Gerenciamento de usuários e grupos no AWS Managed Microsoft AD
Você pode gerenciar usuários e grupos no AWS Managed Microsoft AD. Você cria um usuário para representar uma pessoa ou entidade que pode acessar seu diretório. Você também pode criar um grupo para conceder e negar permissões a mais de um usuário ao mesmo tempo. Você pode adicionar não apenas usuários a um grupo, mas também grupos a um grupo. Quando você adiciona um usuário a um grupo, o usuário herda os perfis e as permissões atribuídas ao grupo. Quando você adiciona um grupo a um grupo, os grupos compartilham uma relação pai e filho, em que o grupo filho herda os perfis e as permissões atribuídas ao grupo pai. Você também pode copiar as associações do grupo de um usuário para outro usuário.
Você pode gerenciar usuários e grupos com AWS Directory Service Data usando os seguintes métodos:
Para obter uma demonstração da CLI do AWS Directory Service Data, assista ao vídeo do YouTube a seguir.
Como alternativa, você pode usar uma instância associada ao domínio.
Gerenciar usuários e grupos com o AWS Management Console
Você pode gerenciar usuários e grupos com o AWS Management Console e o AWS Directory Service Data. O Directory Service Data é uma extensão do AWS Directory Service que fornece a capacidade de realizar tarefas integradas de gerenciamento de objetos. Algumas dessas tarefas incluem criar usuários e grupos e adicionar usuários a grupos, bem como grupos a um grupo.
Para obter mais informações, consulte Manage AWS Managed Microsoft AD users and groups with the AWS Management Console.
nota
Para usar esse recurso, ele deve estar habilitado. Para obter mais informações, consulte Enable user and group management.
Você só pode gerenciar usuários e grupos com o AWS Management Console da Região da AWS primária do diretório. Para obter mais informações, consulte Primary vs additional Regions.
Você precisará das permissões necessárias do IAM para usar o AWS Directory Service Data. Para ter mais informações, consulte Permissões da API do AWS Directory Service: referência de ações, recursos e condições. Para começar a conceder permissões a usuários e workloads, é possível usar políticas gerenciadas da AWS como AWSDirectoryServiceDataFullAccess ou AWSDirectoryServiceDataReadOnlyAccess. Para obter mais informações, consulte Práticas recomendadas de segurança no IAM.
Gerenciar usuários e grupos com o AWS CLI
Você pode gerenciar usuários e grupos com a AWS CLI por meio da da API do AWS Directory Service Data. O Directory Service Data é uma extensão do AWS Directory Service que fornece a capacidade de realizar tarefas integradas de gerenciamento de objetos usando o namespace ds-data
. Algumas dessas tarefas incluem criar usuários e grupos e adicionar usuários a grupos, bem como grupos a um grupo.
Criação de um usuário com a CLI do AWS Directory Service Data
Confira a seguir um exemplo de comando da AWS CLI que usa o namespace ds-data
para criar um usuário.
aws ds-data create-user --directory-id
d-1234567890
--sam-account-name"jane.doe"
--regionyour-Primary-Region-name
nota
Para usar essa AWS CLI, ele deve estar habilitado. Para ter mais informações, consulte Como habilitar ou desabilitar o gerenciamento de usuários e grupos ou o AWS Directory Service Data.
Você só pode gerenciar usuários e grupos com a CLI do AWS Directory Service Data na Região da AWS primária do diretório. Para obter mais informações, consulte Primary vs additional Regions.
Você precisará das permissões necessárias do IAM para usar o AWS Directory Service Data. Para ter mais informações, consulte Permissões da API do AWS Directory Service: referência de ações, recursos e condições. Para começar a conceder permissões a usuários e workloads, é possível usar políticas gerenciadas da AWS, como AWSDirectoryServiceDataFullAccess ou AWSDirectoryServiceDataReadOnlyAccess. Para obter mais informações, consulte Práticas recomendadas de segurança no IAM.
Para obter mais informações, consulte Manage AWS Managed Microsoft AD users and groups with the AWS CLI.
Gerenciamento de usuários e grupos com uma instância on-premises ou uma instância do Amazon EC2
Se o AWS Directory Service Data não for compatível com seu caso de uso, recomendamos gerenciar usuários e grupos com uma instância on-premises ou do EC2.
Para criar usuários e grupos em um AWS Managed Microsoft AD, é possível usar qualquer instância (on-premises ou do EC2) que tenha sido associada ao AWS Managed Microsoft AD. É necessário estar conectado como um usuário com privilégios para criar usuários e grupos. Você também precisará instalar ferramentas do Active Directory na instância para que possa adicionar usuários e grupos com a ferramenta Usuários e computadores do Active Directory.
-
Você pode implantar uma instância do EC2 pré-configurada com ferramentas administrativas do Active Directory pré-instaladas usando o console de gerenciamento do AWS Directory Service. Para ter mais informações, consulte Inicialização de uma instância de administração de diretórios no AWS Managed Microsoft AD Active Directory.
-
Se você precisar implantar uma instância do EC2 autogerenciada com ferramentas administrativas e instalar as ferramentas necessárias, consulte Etapa 3: implantar uma instância do Amazon EC2 para gerenciar o AWS Managed Microsoft AD Active Directory.