本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用作用中目錄做為身分識別來源
如果您要使用目錄AWS Directory Service或 Active AWS Managed Microsoft AD Directory (AD) 中的自我管理目錄中的使用者,您可以變更 IAM 身分中心身分識別來源,以便與這些使用者搭配使用。我們建議您在啟用 IAM 身分中心並選擇身分識別來源時,考慮連線此身分識別來源。在預設 Identity Center 目錄中建立任何使用者和群組之前執行此動作,可協助您避免稍後變更身分識別來源時所需的其他組態。
若要使用 Active Directory 做為您的身分識別來源,您的組態必須符合下列先決條件:
-
如果您使用的是AWS Managed Microsoft AD,您必須在設定AWS Managed Microsoft AD目錄的相同AWS 區域位置啟用 IAM 身分中心。IAM 身分識別中心會將指派資料儲存在與目錄相同的區域中。若要管理 IAM 身分中心,您可能需要切換至設定 IAM 身分中心的區域。此外,請注意,AWS存取入口網站使用與您的目錄相同的存取 URL。
使用位於管理帳戶中的活動目錄:
您必須在中設定現有的 AD Connector 或AWS Managed Microsoft AD目錄AWS Directory Service,而且必須位於您的AWS Organizations管理帳戶中。您一次只能連線一個 AD Connector 目錄或一個目錄。AWS Managed Microsoft AD如果您需要支援多個網域或樹系,請使用AWS Managed Microsoft AD. 如需詳細資訊,請參閱:
使用位於委派系統管理員帳戶中的作用中目錄:
如果您計劃啟用 IAM 身分中心委派管理員,並使用 Active Directory 做為您的 IAM 身分中心身分識別來源,則可以使用現有的 AD Connector 或AWS Managed Microsoft AD目錄設定在委派管理員帳戶中的AWS目錄。
如果您決定將 IAM 身分中心身分識別來源從任何其他來源變更為 Active Directory,或將其從 Active Directory 變更為任何其他來源,則該目錄必須位於 (由) IAM 身分中心委派管理員成員帳戶 (如果存在);否則,它必須位於管理帳戶中。
本教學課程會引導您完成使用 Active Directory 做為身分識別中心身分識別來源的基本設定。
如果您已經在使用 Active Directory,下列主題將協助您準備將目錄連線到 IAM 身分識別中心。
注意
我們強烈建議您啟用多重要素驗證,做為安全性最佳作法。如果您計劃在 Active AWS Managed Microsoft AD Directory 中連線目錄或自我管理的目錄,但並未搭配使用 RADIUS MFAAWS Directory Service,請在 IAM 身分中心啟用 MFA。
AWS Managed Microsoft AD
-
設定作用中目錄,以將您要授與管理權限的使用者同步至 IAM 身分識別中心。如需詳細資訊,請參閱將系統管理使用者同步至IAM識別中心。
活動目錄中的自我管理目錄
-
請遵循 Connect 作用中目錄中的自我管理目錄連線到IAM身分識別中心 中的步驟。
-
設定作用中目錄,以將您要授與管理權限的使用者同步至 IAM 身分識別中心。如需詳細資訊,請參閱將系統管理使用者同步至IAM識別中心。
將目錄連線到 IAM Identity Center 後,您可以指定要授與管理權限的使用者,然後將該使用者從目錄同步到 IAM 身分中心。
-
開啟 IAM 身分中心主控台
。 -
選擇設定。
-
在 [設定] 頁面上選擇 [身分識別來源] 索引標籤,選擇 [動作],然後選擇 [管理同步]。
-
在 [管理同步] 頁面上,選擇 [使用者] 索引標籤,然後選擇 [新增使用者和群組]。
-
在 [使用者] 索引標籤的 [使用者] 底下,輸入確切的使用者名稱,然後選
-
在新增的使用者和群組下,執行下列操作:
-
確認已指定要授與管理權限的使用者。
-
選取使用者名稱左側的核取方塊。
-
選擇提交。
-
-
在 [管理同步] 頁面中,您指定的使用者會出現在 [同步範圍內的使用者] 清單中。
-
在導覽窗格中,選擇使用者 。
-
在 [使用者] 頁面上,您指定的使用者可能需要一些時間才會顯示在清單中。選擇重新整理圖示以更新使用者清單。
此時,您的使用者無法存取管理帳戶。您可以透過建立管理權限集並將使用者指派給該權限集,來設定此帳戶的管理存取權限。如需詳細資訊,請參閱 建立任務函數的許可集。
