翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# を使用した AWS アプリケーションとサービスの認可 Directory Service
<a name="ad_manage_apps_services_authorization"></a>

 このトピックでは、 および AWS Directory Service Data を使用する AWS アプリケーション AWS Directory Service とサービスの認可について説明します。

## Active Directory での AWS アプリケーションの認可
<a name="ad_manage_apps_services_authorization_ADS"></a>

 Directory Service は、アプリケーションを承認するときに、選択した AWS アプリケーションに Active Directory とシームレスに統合するための特定のアクセス許可を付与します。 AWS アプリケーションには、特定のユースケースに必要なアクセスのみが付与されます。承認後にアプリケーションとアプリケーション管理者に付与される内部アクセス許可のセットは次のとおりです: 

**注記**  
 Active Directory の新しい AWS アプリケーションを認可するには、 アクセス`ds:AuthorizationApplication`許可が必要です。このアクションを実行するアクセス許可は、ディレクトリサービスとの統合を設定する管理者にのみ提供してください。
+  AWS Managed Microsoft AD、Simple AD、AD Connector ディレクトリのすべての組織単位 (OU) の Active Directory ユーザー、グループ、組織単位、コンピュータ、または認証機関データへの読み取りアクセス、および信頼関係で許可されている場合は AWS Managed Microsoft AD の信頼されたドメインへの読み取りアクセス。
+  AWS Managed Microsoft AD の組織単位のユーザー、グループ、グループメンバーシップ、コンピュータ、または認証機関データへの書き込みアクセス。Simple AD のすべての OU への書き込みアクセス。
+ すべてのディレクトリタイプの Active Directory ユーザーの認証とセッション管理。

Amazon RDS や Amazon FSx などの特定の AWS Managed Microsoft AD アプリケーションは、Active Directory への直接ネットワーク接続を介して統合されます。この場合、ディレクトリインタラクションには LDAP や Kerberos などのネイティブの Active Directory プロトコルが使用されます。これらの AWS アプリケーションのアクセス許可は、アプリケーション認可中に AWS リザーブド組織単位 (OU) で作成されたディレクトリユーザーアカウントによって制御されます。これには、DNS 管理と、アプリケーション用に作成されたカスタム OU へのフルアクセスが含まれます。このアカウントを使用するには、アプリケーションに呼び出し元の認証情報または IAM ロールを介した `ds:GetAuthorizedApplicationDetails` アクションへのアクセス許可が必要です。

 Directory Service API アクセス許可の詳細については、「」を参照してください[Directory Service API アクセス許可: アクション、リソース、および条件リファレンス](UsingWithDS_IAM_ResourcePermissions.md)。

 AWS Managed Microsoft AD の AWS アプリケーションとサービスを有効にする方法の詳細については、「」を参照してください[AWS Managed Microsoft AD から AWS アプリケーションとサービスへのアクセス](ms_ad_manage_apps_services.md)。Simple AD の AWS アプリケーションとサービスの有効化の詳細については、「」を参照してください[Simple AD からの AWS アプリケーションとサービスへのアクセス](simple_ad_manage_apps_services.md)。AD Connector の AWS アプリケーションとサービスを有効にする方法については、「」を参照してください[AD Connector からの AWS アプリケーションとサービスへのアクセス](ad_connector_manage_apps_services.md)。

**Active Directory での AWS アプリケーションの認証解除**  
 AWS アプリケーションが Active Directory にアクセスするための`ds:UnauthorizedApplication`アクセス許可を削除するには、 アクセス許可が必要です。アプリケーションに表示される指示に従ってそれを無効化します。

## AWS Directory Service Data を使用したアプリケーション認可
<a name="ad_manage_apps_services_authorization_ADSD"></a>

 AWS Managed Microsoft AD ディレクトリの場合、 Directory Service Data (ds-data) API は、ユーザーとグループの管理タスクへのプログラムによるアクセスを提供します。 AWS アプリケーションの認可モデルは Directory Service Data のアクセスコントロールとは別のものです。つまり、Directory Service Data アクションのアクセスポリシーは、 AWS アプリケーションの認可には影響しません。ds-data のディレクトリへのアクセスを拒否しても、 AWS アプリケーション統合や AWS アプリケーションのユースケースが中断されることはありません。

 AWS アプリケーションを許可する AWS Managed Microsoft AD ディレクトリのアクセスポリシーを作成するときは、承認された AWS Application または Directory Service Data API を呼び出すことで、ユーザーとグループの機能が利用可能になる可能性があることに注意してください。Amazon WorkDocs、Amazon WorkMail、Amazon WorkSpaces、Amazon Quick、Amazon Chime はすべてAPIs でユーザーとグループの管理アクションを提供します。IAM ポリシーを使用して、この AWS アプリケーション機能へのアクセスを制御します。

**例**  
 次のスニペットは、WorkDocs や Amazon WorkMail などの AWS アプリケーションがディレクトリで承認されている場合に、正しくない方法で`DeleteUser`機能を拒否する方法を示しています。

 **正確ではない** 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ds-data:DeleteUser"
            ],
            "Resource": "*"
        }
    ]
}
```

------

 **正確** 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ds-data:DeleteUser",
                "workmail:DeleteUser",
                "workdocs:DeleteUser"
            ],
            "Resource": "*"
        }
    ]
}
```

------