本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 托管 Microsoft AD 中的用户和群组管理
你可以在 AWS 托管 Microsoft AD 中管理用户和群组。您可以创建用户以表示可以访问您目录的人员或实体。您还可以创建组一次向多个用户授予和拒绝权限。您不仅可以将用户添加到组,还可以将组添加到组。当您将用户添加到组时,该用户将继承分配给该组的角色和权限。将组添加到组时,这些组将共享父子关系,子组继承分配给父组的角色和权限。您也可以将用户的组成员资格复制给其他用户。
可以使用以下方法通过AWS Directory Service Data管理用户和组:
有关 Di AWS rectory Service 数据的演示CLI,请参阅以下内容 YouTube 视频。
或者,您可以使用加入域的实例。
使用 AWS Management Console管理用户和组
您可以使用 with Di AWS rectory Servic AWS Management Console e Data 管理用户和群组。Directory Service Data 是的扩展,它使您能够执行内置的对象管理任务。 AWS Directory Service 其中一些任务包括创建用户和组、将用户添加到组以及将组添加到组。
有关更多信息,请参阅使用 AWS Management Console管理 AWS Managed Microsoft AD 用户和组。
注意
要使用此功能,必须将其启用。有关更多信息,请参阅启用用户和组管理。
您只能使用主 AWS 区域 目录中的用户和群组 AWS Management Console 来管理用户和群组。有关更多信息,请参阅主区域与其他区域。
您需要必要的IAM权限才能使用 AWS Directory Service 数据。有关更多信息,请参阅 AWS Directory Service API权限:操作、资源和条件参考。要开始向您的用户和工作负载授予权限,您可以使用 AWS 托管策略,例如AWSDirectoryServiceDataFullAccess或AWSDirectoryServiceDataReadOnlyAccess。有关更多信息,请参阅中的安全最佳实践IAM。
使用 AWS CLI管理用户和组
您可以 AWS CLI 通过 Di AWS rectory Service 数据管理用户和群组API。Directory Service Data 是的扩展,它使您能够使用ds-data
命名空间执行内置的对象管理任务。 AWS Directory Service 其中一些任务包括创建用户和组、将用户添加到组以及将组添加到组。
使用 Di AWS rectory Service 数据创建用户 CLI
以下是使用ds-data
命名空间创建用户的 AWS CLI 命令示例。
aws ds-data create-user --directory-id
d-1234567890
--sam-account-name"jane.doe"
--regionyour-Primary-Region-name
注意
要使用它 AWS CLI,必须将其启用。有关更多信息,请参阅 启用或禁用用户和群组管理或 AWS Directory Service Data。
您只能使用CLI来自主 AWS AWS 区域 目录的 Directory Service 数据来管理用户和群组。有关更多信息,请参阅主区域与其他区域。
您需要必要的IAM权限才能使用 AWS Directory Service 数据。有关更多信息,请参阅 AWS Directory Service API权限:操作、资源和条件参考。要开始向用户和工作负载授予权限,您可以使用 AWS 托管策略,例如。 AWSDirectoryServiceDataFullAccess或AWSDirectoryServiceDataReadOnlyAccess。有关更多信息,请参阅中的安全最佳实践 IAM
有关更多信息,请参阅使用 AWS CLI管理 AWS Managed Microsoft AD 用户和组。
使用管理用户和群组 AWS Tools for PowerShell
AWS Tools for PowerShell提供了两个单独的管理模块 AWS Directory Service:AWS.Tools.DirectoryService
(DS) 和 AWS.Tools.DirectoryServiceData
(DSD)。使用时 AWS Directory Service,请确保使用适合您预期操作的模块。
-
该
DirectoryService
模块包含用于管理目录服务配置和管理的 cmdlet,包括诸如Enable-DSDirectoryDataAccess
、和之类的 cmdlet。Disable-DSDirectoryDataAccess
Reset-DSUserPassword
-
该
DirectoryServiceData
模块包含用于在目录中执行操作的 cmdlet,特别侧重于用户和组管理。这些 DSD cmdlet 包括用户管理操作(New-DSDUser
Get-DSDUser
、Update-DSDUser
、和Remove-DSDUser
)、群组管理操作(New-DSDGroup
Get-DSDGroup
、和Update-DSDGroup
、Remove-DSDGroup
)、群组成员资格管理(Add-DSDGroupMember
、和Remove-DSDGroupMember
)以及搜索功能(Search-DSDUser
和Search-DSDGroup
)。
使用本地实例或 Amazon EC2 实例管理用户和群组
如果 AWS Directory Service Data 不支持你的用例,我们建议使用本地或EC2实例管理用户和群组。
要在 AWS 托管 Microsoft AD 中创建用户和群组,您可以使用任何已加入 AWS 托管 Microsoft AD 的实例(本地或EC2)。您需要以具有权限创建用户和组的用户身份登录。您还需要安装 Active Directory 在您的实例上安装工具,因此您可以使用添加用户和群组 Active Directory 用户和计算机工具。
-
您可以部署预先安装的预配置EC2实例 Active Directory 来自 AWS Directory Service 管理控制台的管理工具。有关更多信息,请参阅 在你的 AWS 托管 Microsoft AD 中启动目录管理实例 Active Directory。
-
如果您需要使用管理工具部署自我管理EC2实例并安装必要的工具,请参阅步骤 3:部署 Amazon EC2 实例部署以管理 AWS Managed Microsoft AD Active Directory。