使用 Active Directory 作为身份源 - AWS IAM Identity Center

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Active Directory 作为身份源

如果您正在使用 AWS Directory Service 管理 AWS Managed Microsoft AD 目录中的用户,或正在管理 Active Directory (AD) 自托管式目录中的用户,您可以更改 IAM Identity Center 的身份源,以使用这些用户。我们建议您在启用 IAM Identity Center 并选择身份源时,考虑连接此身份源。在默认 Identity Center 目录中创建任何用户和组之前执行此操作将有助于避免在以后更改身份源时所需的额外配置。

要使用 Active Directory 作为身份源,您的配置必须满足以下先决条件:

  • 如果您正在使用 AWS Managed Microsoft AD,则必须在设置 AWS Managed Microsoft AD 目录的同一 AWS 区域 中启用 IAM Identity Center。IAM Identity Center 会将分配数据存储在与目录相同的区域中。要管理 IAM Identity Center,您可能需要切换到配置 IAM Identity Center 的区域。此外,请注意,AWS 访问门户使用与该目录相同的访问 URL。

  • 使用驻留在管理账户中的 Active Directory:

    您必须在 AWS Directory Service 中设置现有 AD Connector 或 AWS Managed Microsoft AD 目录,并且该目录必须位于您的 AWS Organizations 管理账户内。一次只能在 AWS Managed Microsoft AD 连接一个 AD Connector 目录或一个目录。如果您需要支持多个域或林,请使用 AWS Managed Microsoft AD。有关更多信息,请参阅:

  • 使用驻留在委派管理员账户中的 Active Directory:

    如果您计划启用 IAM Identity Center 委派管理员,并使用 Active Directory 作为您的 IAM Identity Center 身份源,则可以使用现有 AD Connector 或在驻留于委派管理员账户内的 AWS 目录中设置的 AWS Managed Microsoft AD 目录。

    如果您决定将 IAM Identity Center 身分源从任何其他源更改为 Active Directory,或者将其从 Active Directory 更改为任何其他源,则该目录必须驻留在 IAM Identity Center 委派管理员成员账户(如果存在)中(归该账户所有);否则,它必须位于管理账户中。

本教程将指导您完成使用 Active Directory 作为 IAM Identity Center 身份源的基本设置。

如果您已经在使用 Active Directory,以下主题可帮助您准备好将目录连接到 IAM Identity Center。

注意

强烈建议您启用多重验证,这是最佳安全实践。如果您计划连接 Active Directory 中的 AWS Managed Microsoft AD 目录或自托管式目录,但未将 RADIUS MFA 与 AWS Directory Service 搭配使用,请在 IAM Identity Center 中启用 MFA。

AWS Managed Microsoft AD

  1. 请查看 Connect 到 Microsoft AD directory 中的指南。

  2. 按照 在 Connect 中连接一个目录 AWS Managed Microsoft AD 到IAM身份中心 中的步骤操作。

  3. 配置 Active Directory 以将您要向其授予管理权限的用户同步到 IAM Identity Center。有关更多信息,请参阅 将管理用户同步到 Ident IAM ity Center

Active Directory 中的自托管式目录

  1. 请查看 Connect 到 Microsoft AD directory 中的指南。

  2. 按照 将 Active Directory 中的自建目录连接到IAM身份中心 中的步骤操作。

  3. 配置 Active Directory 以将您要向其授予管理权限的用户同步到 IAM Identity Center。有关更多信息,请参阅 将管理用户同步到 Ident IAM ity Center

将您的目录连接到 IAM Identity Center 后,您可以指定要向其授予管理权限的用户,然后将该用户从您的目录同步到 IAM Identity Center 中。

  1. 打开 IAM Identity Center 控制台

  2. 选择设置

  3. 设置页面上,选择身份源选项卡,从中选择操作,然后选择管理同步

  4. 管理同步页面上,选择用户选项卡,然后选择添加用户和组

  5. 用户选项卡的用户下,输入确切的用户名并选择添加

  6. 已添加用户和群组下,执行以下操作:

    1. 确认已指定您要向其授予管理权限的用户。

    2. 选中该用户名左边的复选框。

    3. 选择提交

  7. 管理同步页面中,您指定的用户将显示在同步范围内的用户列表中。

  8. 在导航窗格中,选择用户

  9. 用户页面上,您指定的用户可能需要一些时间才会出现在列表中。选择刷新图标以更新用户列表。

此时,您的用户无权访问管理账户。您可以通过创建管理权限集并将用户分配给该权限集来设置对此账户的管理访问权限。有关更多信息,请参阅 为工作职能创建权限集