AWS Managed Microsoft AD 中的使用者和群組管理 - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Managed Microsoft AD 中的使用者和群組管理

您可以在 AWS Managed Microsoft AD 中管理使用者和群組。您可以建立使用者來代表可存取您目錄的個人或實體。您也可以建立群組,一次授予和拒絕多個使用者的許可。您不僅可以將使用者新增至群組,也可以將群組新增至群組。當您將使用者新增至群組時,使用者會繼承指派給群組的角色和許可。當您將群組新增至群組時,群組會共用父子關係,其中子群組會繼承指派給父群組的角色和許可。您也可以將使用者的群組成員資格複製到另一個使用者。

您可以使用下列方法AWS 目錄服務資料使用 管理使用者和群組:

如需 AWS Directory Service Data 的示範CLI,請參閱以下內容 YouTube 影片。

或者,您可以使用加入網域的執行個體

使用 管理使用者和群組 AWS Management Console

您可以使用 AWS Management Console Directory AWS Service Data 管理使用者和群組。Directory Service Data 是 的延伸 AWS Directory Service ,可讓您執行內建物件管理任務。其中一些任務包括建立使用者和群組,並將使用者新增至群組,以及將群組新增至群組。

如需詳細資訊,請參閱使用 管理 AWS Managed Microsoft AD 使用者和群組 AWS Management Console

注意

若要使用此功能,必須啟用此功能。如需詳細資訊,請參閱啟用使用者和群組管理

您只能 AWS Management Console 從 目錄的主要 AWS 區域 使用 管理使用者和群組。如需詳細資訊,請參閱主要區域與額外區域

您需要必要的IAM許可才能使用 AWS Directory Service Data。如需詳細資訊,請參閱AWS Directory Service API 許可:動作、資源和條件參考。若要開始授予許可給使用者和工作負載,您可以使用 AWSDirectoryServiceDataFullAccess或 等 AWS 受管政策AWSDirectoryServiceDataReadOnlyAccess。如需詳細資訊,請參閱 中的安全最佳實務IAM

使用 管理使用者和群組 AWS CLI

您可以透過 AWS CLI AWS Directory Service Data API使用 管理使用者和群組。Directory Service Data 是 的延伸 AWS Directory Service ,可讓您使用 ds-data 命名空間執行內建物件管理任務。其中一些任務包括建立使用者和群組,並將使用者新增至群組,以及將群組新增至群組。

使用 AWS 目錄服務資料建立使用者 CLI

以下是使用 ds-data 命名空間來建立使用者的範例 AWS CLI 命令。

aws ds-data create-user --directory-id d-1234567890 --sam-account-name "jane.doe" --region your-Primary-Region-name
注意

若要使用此功能 AWS CLI,必須啟用。如需詳細資訊,請參閱啟用或停用使用者和群組管理或 AWS 目錄服務資料

您只能使用CLI來自目錄主要 的 AWS Directory Service Data AWS 區域 管理使用者和群組。如需詳細資訊,請參閱主要區域與額外區域

您需要必要的IAM許可才能使用 AWS Directory Service Data。如需詳細資訊,請參閱AWS Directory Service API 許可:動作、資源和條件參考。若要開始授予許可給使用者和工作負載,您可以使用 AWSDirectoryServiceDataFullAccess或 等 AWS 受管政策AWSDirectoryServiceDataReadOnlyAccess。如需詳細資訊,請參閱 中的安全最佳實務 IAM

如需詳細資訊,請參閱使用 管理 AWS Managed Microsoft AD 使用者和群組 AWS CLI

使用 管理使用者和群組 AWS Tools for PowerShell

AWS Tools for PowerShell 提供兩個不同的模組來管理 AWS Directory Service: AWS.Tools.DirectoryService (DS) 和 AWS.Tools.DirectoryServiceData(DSD)。使用 時 AWS Directory Service,請確定您使用適用於預期操作的適當模組。

  • DirectoryService 模組包含用於管理目錄服務組態和管理的 cmdlet,包括 cmdlet,例如 Enable-DSDirectoryDataAccessDisable-DSDirectoryDataAccessReset-DSUserPassword

  • DirectoryServiceData 模組包含用於在目錄中執行操作的 cmdlet,特別著重於使用者和群組管理。這些 DSD cmdlet 包括使用者管理操作 (New-DSDUserUpdate-DSDUser、 和 Remove-DSDUser)Get-DSDUser、群組管理操作 (New-DSDGroup、 和 Update-DSDGroupRemove-DSDGroup)Get-DSDGroup、群組成員資格管理 ( Add-DSDGroupMemberRemove-DSDGroupMember) 以及搜尋功能 (Search-DSDUser 和 )Search-DSDGroup

使用內部部署執行個體或 Amazon EC2執行個體管理使用者和群組

如果 AWS Directory Service Data 不支援您的使用案例,建議您使用內部部署或EC2執行個體管理使用者和群組。

若要在 AWS Managed Microsoft AD 中建立使用者和群組,您可以使用已加入 AWS Managed Microsoft AD 的任何執行個體 (從內部部署或 EC2)。您需要以具有建立使用者和群組權限的使用者身分登入。您也需要安裝 Active Directory 執行個體上的工具,讓您可以使用 新增使用者和群組 Active Directory 使用者和電腦工具。