AWS Políticas de administradas por para AWS Directory Service
Una política administrada de AWS es una política independiente que AWS crea y administra. Las políticas administradas de AWS se diseñan para ofrecer permisos para muchos casos de uso comunes, por lo que puede empezar a asignar permisos a los usuarios, grupos y roles.
Considere que es posible que las políticas administradas de AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.
No puede cambiar los permisos definidos en las políticas administradas de AWS. Si AWS actualiza los permisos definidos en una política administrada de AWS, la actualización afecta a todas las identidades de entidades principales (usuarios, grupos y roles) a las que está adjunta la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo Servicio de AWS o las operaciones de la API nuevas estén disponibles para los servicios existentes.
Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.
En las siguientes secciones se describen las políticas administradas de AWS específicas de Directory Service. Puede adjuntar estas políticas a los usuarios de su cuenta.
Para obtener más información, consulte Políticas administradas por AWS en la Guía del usuario de IAM.
AWS Política administrada de: AWSDirectoryServiceFullAccess
Puede adjuntar la política AWSDirectoryServiceFullAccess a las identidades de IAM. Para ver los permisos completos de esta política, consulte AWSDirectoryServiceFullAccess en la Referencia de la política administrada de AWS.
Esta política otorga permisos administrativos que brindan a una entidad principal acceso completo a todas las acciones de Directory Service. Las entidades principales con estos permisos pueden crear, configurar y administrar directorios, incluidos Simple AD, Conector AD y Managed Microsoft AD. También pueden administrar el uso compartido de directorios, las relaciones de confianza y las configuraciones de monitoreo. Esta política incluye permisos para administrar la infraestructura de red subyacente necesaria para los servicios de directorio.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
ds: permite a las entidades principales obtener acceso completo a todas las acciones de Directory Service. -
ec2: permite a las entidades principales administrar las interfaces de red y los grupos de seguridad y describir los recursos de VPC necesarios para las operaciones de directorio. -
sns: permite a las entidades principales crear y administrar temas de SNS para el monitoreo de directorios, específicamente temas cuyos nombres comienzan por “DirectoryMonitoring”. -
iam: permite que las entidades principales enumeren los roles de IAM para las operaciones de servicios de directorios. -
organizations: permite a las entidades principales administrar la integración de las organizaciones de AWS y habilitar/deshabilitar el acceso a los servicios de directorio.
AWS Política administrada de: AWSDirectoryServiceReadOnlyAccess
Puede adjuntar la política AWSDirectoryServiceReadOnlyAccess a las identidades de IAM. Para ver los permisos completos de esta política, consulte AWSDirectoryServiceReadOnlyAccess en la Referencia de políticas administradas de AWS.
Esta política concede permisos de solo lectura que permiten a los usuarios ver información en Directory Service. Las entidades principales que cuentan con esta política adjunta no pueden actualizar los directorios ni sus configuraciones. Por ejemplo, las entidades principales con estos permisos pueden ver los detalles del directorio, las relaciones de confianza y las configuraciones de monitoreo, pero no pueden crear directorios nuevos ni modificar los existentes. También se pueden ver los recursos de red de EC2 relacionados y los temas de SNS asociados a los directorios.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
ds: permite a los usuarios realizar acciones de solo lectura que devuelven información del directorio. Esto incluye las operaciones de la API que comienzan conDescribe,List,Check,GetoVerify. -
ec2: permite a los usuarios describir las interfaces de red, las subredes y las VPC asociadas a los servicios de directorio. -
sns: permite a los usuarios enumerar y obtener información sobre los temas de SNS y las suscripciones que se utilizan para el monitoreo de directorios. -
organizations: permite a los usuarios describir las configuraciones de acceso a las cuentas y los servicios de AWS Organizations relacionadas con los servicios de directorio.
AWS Política administrada de: AWSDirectoryServiceDataFullAccess
Puede adjuntar la política AWSDirectoryServiceDataFullAccess a las identidades de IAM. Para ver los permisos completos de esta política, consulte AWSDirectoryServiceDataFullAccess en la Referencia de la política administrada de AWS.
