本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 向现有 IAM 角色分配用户或组 您可以将现有 IAM 角色分配给 AWS 托管的 Microsoft AD 用户或群组。为此,确保您已完成以下步骤。 **先决条件** + [创建 AWS 托管微软 AD](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_getting_started.html#ms_ad_getting_started_create_directory)。 + [创建 IAM 用户](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_create.html)或[创建 IAM 组](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_groups_create.html)。 + [创建一个与之有信任关系的角色](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/create_role.html) Directory Service。对于现有的 IAM 角色,您需要[编辑现有角色的信任关系](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/edit_trust.html)。 **重要** 不支持目录内嵌套群组中的 AWS 托管 Microsoft AD 用户进行访问。父组的成员拥有控制台访问权限,但是子组成员不拥有。 **将 AWS 托管的 Microsoft AD 用户或群组分配给现有 IAM 角色** 1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格的 **Active Directory** 下,选择**目录**。 1. 在**目录**页面上,选择您的目录 ID。 1. 在**报告详细信息**页面上,执行以下操作之一: 1. 如果**多区域复制**下未显示任何区域,选择**应用程序管理**选项卡。 1. 如果**多区域复制**下显示多个区域,选择要执行分配的区域,然后选择**应用程序管理**选项卡。有关更多信息,请参阅 [主区域与其他区域](multi-region-global-primary-additional.md)。 1. 向下滚动到 **AWS 管理控制台**部分,然后选择**操作**和**启用**。 1. 在**委派控制台访问权限**部分下,选择要向其分配用户的现有 IAM 角色的 IAM 角色名称。 1. 在 **Selected role (所选角色)** 页面的 **Manage users and groups for this role (管理此角色的用户和组)** 下,选择 **Add (添加)**。 1. 在**为用户和组分配角色**页面的**选择 Active Directory 林**下,选择 AWS Managed Microsoft AD 林(此林)或本地林(受信任林),也就是需要访问 AWS 管理控制台的账户所在的林。有关如何设置受信任林的更多信息,请参阅[教程:在你的 AWS 托管 Microsoft AD 和你自行管理的 Active Directory 域之间创建信任关系](ms_ad_tutorial_setup_trust.md)。 1. 在 **Specify which users or groups to add (指定要添加的用户或组)** 下,选择 **Find by user (按用户查找)** 或 **Find by group (按组查找)**,然后键入用户或组的名称。在可能匹配项的列表中,选择您要添加的用户或组。 1. 选择**添加**以完成向角色分配用户和组的工作。