使用 Active Directory 做為身分來源 - AWS IAM Identity Center

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Active Directory 做為身分來源

如果您使用 管理 AWS Managed Microsoft AD 目錄中的使用者 AWS Directory Service ,或在 Active Directory (AD) 中管理自我管理的目錄,則可以變更 IAM Identity Center 身分來源以使用這些使用者。我們建議您在啟用 IAM Identity Center 並選擇身分來源時,考慮連接此身分來源。在預設 Identity Center 目錄中建立任何使用者和群組之前執行此操作,將可協助您避免日後變更身分來源時所需的其他組態。

若要使用 Active Directory 做為您的身分來源,您的組態必須符合下列先決條件:

  • 如果您使用的是 AWS Managed Microsoft AD,則必須在設定 AWS Managed Microsoft AD 目錄 AWS 區域 的相同 中啟用 IAM Identity Center。IAM Identity Center 會將指派資料存放在與 目錄相同的區域中。若要管理 IAM Identity Center,您可能需要切換到設定 IAM Identity Center 的區域。此外,請注意, AWS 存取入口網站使用與您的目錄相同的存取 URL。

  • 使用 管理帳戶中的 Active Directory:

    您必須在 中設定現有的 AD Connector 或 AWS Managed Microsoft AD 目錄 AWS Directory Service,而且必須位於您的 AWS Organizations 管理帳戶中。 AWS Managed Microsoft AD 您一次只能連接一個 AD Connector 目錄或 中的一個目錄。如果您需要支援多個網域或樹系,請使用 AWS Managed Microsoft AD。如需詳細資訊,請參閱:

  • 使用委派管理員帳戶中的 Active Directory:

    如果您計劃啟用 IAM Identity Center 委派管理員,並使用 Active Directory 做為 IAM Identity Center 身分來源,您可以使用位於委派管理員帳戶中的 AWS 目錄中設定的現有 AD Connector 或 AWS Managed Microsoft AD 目錄。

    如果您決定將 IAM Identity Center 身分來源從任何其他來源變更為 Active Directory,或從 Active Directory 變更為任何其他來源,則目錄必須位於 (由 擁有) IAM Identity Center 委派管理員成員帳戶,如果存在的話;否則,它必須位於管理帳戶中。

本教學課程會引導您使用 Active Directory 做為 IAM Identity Center 身分來源的基本設定。

如果您已使用 Active Directory ,下列主題將協助您準備將目錄連線至 IAM Identity Center。

注意

如果您計劃連接 Active Directory 中的 AWS Managed Microsoft AD 目錄或自我管理的目錄,但並未搭配 使用 RADIUS MFA AWS Directory Service,請在 IAM Identity Center 中啟用 MFA。

AWS Managed Microsoft AD

  1. 檢閱 中的指引連線至Microsoft AD目錄

  2. 請遵循 將 中的目錄 AWS Managed Microsoft AD 連接至 IAM Identity Center 中的步驟。

  3. 設定 Active Directory 以同步您要將管理許可授予 IAM Identity Center 的使用者。如需詳細資訊,請參閱將管理使用者同步至 IAM Identity Center

Active Directory 中的自我管理目錄

  1. 檢閱 中的指引連線至Microsoft AD目錄

  2. 請遵循 將 Active Directory 中的自我管理目錄連接到 IAM Identity Center 中的步驟。

  3. 設定 Active Directory 以同步您要將管理許可授予 IAM Identity Center 的使用者。如需詳細資訊,請參閱將管理使用者同步至 IAM Identity Center

將目錄連接到 IAM Identity Center 之後,您可以指定要授予管理許可的使用者,然後將該使用者從目錄中同步到 IAM Identity Center。

  1. 開啟 IAM Identity Center 主控台

  2. 選擇設定

  3. 設定頁面上,選擇身分來源索引標籤,選擇動作,然後選擇管理同步

  4. 管理同步頁面上,選擇使用者索引標籤,然後選擇新增使用者和群組

  5. 使用者索引標籤的使用者下,輸入確切的使用者名稱,然後選擇新增

  6. 新增的使用者和群組下,執行下列動作:

    1. 確認已指定您要授予管理許可的使用者。

    2. 選取使用者名稱左側的核取方塊。

    3. 選擇提交

  7. 管理同步頁面中,您指定的使用者會出現在同步範圍清單中的使用者中

  8. 在導覽窗格中,選擇使用者

  9. 使用者頁面上,您指定的使用者可能需要一些時間才會出現在清單中。選擇重新整理圖示以更新使用者清單。

此時,您的使用者無法存取 管理帳戶。您將建立管理許可集並將使用者指派給該許可集,藉此設定此帳戶的管理存取權。如需詳細資訊,請參閱建立任務函數的許可集