Amazon适用于 的 托管式策略Amazon Directory Service
Amazon 托管式策略是由 Amazon 创建和管理的独立策略。Amazon 托管式策略旨在为许多常见使用场景提供权限,以便您可以开始为用户、组和角色分配权限。
请记住,Amazon 托管策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。
您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新在 Amazon 托管策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 Amazon Web Services 服务 启动或新的 API 操作可用于现有服务时,Amazon 最有可能更新 Amazon 托管策略。
有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管策略。
以下各节描述了特定于 Amazon Directory Service 的 Amazon 托管策略。您可以将这些策略附加到您账户中的用户。
有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略。
Amazon 托管策略:AWSDirectoryServiceFullAccess
您可以将 AWSDirectoryServiceFullAccess 策略附加到 IAM 身份。要查看此策略的全部权限,请参阅《Amazon 托管式策略参考》中的 AWSDirectoryServiceFullAccess。
此策略授予管理权限,允许主体完全访问所有 Amazon Directory Service 操作。拥有这些权限的主体可以创建、配置和管理目录,包括 Simple AD、AD Connector 和 Managed Microsoft AD。此外还可以管理目录共享、信任关系和监控配置。此策略包括管理目录服务所需底层网络基础设施的权限。
权限详细信息
该策略包含以下权限:
-
ds:允许主体完全访问所有 Amazon Directory Service 操作。 -
ec2:允许主体管理网络接口、安全组和描述目录操作所需的 VPC 资源。 -
sns:允许主体创建和管理用于目录监控的 SNS 主题,尤其是名称以“DirectoryMonitoring”开头的主题。 -
iam:允许主体列出进行目录服务操作的 IAM 角色。 -
organizations:允许主体管理 Amazon Organizations 集成以及启用/禁用目录服务的服务访问权限。
Amazon 托管策略:AWSDirectoryServiceReadOnlyAccess
您可以将 AWSDirectoryServiceReadOnlyAccess 策略附加到 IAM 身份。要查看此策略的全部权限,请参阅《Amazon 托管式策略参考》中的 AWSDirectoryServiceReadOnlyAccess。
此策略授予只读权限,允许用户查看 Amazon Directory Service 中的信息。附加此策略的主体无法对目录或其配置进行任何更新。例如,拥有这些权限的主体可以查看目录详细信息、信任关系和监控配置,但无法创建新的目录或修改现有目录。这些主体还可以查看与目录相关的 EC2 网络资源和 SNS 主题。
权限详细信息
该策略包含以下权限:
-
ds:允许用户执行返回目录信息的只读操作。这包括以Check、Describe、Get、List或Verify开头的 API 操作。 -
ec2:允许用户描述与目录服务相关的网络接口、子网和 VPC。 -
sns:允许用户列出和获取用于目录监控的 SNS 主题和订阅相关信息。 -
organizations:允许用户描述与目录服务相关的 Amazon Organizations 账户和服务访问配置。
Amazon 托管策略:AWSDirectoryServiceDataFullAccess
您可以将 AWSDirectoryServiceDataFullAccess 策略附加到 IAM 身份。要查看此策略的全部权限,请参阅《Amazon 托管式策略参考》中的 AWSDirectoryServiceDataFullAccess。
此策略授予管理权限,允许主体完全访问 Directory Service Data 操作。拥有这些权限的主体可以在托管目录中创建、更新和删除 Active Directory 用户和组。他们可以管理组成员资格,启用或禁用用户,以及执行全面的用户和组管理操作。此策略适用于需要以编程方式管理 Active Directory 对象的管理员。
权限详细信息
该策略包含以下权限:
-
ds:允许主体通过 Directory Service Data API 访问目录数据。 -
ds-data:允许主体完全访问所有 Directory Service Data 操作,包括创建、更新和删除用户和组、管理组成员资格以及搜索目录对象。
Amazon 托管策略:AWSDirectoryServiceDataReadOnlyAccess
您可以将 AWSDirectoryServiceDataReadOnlyAccess 策略附加到 IAM 身份。要查看此策略的全部权限,请参阅《Amazon 托管式策略参考》中的 AWSDirectoryServiceDataReadOnlyAccess。
此策略授予只读权限,支持用户查看和搜索托管目录中的 Active Directory 对象。附加此策略的主体无法对用户、组或组成员资格进行任何更新。例如,拥有这些权限的主体可以搜索用户和组、查看用户和组的详细信息以及列出群组成员资格,但无法创建、修改或删除任何目录对象。
权限详细信息
该策略包含以下权限:
-
ds:允许主体通过 Directory Service Data API 访问目录数据。 -
ds-data:允许用户执行返回目录对象信息的只读操作。这包括以Describe、List或Search开头的 API 操作。
AWSDirectoryServiceServiceRolePolicy
您不可以将 AWSDirectoryServiceServiceRolePolicy 策略附加到 IAM 身份。此附加到服务相关角色的策略允许 Amazon Directory Service 代表您执行操作。要查看此策略的权限,请参阅《Amazon 托管式策略参考》中的 AWSDirectoryServiceServiceRolePolicy。
此策略授予支持 Amazon Directory Service 在混合 Active Directory 环境中监控和评估自我管理的域控制器的权限。该服务使用这些权限来运行自动运行状况评估、执行 PowerShell 脚本进行兼容性测试以及收集网络配置信息,以确保具有适当的混合连接和自动恢复功能。
权限详细信息
该策略包含以下权限:
-
ssm:允许该服务向本地域控制器发送 PowerShell 命令,以及检索命令执行结果用于监控和评估用途。 -
ec2:允许该服务描述网络资源,例如 VPC、子网、安全组和网络接口,以验证混合连接配置。
Amazon 托管策略的 IAM 和 Amazon Directory Service 更新
查看从服务开始跟踪这些更改以来,有关 IAM 和 Amazon 托管式策略更新的详细信息。有关此页面更改的自动提示,请订阅 IAM 和 Amazon Directory Service 文档历史记录页面上的 RSS 源。
| 更改 | 描述 | 日期 |
|---|---|---|
|
Amazon Directory Service 添加了一项允许 Amazon 监控客户的自行管理的域控制器的新策略。 |
2025 年 7 月 30 日 | |
|
Amazon Directory Service 添加了新策略,向用户或组授予查看和搜索 AD 用户、成员和组的权限。 |
2024 年 9 月 17 日 | |
|
Amazon Directory Service 添加了新策略,向用户或组授予使用 Directory Service Data 进行内置对象管理的访问权限,以创建、管理和查看 AD 用户、成员和组。 |
2024 年 9 月 17 日 | |
|
Amazon Directory Service 开启了跟踪更改 |
Amazon Directory Service 为其 Amazon 托管式策略开启了跟踪更改。 |
2024 年 9 月 17 日 |