AWS Managed Microsoft AD でのユーザーとグループの管理 - AWS Directory Service
AWS マネジメントコンソールAWS CLIAWS Tools for PowerShellオンプレミスまたは Amazon EC2 インスタンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Managed Microsoft AD でのユーザーとグループの管理

AWS Managed Microsoft AD でユーザーとグループを管理できます。ディレクトリにアクセスできる個人またはエンティティを表すユーザーを作成します。また、一度に複数のユーザーに許可を付与および拒否するグループを作成することもできます。ユーザーをグループに追加するだけでなく、グループをグループに追加することもできます。  ユーザーをグループに追加すると、ユーザーはグループに割り当てられたロールとアクセス許可を継承します。グループにグループを追加すると、グループは親子関係を共有し、子グループは親グループに割り当てられたロールとアクセス許可を継承します。ユーザーのグループメンバーシップを別のユーザーにコピーすることもできます。

AWS Directory サービスデータ でユーザーとグループを管理するには、次の方法を使用します:

AWS Directory Service Data CLI のデモについては、次のYouTube動画を参照してください。

または、「ドメイン結合インスタンス」を使用することもできます。

AWS マネジメントコンソールでユーザーとグループを管理する

AWS Directory Service Data を使用して AWS マネジメントコンソール でユーザーとグループを管理できます。Directory Service Data は、組み込みのオブジェクト管理タスクを実行する機能 Directory Service を提供する の拡張機能です。これらのタスクには、ユーザーとグループの作成、グループへのユーザーの追加、グループへのグループの追加などがあります。

詳細については、「AWS マネジメントコンソールで AWS Managed Microsoft AD ユーザーとグループの管理」を参照してください。

注記

この機能を使用するには、それを有効にする必要があります。詳細については、「ユーザーおよびグループ管理の有効化」を参照してください。

ディレクトリのプライマリ AWS マネジメントコンソール AWS リージョン から を使用してのみ、ユーザーとグループを管理できます。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。

AWS Directory Service Data を使用するには、必要な IAM アクセス許可が必要です。詳細については、「Directory Service API アクセス許可: アクション、リソース、および条件リファレンス」を参照してください。ユーザーとワークロードへのアクセス許可の付与を開始するには、 AWS 管理ポリシー: AWSDirectoryServiceDataFullAccessや などの AWS 管理ポリシーを使用できますAWS マネージドポリシー: AWSDirectoryServiceDataReadOnlyAccess。詳細については、「IAM でのセキュリティのベストプラクティス」を参照してください。

AWS CLIでユーザーとグループを管理する

AWS Directory Service Data API AWS CLI を使用して、 でユーザーとグループを管理できます。Directory Service Data は、 ds-data 名前空間を使用して組み込みオブジェクト管理タスクを実行する機能 Directory Service を提供する の拡張機能です。これらのタスクには、ユーザーとグループの作成、グループへのユーザーの追加、グループへのグループの追加などがあります。

AWS Directory Service Data CLI を使用してユーザーを作成する

ds-data 名前空間を使用してユーザーを作成する AWS CLI コマンドの例を次に示します。

aws ds-data create-user --directory-id d-1234567890 --sam-account-name "jane.doe" --region your-Primary-Region-name
注記

これを使用するには AWS CLI、有効にする必要があります。詳細については、「ユーザーとグループの管理または AWS Directory Service Data の有効化または無効化」を参照してください。

ディレクトリのプライマリから AWS Directory Service Data CLI を使用してのみ、ユーザーとグループを管理 AWS リージョン できます。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。

AWS Directory Service Data を使用するには、必要な IAM アクセス許可が必要です。詳細については、「Directory Service API アクセス許可: アクション、リソース、および条件リファレンス」を参照してください。ユーザーとワークロードへのアクセス許可の付与を開始するには、 AWS 管理ポリシー: AWSDirectoryServiceDataFullAccessや などの AWS 管理ポリシーを使用できます。 AWS マネージドポリシー: AWSDirectoryServiceDataReadOnlyAccess詳細については、IAM のセキュリティのベストプラクティスを参照してください。

詳細については、「AWS CLIで AWS Managed Microsoft AD ユーザーとグループの管理」を参照してください。

でユーザーとグループを管理する AWS Tools for PowerShell

AWS Tools for PowerShell には、 (DS) と AWS Directory ServiceAWS.Tools.DirectoryService (AWS.Tools.DirectoryServiceDataDSD) の 2 つの管理用モジュールがあります。を使用する場合は AWS Directory Service、目的のオペレーションに適したモジュールを使用していることを確認してください。

  • DirectoryService モジュールには、、、 などのコマンドレットなど、ディレクトリサービスの設定Enable-DSDirectoryDataAccessDisable-DSDirectoryDataAccessと管理を管理するためのコマンドレットが含まれていますReset-DSUserPassword

  • DirectoryServiceData モジュールには、特にユーザーとグループの管理に焦点を当てた、ディレクトリ内でオペレーションを実行するためのコマンドレットが含まれています。これらの DSD コマンドレットには、ユーザー管理オペレーション (New-DSDUserGet-DSDUserUpdate-DSDUser、および Remove-DSDUserNew-DSDGroup、グループ管理オペレーション (Get-DSDGroup、、および Update-DSDGroupRemove-DSDGroup)、グループメンバーシップ管理 (Add-DSDGroupMember、および Remove-DSDGroupMember)、検索機能 (Search-DSDUser および ) が含まれますSearch-DSDGroup

オンプレミスインスタンスまたは Amazon EC2 インスタンスを使用してユーザーとグループを管理する

AWS Directory Service Data がユースケースをサポートしていない場合は、オンプレミスまたは EC2 インスタンスを使用してユーザーとグループを管理することをお勧めします。

AWS Managed Microsoft AD でユーザーとグループを作成するには、 AWS Managed Microsoft AD に参加している任意のインスタンス (オンプレミスまたは EC2) を使用できます。また、ユーザーとグループを作成する権限を持つユーザーとしてログインしている必要があります。また、Active Directory ユーザーとコンピュータツールを使用してユーザーとグループを追加できるように、インスタンスに Active Directory ツールをインストールする必要があります。

トピック