本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Managed Microsoft AD 中的使用者和群組管理
您可以在 AWS Managed Microsoft AD 中管理使用者和群組。您可以建立使用者來代表可存取您目錄的個人或實體。您也可以建立群組,一次授予和拒絕多個使用者的許可。您不僅可以將使用者新增至群組,也可以將群組新增至群組。當您將使用者新增至群組時,使用者會繼承指派給群組的角色和許可。當您將群組新增至群組時,群組會共用父子關係,其中子群組會繼承指派給父群組的角色和許可。您也可以將使用者的群組成員資格複製到另一個使用者。
您可以使用下列方法AWS 目錄服務資料使用 管理使用者和群組:
如需 AWS Directory Service Data 的示範CLI,請參閱以下內容 YouTube 影片。
或者,您可以使用加入網域的執行個體。
使用 管理使用者和群組 AWS Management Console
您可以使用 AWS Management Console Directory AWS Service Data 管理使用者和群組。Directory Service Data 是 的延伸 AWS Directory Service ,可讓您執行內建物件管理任務。其中一些任務包括建立使用者和群組,並將使用者新增至群組,以及將群組新增至群組。
如需詳細資訊,請參閱使用 管理 AWS Managed Microsoft AD 使用者和群組 AWS Management Console。
注意
若要使用此功能,必須啟用此功能。如需詳細資訊,請參閱啟用使用者和群組管理。
您只能 AWS Management Console 從 目錄的主要 AWS 區域 使用 管理使用者和群組。如需詳細資訊,請參閱主要區域與額外區域。
您需要必要的IAM許可才能使用 AWS Directory Service Data。如需詳細資訊,請參閱AWS Directory Service API 許可:動作、資源和條件參考。若要開始授予許可給使用者和工作負載,您可以使用 AWSDirectoryServiceDataFullAccess或 等 AWS 受管政策AWSDirectoryServiceDataReadOnlyAccess。如需詳細資訊,請參閱 中的安全最佳實務IAM。
使用 管理使用者和群組 AWS CLI
您可以透過 AWS CLI AWS Directory Service Data API使用 管理使用者和群組。Directory Service Data 是 的延伸 AWS Directory Service ,可讓您使用 ds-data
命名空間執行內建物件管理任務。其中一些任務包括建立使用者和群組,並將使用者新增至群組,以及將群組新增至群組。
使用 AWS 目錄服務資料建立使用者 CLI
以下是使用 ds-data
命名空間來建立使用者的範例 AWS CLI 命令。
aws ds-data create-user --directory-id
d-1234567890
--sam-account-name"jane.doe"
--regionyour-Primary-Region-name
注意
若要使用此功能 AWS CLI,必須啟用。如需詳細資訊,請參閱啟用或停用使用者和群組管理或 AWS 目錄服務資料。
您只能使用CLI來自目錄主要 的 AWS Directory Service Data AWS 區域 管理使用者和群組。如需詳細資訊,請參閱主要區域與額外區域。
您需要必要的IAM許可才能使用 AWS Directory Service Data。如需詳細資訊,請參閱AWS Directory Service API 許可:動作、資源和條件參考。若要開始授予許可給使用者和工作負載,您可以使用 AWSDirectoryServiceDataFullAccess或 等 AWS 受管政策AWSDirectoryServiceDataReadOnlyAccess。如需詳細資訊,請參閱 中的安全最佳實務 IAM
如需詳細資訊,請參閱使用 管理 AWS Managed Microsoft AD 使用者和群組 AWS CLI。
使用 管理使用者和群組 AWS Tools for PowerShell
AWS Tools for PowerShell 提供兩個不同的模組來管理 AWS Directory Service: AWS.Tools.DirectoryService
(DS) 和 AWS.Tools.DirectoryServiceData
(DSD)。使用 時 AWS Directory Service,請確定您使用適用於預期操作的適當模組。
-
DirectoryService
模組包含用於管理目錄服務組態和管理的 cmdlet,包括 cmdlet,例如Enable-DSDirectoryDataAccess
、Disable-DSDirectoryDataAccess
和Reset-DSUserPassword
。 -
DirectoryServiceData
模組包含用於在目錄中執行操作的 cmdlet,特別著重於使用者和群組管理。這些 DSD cmdlet 包括使用者管理操作 (New-DSDUser
、Update-DSDUser
、 和Remove-DSDUser
)Get-DSDUser
、群組管理操作 (New-DSDGroup
、 和Update-DSDGroup
、Remove-DSDGroup
)Get-DSDGroup
、群組成員資格管理 (Add-DSDGroupMember
和Remove-DSDGroupMember
) 以及搜尋功能 (Search-DSDUser
和 )Search-DSDGroup
。
使用內部部署執行個體或 Amazon EC2執行個體管理使用者和群組
如果 AWS Directory Service Data 不支援您的使用案例,建議您使用內部部署或EC2執行個體管理使用者和群組。
若要在 AWS Managed Microsoft AD 中建立使用者和群組,您可以使用已加入 AWS Managed Microsoft AD 的任何執行個體 (從內部部署或 EC2)。您需要以具有建立使用者和群組權限的使用者身分登入。您也需要安裝 Active Directory 執行個體上的工具,讓您可以使用 新增使用者和群組 Active Directory 使用者和電腦工具。
-
您可以部署預先安裝 的預先設定EC2執行個體 Active Directory 管理主控台中的 AWS Directory Service 管理工具。如需詳細資訊,請參閱在 AWS Managed Microsoft AD 中啟動目錄管理執行個體 Active Directory。
-
如果您需要使用管理工具部署自我管理的EC2執行個體,並安裝必要的工具,請參閱 步驟 3:部署 Amazon EC2 執行個體以管理您的 AWS 受管 Microsoft AD 活動目錄。