AWSManaged Microsoft AD 中的使用者和群組管理 - AWS Directory Service
AWS 管理主控台AWS CLIAWS Tools for PowerShell內部部署或 Amazon EC2 執行個體

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWSManaged Microsoft AD 中的使用者和群組管理

您可以在 AWSManaged Microsoft AD 中管理使用者和群組。您可以建立使用者來代表可存取您目錄的個人或實體。您也可以建立群組,一次授予和拒絕多個使用者的許可。您不僅可以將使用者新增至群組,也可以將群組新增至群組。當您將使用者新增至群組時,使用者會繼承指派給群組的角色和許可。當您將群組新增至群組時,群組會共用父子關係,其中子群組會繼承指派給父群組的角色和許可。您也可以將使用者的群組成員資格複製到另一個使用者。

您可以使用下列方法AWS Directory Service 資料使用 管理使用者和群組:

如需 AWSDirectory Service Data CLI 的示範,請參閱下列YouTube影片。

或者,您可以使用加入網域的執行個體

使用 管理使用者和群組 AWS 管理主控台

您可以使用 AWS 管理主控台AWSDirectory Service Data 管理使用者和群組。Directory Service Data 是 的延伸Directory Service,可讓您執行內建的物件管理任務。其中一些任務包括建立使用者和群組,以及將使用者新增至群組,以及將群組新增至群組。

如需詳細資訊,請參閱使用 管理 AWSManaged Microsoft AD 使用者和群組AWS 管理主控台

注意

若要使用此功能,必須啟用此功能。如需詳細資訊,請參閱啟用使用者和群組管理

您只能AWS 管理主控台從目錄的主要AWS 區域 使用 管理使用者和群組。如需詳細資訊,請參閱主要區域與額外區域

您需要必要的 IAM 許可才能使用 AWSDirectory Service Data。如需詳細資訊,請參閱Directory ServiceAPI 許可:動作、資源和條件參考。若要開始將許可授予使用者和工作負載,您可以使用 AWS受管政策: AWSDirectoryServiceDataFullAccess或 等AWS受管政策AWS 受管政策:AWSDirectoryServiceDataReadOnlyAccess。如需更多詳細資訊,請參閱 IAM 中的安全最佳實務

使用 管理使用者和群組 AWS CLI

您可以透過AWS CLI AWSDirectory Service Data API 使用 管理使用者和群組。Directory Service Data 是 的延伸Directory Service,可讓您使用 ds-data 命名空間執行內建物件管理任務。其中一些任務包括建立使用者和群組,以及將使用者新增至群組,以及將群組新增至群組。

使用AWS目錄服務資料 CLI 建立使用者

以下是使用 ds-data 命名空間來建立使用者的範例AWS CLI命令。

aws ds-data create-user --directory-id d-1234567890 --sam-account-name "jane.doe" --region your-Primary-Region-name
注意

若要使用此功能AWS CLI,必須啟用。如需詳細資訊,請參閱啟用或停用使用者和群組管理或AWS目錄服務資料

您只能從目錄AWS 區域的主要 使用 AWSDirectory Service Data CLI 管理使用者和群組。如需詳細資訊,請參閱主要區域與額外區域

您需要必要的 IAM 許可才能使用 AWSDirectory Service Data。如需詳細資訊,請參閱Directory ServiceAPI 許可:動作、資源和條件參考。若要開始將許可授予使用者和工作負載,您可以使用 AWS受管政策: AWSDirectoryServiceDataFullAccess或 等AWS受管政策AWS 受管政策:AWSDirectoryServiceDataReadOnlyAccess。如需詳細資訊,請參閱 IAM 中的安全最佳實務

如需詳細資訊,請參閱使用 管理 AWSManaged Microsoft AD 使用者和群組AWS CLI

使用 管理使用者和群組 AWS Tools for PowerShell

AWS Tools for PowerShell 提供兩個用於管理的個別模組AWS Directory Service: AWS.Tools.DirectoryService(DS) 和 AWS.Tools.DirectoryServiceData(DSD)。使用 時AWS Directory Service,請確定您使用適用於您預期操作的適當模組。

  • DirectoryService 模組包含用於管理目錄服務組態和管理的 cmdlet,包括 Enable-DSDirectoryDataAccessDisable-DSDirectoryDataAccess和 等 cmdletReset-DSUserPassword

  • DirectoryServiceData 模組包含用於在目錄中執行操作的 cmdlet,特別著重於使用者和群組管理。這些 DSD cmdlet 包括使用者管理操作 (New-DSDUserUpdate-DSDUser、 和 Remove-DSDUser)Get-DSDUser、群組管理操作 (New-DSDGroup、 和 Update-DSDGroupRemove-DSDGroup)Get-DSDGroup、群組成員資格管理 ( Add-DSDGroupMemberRemove-DSDGroupMember),以及搜尋功能 (Search-DSDUser 和 )Search-DSDGroup

使用內部部署執行個體或 Amazon EC2 執行個體管理使用者和群組

如果 AWSDirectory Service Data 不支援您的使用案例,建議您使用內部部署或 EC2 執行個體管理使用者和群組。

若要在 AWSManaged Microsoft AD 中建立使用者和群組,您可以使用已加入 AWSManaged Microsoft AD 的任何執行個體 (從內部部署或 EC2)。您需要以具有建立使用者和群組權限的使用者身分登入。您也需要在執行個體上安裝 Active Directory 工具,以便使用 Active Directory 使用者和電腦工具新增使用者和群組。

主題