Gestion des utilisateurs et des groupes dans AWS Managed Microsoft AD - AWS Directory Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des utilisateurs et des groupes dans AWS Managed Microsoft AD

Vous pouvez gérer les utilisateurs et les groupes dans AWS Managed Microsoft AD. Vous créez un utilisateur pour représenter une personne ou une entité pouvant accéder à votre annuaire. Vous pouvez également créer un groupe pour accorder ou refuser des autorisations à plusieurs utilisateurs à la fois. Vous pouvez ajouter non seulement des utilisateurs à un groupe, mais également des groupes à un groupe. Lorsque vous ajoutez un utilisateur à un groupe, celui-ci hérite des rôles et des autorisations attribués au groupe. Lorsque vous ajoutez un groupe à un groupe, les groupes partagent une relation parent-enfant, dans laquelle le groupe enfant hérite des rôles et des autorisations attribués au groupe parent. Vous pouvez également copier les adhésions d'un utilisateur à un groupe dans un autre utilisateur.

Vous pouvez gérer les utilisateurs et les groupes à AWS Données du Directory Service l'aide des méthodes suivantes :

Pour une démonstration des données du AWS Directory ServiceCLI, consultez ce qui suit YouTube vidéo.

Vous pouvez également utiliser une instance jointe à un domaine.

Gérez les utilisateurs et les groupes à l'aide du AWS Management Console

Vous pouvez gérer les utilisateurs et les groupes AWS Management Console avec les données du service de AWS répertoire. Directory Service Data est une extension AWS Directory Service qui vous permet d'effectuer des tâches de gestion d'objets intégrées. Certaines de ces tâches incluent la création d'utilisateurs et de groupes et l'ajout d'utilisateurs à des groupes ainsi que de groupes à un groupe.

Pour plus d'informations, voir Gérer les utilisateurs et les groupes Microsoft AD AWS gérés avec le AWS Management Console.

Note

Pour utiliser cette fonctionnalité, elle doit être activée. Pour plus d'informations, voir Activer la gestion des utilisateurs et des groupes.

Vous ne pouvez gérer les utilisateurs et les groupes qu' AWS Management Console à l'aide du menu principal Région AWS de votre annuaire. Pour plus d'informations, voir Régions principales et régions supplémentaires.

Vous devez disposer des IAM autorisations nécessaires pour utiliser AWS Directory Service Data. Pour de plus amples informations, veuillez consulter AWS Directory Service APIautorisations : référence aux actions, aux ressources et aux conditions. Pour commencer à accorder des autorisations à vos utilisateurs et à vos charges de travail, vous pouvez utiliser des politiques AWS gérées telles que AWSDirectoryServiceDataFullAccess ouAWSDirectoryServiceDataReadOnlyAccess. Pour plus d'informations, consultez la section Bonnes pratiques en matière de sécurité dans IAM.

Gérez les utilisateurs et les groupes à l'aide du AWS CLI

Vous pouvez gérer les utilisateurs et les groupes à l' AWS CLI aide des données du AWS Directory Service API. Directory Service Data est une extension AWS Directory Service qui vous permet d'effectuer des tâches de gestion d'objets intégrées à l'aide de l'espace de ds-data noms. Certaines de ces tâches incluent la création d'utilisateurs et de groupes et l'ajout d'utilisateurs à des groupes ainsi que de groupes à un groupe.

Création d'un utilisateur avec les données du AWS Directory Service CLI

Voici un exemple de AWS CLI commande qui utilise l'espace de ds-data noms pour créer un utilisateur.

aws ds-data create-user --directory-id d-1234567890 --sam-account-name "jane.doe" --region your-Primary-Region-name
Note

Pour l'utiliser AWS CLI, il faut l'activer. Pour de plus amples informations, veuillez consulter Activation ou désactivation de la gestion des utilisateurs et des groupes ou des données du AWS Directory Service.

Vous ne pouvez gérer les utilisateurs et les groupes qu'avec les données CLI du service d' AWS annuaire provenant du répertoire principal Région AWS de votre annuaire. Pour plus d'informations, voir Régions principales et régions supplémentaires.

Vous devez disposer des IAM autorisations nécessaires pour utiliser AWS Directory Service Data. Pour de plus amples informations, veuillez consulter AWS Directory Service APIautorisations : référence aux actions, aux ressources et aux conditions. Pour commencer à accorder des autorisations à vos utilisateurs et à vos charges de travail, vous pouvez utiliser des politiques AWS gérées telles que. AWSDirectoryServiceDataFullAccessouAWSDirectoryServiceDataReadOnlyAccess. Pour plus d'informations, consultez la section Bonnes pratiques en matière de sécurité dans IAM

Pour plus d'informations, voir Gérer les utilisateurs et les groupes Microsoft AD AWS gérés avec le AWS CLI.

Gérez les utilisateurs et les groupes avec AWS Tools for PowerShell

AWS Tools for PowerShellIl fournit deux modules distincts pour la gestion AWS Directory Service : AWS.Tools.DirectoryService (DS) et AWS.Tools.DirectoryServiceData (DSD). Lorsque vous travaillez avec AWS Directory Service, assurez-vous d'utiliser le module approprié pour l'opération prévue.

  • Le DirectoryService module contient des applets de commande pour gérer la configuration et l'administration des services d'annuaire, notamment des applets de commande tels queEnable-DSDirectoryDataAccess, et. Disable-DSDirectoryDataAccess Reset-DSUserPassword

  • Le DirectoryServiceData module contient des applets de commande permettant d'effectuer des opérations dans un répertoire, spécifiquement axées sur la gestion des utilisateurs et des groupes. Ces DSD applets de commande incluent les opérations de gestion des utilisateurs (New-DSDUserGet-DSDUser,Update-DSDUser, etRemove-DSDUser), les opérations de gestion des groupes (New-DSDGroup,Get-DSDGroup, etRemove-DSDGroup)Update-DSDGroup, la gestion des membres des groupes (Add-DSDGroupMemberetRemove-DSDGroupMember) et les fonctionnalités de recherche (Search-DSDUseretSearch-DSDGroup).

Gérez les utilisateurs et les groupes avec une instance sur site ou une instance Amazon EC2

Si les données du AWS Directory Service ne conviennent pas à votre cas d'utilisation, nous vous recommandons de gérer les utilisateurs et les groupes à l'aide d'une EC2 instance ou d'une instance sur site.

Pour créer des utilisateurs et des groupes dans un Microsoft AD AWS géré, vous pouvez utiliser n'importe quelle instance (locale ouEC2) jointe à votre Microsoft AD AWS géré. Vous devez être connecté en tant qu'utilisateur autorisé à créer des utilisateurs et des groupes. Vous devrez également installer le Active Directory Des outils sur votre instance vous permettant d'ajouter vos utilisateurs et vos groupes à l'aide du Active Directory Outil pour les utilisateurs et les ordinateurs.