Autorización para las aplicaciones y servicios de AWS que utilizan Directory Service - AWS Directory Service
Autorización de una aplicación de AWS en un Active Directory Autorización de aplicaciones de AWS con Directory Service Data

Autorización para las aplicaciones y servicios de AWS que utilizan Directory Service

En este tema se describe la autorización para las aplicaciones y servicios de AWS mediante AWS Directory Service y AWS Directory Service Data.

Autorización de una aplicación de AWS en un Active Directory

Directory Service concede permisos específicos para que las aplicaciones seleccionadas se integren sin problemas con Active Directory al autorizar una aplicación de AWS. A las aplicaciones de AWS solo se les concede el acceso necesario para su caso de uso. A continuación se detalla el conjunto de permisos internos que se conceden a las aplicaciones y a los administradores de aplicaciones tras la autorización:

nota

El permiso ds:AuthorizationApplication es necesario para autorizar una nueva aplicación de AWS en Active Directory. Los permisos para esta acción solo se deben proporcionar a los administradores que configuran las integraciones con Directory Service.

  • Acceso de lectura a los datos de usuarios, grupos, unidades organizativas, equipos o entidades de certificación de Active Directory en todas las unidades organizativas (OU) de los directorios de AWS Managed Microsoft AD, Simple AD y Conector AD, así como en los dominios de confianza de AWS Managed Microsoft AD, si lo permite una relación de confianza.

  • Escriba el acceso a los datos de usuarios, grupos, miembros de grupos, equipos o entidades de certificación en su unidad organizativa de AWS Managed Microsoft AD. Acceso por escrito a todas las unidades organizativas de Simple AD.

  • Autenticación y administración de sesiones de los usuarios de Active Directory para todos los tipos de directorios.

Algunas aplicaciones de AWS Managed Microsoft AD, como Amazon RDS y Amazon FSx, se integran mediante una conexión de red directa a Active Directory. En este caso, las interacciones de los directorios utilizan protocolos nativos de Active Directory, como LDAP y Kerberos. Los permisos de estas aplicaciones de AWS se controlan mediante una cuenta de usuario del directorio creada en la unidad organizativa (OU) reservada de AWS durante la autorización de la aplicación, que incluye la administración del DNS y el acceso total a una OU personalizada creada para la aplicación. Para poder utilizar esta cuenta, la aplicación necesita permisos para la acción ds:GetAuthorizedApplicationDetails mediante las credenciales de la persona que llama o un rol de IAM.

Para obtener más información sobre los permisos de la API de Directory Service, consulte Directory ServicePermisos de la API de : referencia de acciones, recursos y condiciones.

Para obtener más información sobre cómo habilitar las aplicaciones y servicios de AWS para AWS Managed Microsoft AD, consulte Acceso a las aplicaciones y los servicios de AWS desde el AWS Managed Microsoft AD. Para obtener más información sobre cómo habilitar las aplicaciones y servicios de AWS para Simple AD, consulte Acceso a las aplicaciones y los servicios de AWS desde su Simple AD. Para obtener información sobre cómo habilitar las aplicaciones y servicios de AWS para Conector AD, consulte Acceso a las aplicaciones y los servicios de AWS desde el Conector AD.

Anulación de la autorización de una aplicación de AWS en un Active Directory

Para eliminar los permisos de una aplicación de AWS para tener acceso a Active Directory, se requiere el permiso ds:UnauthorizedApplication. Siga el procedimiento que se indica en la aplicación para deshabilitarla.

Autorización de aplicaciones de AWS con Directory Service Data

Para los directorios de AWS Managed Microsoft AD, la API de Directory Service Data (ds-data) proporciona acceso mediante programación a las tareas de administración de usuarios y grupos. El modelo de autorización de las aplicaciones de AWS es independiente de los controles de acceso de Directory Service Data, lo que significa que las políticas de acceso para las acciones de Directory Service Data no afectan a la autorización de las aplicaciones de AWS. Denegar el acceso a un directorio en ds-data no interrumpirá la integración de AWS Application ni los casos de uso de las aplicaciones de AWS.

Al escribir políticas de acceso para los directorios de AWS Managed Microsoft AD que autorizan aplicaciones de AWS, tenga en cuenta que la funcionalidad de usuario y grupo puede estar disponible llamando a una API de AWS Application or Directory Service Data autorizada. Amazon WorkDocs, Amazon WorkMail, Amazon WorkSpaces, Amazon Quick Suite y Amazon Chime proporcionan acciones de administración de usuarios y grupos en las API. Controle el acceso a la funcionalidad de esta aplicación de AWS con las políticas de IAM.

Ejemplos

Los siguientes fragmentos muestran las formas correctas e incorrectas de denegar la funcionalidad de DeleteUser cuando las aplicaciones de AWS, como WorkDocs y Amazon WorkMail, están autorizadas en el directorio.

Incorrecto

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ds-data:DeleteUser"
            ],
            "Resource": "*"
        }
    ]
}

Correcto

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ds-data:DeleteUser",
                "workmail:DeleteUser",
                "workdocs:DeleteUser"
            ],
            "Resource": "*"
        }
    ]
}