AWSManaged Microsoft AD でのユーザーとグループの管理 - AWS Directory Service
AWS マネジメントコンソールAWS CLIAWS Tools for PowerShellオンプレミスまたは Amazon EC2 インスタンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSManaged Microsoft AD でのユーザーとグループの管理

AWSManaged Microsoft AD でユーザーとグループを管理できます。ディレクトリにアクセスできる個人またはエンティティを表すユーザーを作成します。また、一度に複数のユーザーに許可を付与および拒否するグループを作成することもできます。ユーザーをグループに追加するだけでなく、グループをグループに追加することもできます。  ユーザーをグループに追加すると、ユーザーはグループに割り当てられたロールとアクセス許可を継承します。グループにグループを追加すると、グループは親子関係を共有し、子グループは親グループに割り当てられたロールとアクセス許可を継承します。ユーザーのグループメンバーシップを別のユーザーにコピーすることもできます。

AWS Directory Service Data でユーザーとグループを管理するには、次の方法を使用します:

AWSDirectory Service Data CLI のデモについては、次のYouTube動画を参照してください。

または、「ドメイン結合インスタンス」を使用することもできます。

AWS マネジメントコンソール でユーザーとグループを管理する

AWSDirectory Service Data を使用して AWS マネジメントコンソールでユーザーとグループを管理できます。Directory Service Data は、組み込みのオブジェクト管理タスクを実行する機能Directory Serviceを提供する の拡張機能です。これらのタスクには、ユーザーとグループの作成、グループへのユーザーの追加、グループへのグループの追加などがあります。

詳細については、「AWS マネジメントコンソール で AWS Managed Microsoft AD ユーザーとグループの管理」を参照してください。

注記

この機能を使用するには、それを有効にする必要があります。詳細については、「ユーザーおよびグループ管理の有効化」を参照してください。

ディレクトリのプライマリAWS マネジメントコンソールAWS リージョンから を使用してのみ、ユーザーとグループを管理できます。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。

AWSDirectory Service Data を使用するには、必要な IAM アクセス許可が必要です。詳細については、「Directory ServiceAPI アクセス許可: アクション、リソース、および条件リファレンス」を参照してください。ユーザーとワークロードへのアクセス許可の付与を開始するには、 AWS管理ポリシー: AWSDirectoryServiceDataFullAccessや などの AWS管理ポリシーを使用できますAWS マネージドポリシー: AWSDirectoryServiceDataReadOnlyAccess。詳細については、「IAM でのセキュリティのベストプラクティス」を参照してください。

AWS CLI でユーザーとグループを管理する

AWSDirectory Service Data API AWS CLIを使用して、 でユーザーとグループを管理できます。Directory Service Data は、 ds-data 名前空間を使用して組み込みオブジェクト管理タスクを実行する機能Directory Serviceを提供する の拡張機能です。これらのタスクには、ユーザーとグループの作成、グループへのユーザーの追加、グループへのグループの追加などがあります。

AWSDirectory Service Data CLI を使用してユーザーを作成する

ds-data 名前空間を使用してユーザーを作成するAWS CLIコマンドの例を次に示します。

aws ds-data create-user --directory-id d-1234567890 --sam-account-name "jane.doe" --region your-Primary-Region-name
注記

これを使用するにはAWS CLI、有効にする必要があります。詳細については、「ユーザーとグループの管理または AWSDirectory Service Data の有効化または無効化」を参照してください。

ディレクトリのプライマリから AWSDirectory Service Data CLI を使用してのみ、ユーザーとグループを管理AWS リージョンできます。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。

AWSDirectory Service Data を使用するには、必要な IAM アクセス許可が必要です。詳細については、「Directory ServiceAPI アクセス許可: アクション、リソース、および条件リファレンス」を参照してください。ユーザーとワークロードへのアクセス許可の付与を開始するには、 AWS管理ポリシー: AWSDirectoryServiceDataFullAccessや などの AWS管理ポリシーを使用できます。 AWS マネージドポリシー: AWSDirectoryServiceDataReadOnlyAccess詳細については、IAM のセキュリティのベストプラクティスを参照してください。

詳細については、「AWS CLI で AWS Managed Microsoft AD ユーザーとグループの管理」を参照してください。

AWS Tools for PowerShell でユーザーとグループを管理する

AWS Tools for PowerShell には、 (DS) とAWS Directory Service AWS.Tools.DirectoryService (AWS.Tools.DirectoryServiceDataDSD) の 2 つの管理用モジュールがあります。を使用するときはAWS Directory Service、目的のオペレーションに適したモジュールを使用していることを確認してください。

  • DirectoryService モジュールには、Enable-DSDirectoryDataAccessDisable-DSDirectoryDataAccessReset-DSUserPassword などのコマンドレットなど、ディレクトリサービスの設定と管理を管理するためのコマンドレットが含まれています。

  • DirectoryServiceData モジュールには、特にユーザーとグループの管理に焦点を当てた、ディレクトリ内でオペレーションを実行するためのコマンドレットが含まれています。これらの DSD コマンドレットには、ユーザー管理オペレーション (New-DSDUserGet-DSDUserUpdate-DSDUser、および Remove-DSDUser)、グループ管理オペレーション (New-DSDGroupGet-DSDGroup、および Update-DSDGroupRemove-DSDGroup)、グループメンバーシップ管理 (Add-DSDGroupMember および Remove-DSDGroupMember)、検索機能 (Search-DSDUser および Search-DSDGroup) が含まれます。

オンプレミスインスタンスまたは Amazon EC2 インスタンスを使用してユーザーとグループを管理する

AWSDirectory Service Data がユースケースをサポートしていない場合は、オンプレミスまたは EC2 インスタンスを使用してユーザーとグループを管理することをお勧めします。

AWSManaged Microsoft AD でユーザーとグループを作成するには、 AWSManaged Microsoft AD に結合された任意のインスタンス (オンプレミスまたは EC2) を使用できます。また、ユーザーとグループを作成する権限を持つユーザーとしてログインしている必要があります。さらに、Active Directory のツールをインスタンスにインストールし、[Active Directory ユーザーとコンピュータ] ツールを使用してユーザーとグループをインスタンスに追加できるようにする必要があります。

トピック