AWS Managed Microsoft AD でのユーザーとグループの管理 - AWS Directory Service
AWS Management ConsoleAWS CLIAWS Tools for PowerShellオンプレミスまたは Amazon EC2インスタンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Managed Microsoft AD でのユーザーとグループの管理

AWS Managed Microsoft AD でユーザーとグループを管理できます。ディレクトリにアクセスできる個人またはエンティティを表すユーザーを作成します。また、一度に複数のユーザーに許可を付与および拒否するグループを作成することもできます。ユーザーをグループに追加するだけでなく、グループをグループに追加することもできます。  ユーザーをグループに追加すると、ユーザーはグループに割り当てられたロールとアクセス許可を継承します。グループにグループを追加すると、グループは親子関係を共有し、子グループは親グループに割り当てられたロールとアクセス許可を継承します。ユーザーのグループメンバーシップを別のユーザーにコピーすることもできます。

AWS Directory Service Data でユーザーとグループを管理するには、次の方法を使用します:

AWS Directory Service Data のデモについてはCLI、以下を参照してください。YouTube 動画。

または、「ドメイン結合インスタンス」を使用することもできます。

AWS Management Consoleでユーザーとグループを管理する

AWS Directory Service Data を使用して AWS Management Console でユーザーとグループを管理できます。Directory Service Data は、組み込みオブジェクト管理タスクを実行する機能 AWS Directory Service を提供する の拡張機能です。これらのタスクには、ユーザーとグループの作成、グループへのユーザーの追加、グループへのグループの追加などがあります。

詳細については、「AWS Management Consoleで AWS Managed Microsoft AD ユーザーとグループの管理」を参照してください。

注記

この機能を使用するには、それを有効にする必要があります。詳細については、「ユーザーおよびグループ管理の有効化」を参照してください。

ディレクトリのプライマリ AWS Management Console AWS リージョン から を使用してのみ、ユーザーとグループを管理できます。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。

AWS Directory Service Data を使用するには、必要なIAMアクセス許可が必要です。詳細については、「AWS Directory Service API アクセス許可: アクション、リソース、および条件リファレンス」を参照してください。ユーザーとワークロードへのアクセス許可の付与を開始するには、 AWSDirectoryServiceDataFullAccessや などの AWS 管理ポリシーを使用できますAWSDirectoryServiceDataReadOnlyAccess。詳細については、「 のセキュリティのベストプラクティスIAM」を参照してください。

AWS CLIでユーザーとグループを管理する

AWS Directory Service Data API AWS CLI を使用して、 でユーザーとグループを管理できます。Directory Service Data は、 ds-data名前空間を使用して組み込みオブジェクト管理タスクを実行する機能 AWS Directory Service を提供する の拡張機能です。これらのタスクには、ユーザーとグループの作成、グループへのユーザーの追加、グループへのグループの追加などがあります。

AWS Directory Service Data を使用してユーザーを作成する CLI

ds-data 名前空間を使用してユーザーを作成する AWS CLI コマンドの例を次に示します。

aws ds-data create-user --directory-id d-1234567890 --sam-account-name "jane.doe" --region your-Primary-Region-name
注記

これを使用するには AWS CLI、有効にする必要があります。詳細については、「ユーザーとグループの管理または AWS Directory Service Data の有効化または無効化」を参照してください。

ディレクトリのプライマリCLIから AWS Directory Service Data を使用してのみ、ユーザーとグループを管理 AWS リージョン できます。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。

AWS Directory Service Data を使用するには、必要なIAMアクセス許可が必要です。詳細については、「AWS Directory Service API アクセス許可: アクション、リソース、および条件リファレンス」を参照してください。ユーザーとワークロードへのアクセス許可の付与を開始するには、 AWSDirectoryServiceDataFullAccessや などの AWS 管理ポリシーを使用できます。 AWSDirectoryServiceDataReadOnlyAccess詳細については、「 のセキュリティのベストプラクティス」を参照してください。 IAM

詳細については、「AWS CLIで AWS Managed Microsoft AD ユーザーとグループの管理」を参照してください。

でユーザーとグループを管理する AWS Tools for PowerShell

AWS Tools for PowerShell には、 (DS) と AWS Directory ServiceAWS.Tools.DirectoryService () の 2 つの管理用モジュールAWS.Tools.DirectoryServiceDataが用意されていますDSD。を使用する場合は AWS Directory Service、目的のオペレーションに適したモジュールを使用していることを確認してください。

  • DirectoryService モジュールには、、、 などのコマンドレットなど、ディレクトリサービスの設定Enable-DSDirectoryDataAccessDisable-DSDirectoryDataAccessと管理を管理するためのコマンドレットが含まれていますReset-DSUserPassword

  • DirectoryServiceData モジュールには、特にユーザーとグループの管理に重点を置いた、ディレクトリ内でオペレーションを実行するためのコマンドレットが含まれています。これらのDSDコマンドレットには、ユーザー管理オペレーション (New-DSDUserGet-DSDUserUpdate-DSDUser、および Remove-DSDUserNew-DSDGroup、グループ管理オペレーション (Get-DSDGroup、、および Update-DSDGroupRemove-DSDGroup)、グループメンバーシップ管理 (Add-DSDGroupMember、および Remove-DSDGroupMember)、検索機能 (Search-DSDUser および ) が含まれますSearch-DSDGroup

オンプレミスインスタンスまたは Amazon EC2インスタンスを使用してユーザーとグループを管理する

AWS Directory Service Data がユースケースをサポートしていない場合は、オンプレミスまたはEC2インスタンスを使用してユーザーとグループを管理することをお勧めします。

AWS Managed Microsoft AD でユーザーとグループを作成するには、 Managed Microsoft AD に結合された任意のインスタンス (オンプレミスまたは からEC2) AWS を使用できます。また、ユーザーとグループを作成する権限を持つユーザーとしてログインしている必要があります。また、Active Directory インスタンス上のツール。 を使用してユーザーとグループを追加できます。Active Directory ユーザーとコンピュータツール。

トピック