU) 以及 Amazon 托管微软 AD 的可信域中，读取对 Active Directory 用户、群组、组织单位、计算机或证书颁发机构数据的访问权限（如果信任关系允许）。 Amazon 
+ 写入对 Amazon 托管 Microsoft AD 组织单位中的用户、群组、群组成员资格、计算机或证书颁发机构数据的访问权限。对 Simple AD 的所有 OU 的写入权限。
+ 对所有目录类型的 Active Directory 用户的身份验证和会话管理权限。

某些 Amazon 托管的 Microsoft AD 应用程序（例如 Amazon RDS 和 Amazon）通过直接网络连接 FSx 集成到您的活动目录。在这种情况下，目录交互使用本机 Active Directory 协议，例如 LDAP 和 Kerberos。这些 Amazon 应用程序的权限由应用程序授权期间在 Amazon 预留组织单位 (OU) 中创建的目录用户帐户控制，其中包括对为应用程序创建的自定义 OU 的 DNS 管理和完全访问权限。要使用此账户，应用程序需要通过调用者凭证或 IAM 角色执行 `ds:GetAuthorizedApplicationDetails` 操作的权限。

有关 Amazon Directory Service API 权限的更多信息，请参阅[Amazon Directory Service API 权限：操作、资源和条件参考](UsingWithDS_IAM_ResourcePermissions.md)。

 有关为 Amazon 托管 Microsoft AD 启用 Amazon 应用程序和服务的更多信息，请参阅[从你的 Amazon 托管 Microsoft AD 访问 Amazon 应用程序和服务](ms_ad_manage_apps_services.md)。有关为 Simple AD 启用 Amazon 应用程序和服务的更多信息，请参阅[通过 Simple AD 访问 Amazon 应用程序和服务](simple_ad_manage_apps_services.md)。有关为 AD Connector 启用 Amazon 应用程序和服务的信息，请参阅[从 AD Connector 访问 Amazon 应用程序和服务](ad_connector_manage_apps_services.md)。

**取消对 Active Direct Amazon ory 上应用程序的授权**  
 删除 Amazon 应用程序访问 Active Directory 的权限需要该权限。`ds:UnauthorizedApplication`按照应用程序提供的步骤将其禁用。

## Amazon 使用目录服务数据进行应用程序授权
<a name="ad_manage_apps_services_authorization_ADSD"></a>

 对于 Amazon 托管的 Microsoft AD 目录，目录服务数据 (ds-data) API 提供对用户和群组管理任务的编程访问权限。 Amazon 应用程序的授权模型与目录服务数据的访问控制是分开的，这意味着目录服务数据操作的访问策略不会影响 Amazon 应用程序的授权。拒绝访问 ds-data 中的目录不会中断 Amazon 应用程序集成或应用程序的用例。 Amazon 

 在为授权 Amazon 应用程序的 Microsoft AD Amazon 托管目录编写访问策略时，请注意，通过调用经授权的 Amazon 应用程序或目录服务数据 API，用户和群组功能可能就可用。亚马逊 WorkDocs、亚马逊 WorkMail、亚马逊 WorkSpaces、Amazon Quick 和 Amazon Chime 都在其中提供了用户和群组管理操作。 APIs使用 IAM 策略控制对此 Amazon 应用程序功能的访问权限。

**示例**  
 以下片段显示了在目录上授权 Amazon 应用程序（例如和 Amazon WorkMail）时拒绝`DeleteUser`功能的错误 WorkDocs 和正确方法。

 **错误** 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ds-data:DeleteUser"
            ],
            "Resource": "*"
        }
    ]
}
```

------

 **正确** 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ds-data:DeleteUser",
                "workmail:DeleteUser",
                "workdocs:DeleteUser"
            ],
            "Resource": "*"
        }
    ]
}
```

------