Esta política concede permisos administrativos que brindan a una entidad principal acceso completo a todas las acciones de Directory Service Data. Las entidades principales con estos permisos pueden crear, actualizar y eliminar usuarios y grupos de Active Directory en los directorios administrados. Pueden administrar la pertenencia a grupos, habilitar o deshabilitar usuarios y realizar operaciones integrales de administración de usuarios y grupos. Esta política está diseñada para los administradores que necesitan administrar los objetos de Active Directory mediante programación.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
ds: permite que las entidades principales accedan a los datos del directorio a través de la API de Directory Service Data. -
ds-data: permite a las entidades principales el acceso total a todas las operaciones de Directory Service Data, incluidas la creación, actualización y eliminación de usuarios y grupos, la administración de la pertenencia a grupos y la búsqueda de objetos de directorio.
AWS Política administrada de: AWSDirectoryServiceDataReadOnlyAccess
Puede adjuntar la política AWSDirectoryServiceDataReadOnlyAccess a las identidades de IAM. Para ver los permisos completos de esta política, consulte AWSDirectoryServiceDataReadOnlyAccess en la Referencia de la política administrada de AWS.
Esta política concede permisos de solo lectura que permiten a los usuarios la visualización y la búsqueda de objetos de Active Directory en directorios administrados. Las entidades principales que cuentan con esta política adjunta no pueden actualizar usuarios, grupos ni pertenencias a grupos. Por ejemplo, las entidades principales con estos permisos pueden buscar usuarios y grupos, ver los detalles de los usuarios y de los grupos y enumerar la pertenencia de los grupos, pero no pueden crear, modificar ni eliminar ningún objeto de directorio.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
ds: permite que las entidades principales accedan a los datos del directorio a través de la API de Directory Service Data. -
ds-data: permite a los usuarios realizar acciones de solo lectura que devuelven información sobre los objetos del directorio. Esto incluye las operaciones de la API que comienzan conDescribe,ListoSearch.
AWSDirectoryServiceServiceRolePolicy
No puede adjuntar la política AWSDirectoryServiceServiceRolePolicy a las identidades de IAM. Esta política está asociada a un rol vinculado a un servicio que permite a AWS Directory Service servicio realizar acciones por usted. Para ver los permisos completos de esta política, consulte AWSDirectoryServiceServiceRolePolicy en la Referencia de la política administrada de AWS.
Esta política concede permisos que permiten que Directory Service monitoree y evalúe los controladores de dominio autoadministrados en entornos híbridos de Active Directory. El servicio usa estos permisos para ejecutar evaluaciones de estado automatizadas, ejecutar scripts de PowerShell para realizar pruebas de compatibilidad y recopilar información de configuración de red a fin de garantizar una conectividad híbrida adecuada y capacidades de recuperación automatizada.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
ssm: permite que el servicio envíe comandos de PowerShell a controladores de dominio en las instalaciones y recupere los resultados de la ejecución de comandos con fines de monitoreo y evaluación. -
ec2: permite que el servicio describa los recursos de la red, como las VPC, las subredes, los grupos de seguridad y las interfaces de red, para validar las configuraciones de conectividad híbrida.
Actualizaciones de IAM y Directory Service en las políticas administradas de AWS
Es posible consultar los detalles sobre las actualizaciones de las políticas administradas de AWS e IAM, ya que el servicio comenzó a hacer el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en las páginas de historial de documentos de IAM y Directory Service.
| Cambio | Descripción | Fecha |
|---|---|---|
|
AWSDirectoryServiceServiceRolePolicy: política nueva |
Directory Service agregó una nueva política que permite que AWS monitoree los controladores de dominio autoadministrados de un cliente. |
30 de julio de 2025 |
|
AWS Política administrada de: AWSDirectoryServiceDataReadOnlyAccess: política nueva |
Directory Service agregó una política nueva que otorga acceso a un usuario o grupo para ver y buscar usuarios, miembros y grupos de AD. |
17 de septiembre de 2024 |
|
AWS Política administrada de: AWSDirectoryServiceDataFullAccess: política nueva |
Directory Service agregó una política nueva para permitir a un usuario o grupo acceder a la administración de objetos integrada con Directory Service Data para crear, administrar y ver los usuarios, miembros y grupos de AD. |
17 de septiembre de 2024 |
|
Directory Service comenzó el seguimiento de los cambios |
Directory Service comenzó el seguimiento de los cambios de las políticas administradas de AWS. |
17 de septiembre de 2024 |
