本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS 的應用程式和服務授權 Directory Service
本主題說明使用 和 AWS Directory Service AWS Directory Service Data AWS 的應用程式和服務授權
在 Active Directory 上授權 AWS 應用程式
Directory Service 當您授權應用程式時, 會授予特定許可,讓所選 AWS 應用程式與 Active Directory 無縫整合。 AWS 應用程式只會獲得其特定使用案例所需的存取權。以下是授權後授予應用程式和應用程式管理員的一組內部許可:
注意
需要 ds:AuthorizationApplication許可才能授權 Active Directory 的新 AWS 應用程式。僅應向設定目錄服務整合的管理員提供此動作的許可。
在 AWS Managed Microsoft AD、Simple AD、AD Connector 目錄的所有組織單位 (OU),以及 AWS Managed Microsoft AD 的受信任網域中,對 Active Directory 使用者、群組、組織單位、電腦或憑證授權單位資料的讀取存取權。
寫入存取權給 AWS Managed Microsoft AD 組織單位中的使用者、群組、群組成員資格、電腦或認證授權單位資料。對 Simple AD 的所有 OU 具有的寫入權限。
所有目錄類型 Active Directory 使用者的驗證和工作階段管理。
Amazon RDS 和 Amazon FSx 等特定 AWS Managed Microsoft AD 應用程式透過直接網路連線與您的 Active Directory 整合。在這種情況下,目錄互動使用本機 Active Directory 協定,例如 LDAP 和 Kerberos。這些 AWS 應用程式的許可是由應用程式授權期間在 AWS 預留組織單位 (OU) 中建立的目錄使用者帳戶所控制,其中包括 DNS 管理和為應用程式建立的自訂 OU 的完整存取權。為了使用此帳戶,應用程式需要透過呼叫者憑證或 IAM 角色來取得 ds:GetAuthorizedApplicationDetails 動作的許可。
如需 Directory Service API 許可的詳細資訊,請參閱 Directory Service API 許可:動作、資源和條件參考。
如需為 AWS Managed Microsoft AD 啟用 AWS 應用程式和服務的詳細資訊,請參閱 從 AWS Managed Microsoft AD 存取 AWS 應用程式和服務。如需為 Simple AD 啟用 AWS 應用程式和服務的詳細資訊,請參閱 從 Simple AD 存取 AWS 應用程式和服務。如需啟用 AD Connector AWS 應用程式和服務的詳細資訊,請參閱 從 AD Connector 存取 AWS 應用程式和服務。
在 Active Directory 上取消授權 AWS 應用程式
需要 ds:UnauthorizedApplication許可才能移除 AWS 應用程式存取 Active Directory 的許可。遵循應用程式提供的程序來停用它。
AWS 具有 Directory Service Data 的應用程式授權
對於 AWS Managed Microsoft AD 目錄, Directory Service Data (ds-data) API 提供使用者和群組管理任務的程式設計存取權。 AWS 應用程式的授權模式與 Directory Service Data 的存取控制不同,這表示 Directory Service Data 動作的存取政策不會影響 AWS 應用程式的授權。拒絕存取 ds-data 中的目錄不會中斷 AWS 應用程式整合或 AWS 應用程式的使用案例。
為授權 AWS 應用程式的 AWS Managed Microsoft AD 目錄撰寫存取政策時,請注意使用者和群組功能可能可透過呼叫授權 AWS 的應用程式或目錄服務資料 API 來使用。Amazon WorkDocs、Amazon WorkMail、Amazon WorkSpaces、Amazon Quick 和 Amazon Chime 在其 APIs 中提供使用者和群組管理動作。使用 IAM 政策控制對 AWS 此應用程式功能的存取。
範例
下列程式碼片段顯示當 WorkDocs 和 Amazon WorkMail 等 AWS 應用程式在 目錄中獲得授權時,拒絕DeleteUser功能的不正確正確方法。
不正確
正確
