AWS托管 Microsoft AD 中的用户和群组管理 - AWS Directory Service
AWS 管理控制台AWS CLIAWS Tools for PowerShell本地或 Amazon EC2 实例

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS托管 Microsoft AD 中的用户和群组管理

你可以在AWS托管 Microsoft AD 中管理用户和群组。您可以创建用户以表示可以访问您目录的人员或实体。您还可以创建组一次向多个用户授予和拒绝权限。您不仅可以将用户添加到组,还可以将组添加到组。当您将用户添加到组时,该用户将继承分配给该组的角色和权限。将组添加到组时,这些组将共享父子关系,子组继承分配给父组的角色和权限。您也可以将用户的组成员资格复制给其他用户。

可以使用以下方法通过AWS Directory Service Data管理用户和组:

有关 AWS Directory Service Data CLI 的演示,请YouTube观看以下视频。

或者,您可以使用加入域的实例

使用 AWS 管理控制台管理用户和组

您可以使用 with Di AWS rectory Servic AWS 管理控制台 e Data 管理用户和群组。Directory Service Data 是的扩展,它使您能够执行内置的对象管理任务。Directory Service其中一些任务包括创建用户和组、将用户添加到组以及将组添加到组。

有关更多信息,请参阅使用 AWS 管理控制台管理 AWS Managed Microsoft AD 用户和组

注意

要使用此功能,必须将其启用。有关更多信息,请参阅启用用户和组管理

您只能使用主AWS 区域目录中的用户和群组AWS 管理控制台来管理用户和群组。有关更多信息,请参阅主区域与其他区域

您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息,请参阅 Directory ServiceAPI 权限:操作、资源和条件参考。要开始向您的用户和工作负载授予权限,您可以使用AWS托管策略,例如AWS托管策略:AWSDirectoryServiceDataFullAccessAWS 托管式策略:AWSDirectoryServiceDataReadOnlyAccess。有关更多信息,请参阅 IAM 安全最佳实践

使用 AWS CLI管理用户和组

您可以AWS CLI通过 Di AWSrectory Service Data API 管理用户和群组。Directory Service Data 是的扩展,它使您能够使用ds-data命名空间执行内置的对象管理任务。Directory Service其中一些任务包括创建用户和组、将用户添加到组以及将组添加到组。

使用 Di AWS rectory Service Data CLI 创建用户

以下是使用ds-data命名空间创建用户的AWS CLI命令示例。

aws ds-data create-user --directory-id d-1234567890 --sam-account-name "jane.doe" --region your-Primary-Region-name
注意

要使用它AWS CLI,必须将其启用。有关更多信息,请参阅 启用或禁用用户和群组管理或 AWS Directory Service Data

您只能使用目录的主AWSAWS 区域目录中的 Directory Service Data CLI 来管理用户和群组。有关更多信息,请参阅主区域与其他区域

您需要必要的 IAM 权限才能使用 AWS Directory Service 数据。有关更多信息,请参阅 Directory ServiceAPI 权限:操作、资源和条件参考。要开始向用户和工作负载授予权限,您可以使用AWS托管策略,例如。 AWS托管策略:AWSDirectoryServiceDataFullAccessAWS 托管式策略:AWSDirectoryServiceDataReadOnlyAccess。有关更多信息,请参阅 IAM 安全最佳实践

有关更多信息,请参阅使用 AWS CLI管理 AWS Managed Microsoft AD 用户和组

使用 AWS Tools for PowerShell 管理用户和组

AWS Tools for PowerShell提供了两个单独的管理模块AWS Directory Service:AWS.Tools.DirectoryService(DS) 和 AWS.Tools.DirectoryServiceData (DSD)。使用时AWS Directory Service,请确保使用适合您预期操作的模块。

  • DirectoryService 模块包含用于管理目录服务配置和管理的 cmdlet,包括 Enable-DSDirectoryDataAccessDisable-DSDirectoryDataAccessReset-DSUserPassword 等 cmdlet。

  • DirectoryServiceData 模块包含用于在目录中执行操作的 cmdlet,特别是侧重于用户和组管理。这些 DSD cmdlet 包括用户管理操作(New-DSDUserGet-DSDUserUpdate-DSDUserRemove-DSDUser)、组管理操作(New-DSDGroupGet-DSDGroupUpdate-DSDGroupRemove-DSDGroup)、组成员资格管理(Add-DSDGroupMemberRemove-DSDGroupMember)以及搜索功能(Search-DSDUserSearch-DSDGroup)。

使用本地实例或 Amazon EC2 实例管理用户和群组

如果 AWS Directory Service Data 不支持你的用例,我们建议使用本地或 EC2 实例管理用户和群组。

要在AWS托管 Microsoft AD 中创建用户和群组,您可以使用任何已加入AWS托管 Microsoft AD 的实例(本地或 EC2)。您需要以具有权限创建用户和组的用户身份登录。您还需要在实例上安装 Active Directory 工具,以便添加具有 Active Directory 用户和计算机工具的用户和组。

主题