启用 AWS Management Console 使用 AWS 托管微软 AD 凭据进行访问 - AWS Directory Service
启用 AWS Management Console 访问权限禁用 AWS Management Console 访问权限设置登录会话时长

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用 AWS Management Console 使用 AWS 托管微软 AD 凭据进行访问

AWS Directory Service 允许您向目录成员授予访问权限 AWS Management Console。默认情况下,您的目录成员无权访问任何 AWS 资源。您可以为目录成员分配IAM角色,使他们能够访问各种 AWS 服务和资源。该IAM角色定义了您的目录成员拥有的服务、资源和访问级别。

在向目录成员授予控制台访问权限之前,您的目录必须具有访问权限URL。有关如何查看目录详细信息并获得访问权限的更多信息URL,请参阅查看 AWS 托管微软 AD 目录信息。有关如何创建访问权限的更多信息URL,请参阅为 AWS 托管的 Microsoft AD 创建访问权限 URL

有关如何为目录成员创建和分配IAM角色的更多信息,请参阅向 AWS 托管的 Microsoft AD 用户和群组授予使用IAM角色访问 AWS 资源的权限

相关 AWS 安全博客文章

注意

访问权限 AWS Management Console 是 AWS 托管 Microsoft AD 的一项区域性功能。如果您使用的是多区域复制,则必须分别在每个区域中应用以下步骤。有关更多信息,请参阅 全局与区域特色

启用 AWS Management Console 访问权限

默认情况下,不会为任何目录启用控制台访问。要为目录用户和组启用控制台访问,请执行以下步骤:

启用控制台访问

  1. AWS Directory Service 控制台导航窗格中,选择目录

  2. 目录页面上,选择您的目录 ID。

  3. 报告详细信息页面上,执行以下操作之一:

    • 如果您在多区域复制下显示了多个区域,请选择要允许访问的区域 AWS Management Console,然后选择应用程序管理选项卡。有关更多信息,请参阅 主区域与其他区域

    • 如果多区域复制下未显示任何区域,选择应用程序管理选项卡。

  4. AWS Management Console 部分下,选择启用。控制台访问现在已为目录启用。

    重要

    用户必须先将您的用户添加到该IAM角色中URL,然后才能使用您的访问权限登录控制台。有关为用户分配IAM角色的一般信息,请参阅将用户或组分配给现有IAM角色。分配IAM角色后,用户便可以使用您的访问权限访问控制台URL。例如,如果你的目录访问权限URL是 example-corp.awsapps.com,那么访问控制台的权限是。URL https://example-corp.awsapps.com/console/

禁用 AWS Management Console 访问权限

要 AWS Management Console 禁用您的 AWS 托管 Microsoft AD 目录用户和群组的访问权限,请执行以下步骤:

禁用控制台访问

  1. AWS Directory Service 控制台导航窗格中,选择目录

  2. 目录页面上,选择您的目录 ID。

  3. 报告详细信息页面上,执行以下操作之一:

    • 如果您在多区域复制下显示了多个区域,请选择要在其中禁用访问的区域 AWS Management Console,然后选择应用程序管理选项卡。有关更多信息,请参阅 主区域与其他区域

    • 如果多区域复制下未显示任何区域,选择应用程序管理选项卡。

  4. AWS Management Console 部分下,选择禁用。控制台访问现在已为目录禁用。

  5. 如果已为目录中的用户或组分配了任何IAM角色,则 “用” 按钮可能不可用。在这种情况下,必须先删除目录的所有IAM角色分配,然后才能继续操作,包括对目录中已删除的用户或组的分配,这些角色将显示为 “已删除的用户” 或 “已删除的组”。

    删除所有IAM角色分配后,重复上述步骤。

设置 AWS Management Console 登录会话时长

默认情况下,用户在成功登录后有 1 小时的时间使用会话, AWS Management Console 然后才能注销。在此之后,用户必须再次登录才能开始下一个 1 小时会话,然后再次注销。可以使用以下过程对每个会话将时间长度更改为最长 12 小时。

设置 AWS Management Console 登录会话时长

  1. AWS Directory Service 控制台导航窗格中,选择目录

  2. 目录页面上,选择您的目录 ID。

  3. 报告详细信息页面上,执行以下操作之一:

    • 如果多区域复制下显示多个区域,选择要为其设置登录会话时长的区域,然后选择应用程序管理选项卡。有关更多信息,请参阅 主区域与其他区域

    • 如果多区域复制下未显示任何区域,选择应用程序管理选项卡。

  4. AWS 应用程序和服务 部分下,选择 AWS 管理控制台

  5. 在 “管理 AWS 资源访问权限” 对话框中,选择 “继续”。

  6. 在 “将用户和组分配给IAM角色” 页面的 “设置登录会话时长” 下,编辑编号值,然后选择保存