本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 AWS Managed Microsoft AD 登入資料啟用 AWS 管理主控台 存取
<a name="ms_ad_management_console_access"></a>

Directory Service 可讓您授予目錄成員對 的存取權 AWS 管理主控台。根據預設，您的目錄成員無法存取任何 AWS 資源。您可以將 IAM 角色指派給目錄成員，讓他們能夠存取各種 AWS 服務和資源。IAM 角色定義您的目錄成員可以存取的服務、資源和層級。

您的目錄必須具有存取 URL，才能授予主控台存取權給目錄成員。如需如何檢視目錄詳細資訊及取得您存取 URL 的詳細資訊，請參閱「[檢視 AWS Managed Microsoft AD 目錄資訊](ms_ad_view_directory_info.md)」。如需如何建立存取 URL 的詳細資訊，請參閱「[建立 AWS Managed Microsoft AD 的存取 URL](ms_ad_create_access_url.md)」。

如需如何建立 IAM 角色並將之指派給您目錄成員的詳細資訊，請參閱「[授予 AWS Managed Microsoft AD 使用者和群組存取具有 IAM 角色 AWS 的資源](ms_ad_manage_roles.md)」。

**Topics**
+ [啟用 AWS 管理主控台 存取](#console_enable)
+ [停用 AWS 管理主控台 存取](#console_disable)
+ [設定 AWS 管理主控台 登入工作階段長度](#console_session)

**相關 AWS 安全部落格文章**
+ [如何使用 AWS 管理主控台AWS Managed Microsoft AD 和您的現場部署登入資料存取](https://aws.amazon.com/blogs/security/how-to-access-the-aws-management-console-using-aws-microsoft-ad-and-your-on-premises-credentials/)

**相關 AWS re:Post 文章**
+ [如何授予現場部署 Active Directory AWS 管理主控台 使用者的 存取權？](https://repost.aws/knowledge-center/enable-active-directory-console-access)

**注意**  
存取 AWS 管理主控台 是 AWS Managed Microsoft AD 的區域功能。如果您使用的是[多區域複寫](ms_ad_configure_multi_region_replication.md)，則必須在每個區域中分別套用下列程序。如需詳細資訊，請參閱[全域與區域功能](multi-region-global-region-features.md)。

## 啟用 AWS 管理主控台 存取
<a name="console_enable"></a>

預設不會啟用任何目錄的主控台存取。若要啟用您目錄使用者和群組的主控台存取，請執行下列步驟：

**啟用主控台存取**

1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中，選擇 **Directories (目錄)**。

1. 在 **Directories** (目錄) 頁面中，選擇目錄 ID。

1. 在**目錄詳細資訊**頁面上，執行下列其中一項：
   + 如果您有多個區域顯示在**多區域複寫**下，請選取您要啟用存取 的區域 AWS 管理主控台，然後選擇**應用程式管理**索引標籤。如需詳細資訊，請參閱[主要區域與其他區域](multi-region-global-primary-additional.md)。
   + 如果**多區域複寫**下沒有顯示任何區域，請選擇**應用程式管理**索引標籤。

1. 在 **AWS 管理主控台** 區段下，選擇**啟用**。現在已啟用目錄的主控台存取。
**重要**  
您必須先將使用者新增至 IAM 角色，使用者才能使用您的存取 URL 登入主控台。如需將使用者指派給 IAM 角色的一般資訊，請參閱「[將使用者或群組指派給現有的 IAM 角色](assign_role.md)」。指派 IAM 角色之後，使用者即可使用您的存取 URL 存取主控台。例如，如果您的目錄存取 URL 為 `example-corp.awsapps.com`，則存取主控台的 URL 為 `https://example-corp.awsapps.com/console/`。

## 停用 AWS 管理主控台 存取
<a name="console_disable"></a>

若要停用 AWS Managed Microsoft AD 目錄使用者和群組的 AWS 管理主控台 存取權，請執行下列步驟：

**停用主控台存取**

1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中，選擇 **Directories (目錄)**。

1. 在 **Directories** (目錄) 頁面中，選擇目錄 ID。

1. 在**目錄詳細資訊**頁面上，執行下列其中一項：
   + 如果您有多個區域顯示在**多區域複寫**下，請選取您要停用存取 的區域 AWS 管理主控台，然後選擇**應用程式管理**索引標籤。如需詳細資訊，請參閱[主要區域與其他區域](multi-region-global-primary-additional.md)。
   + 如果**多區域複寫**下沒有顯示任何區域，請選擇**應用程式管理**索引標籤。

1. 在 **AWS 管理主控台** 區段下，選擇**停用**。現在已停用目錄的主控台存取。

1. 如果已將任何 IAM 角色指派給目錄中的使用者或群組，則**停用**按鈕可能無法使用。在此情況下，您必須移除目錄的所有 IAM 角色指派，再繼續進行，包括您目錄中已刪除的使用者或群組指派，這些指派會顯示為**已刪除的使用者**或**已刪除的群組**。

   移除所有 IAM 角色指派之後，請重複上述步驟。

## 設定 AWS 管理主控台 登入工作階段長度
<a name="console_session"></a>

根據預設，使用者在成功登入 後有 1 小時的時間可以使用其工作階段， AWS 管理主控台 然後再登出。在此之後，使用者必須重新登入，才能開始下一小時的工作階段，直到再次被登出。您可以使用下列程序，將每個工作階段的時間長度變更至最多 12 小時。

**設定 AWS 管理主控台 登入工作階段長度**

1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中，選擇 **Directories (目錄)**。

1. 在 **Directories** (目錄) 頁面中，選擇目錄 ID。

1. 在**目錄詳細資訊**頁面上，執行下列其中一項：
   + 如果**多區域複寫**下顯示多個區域，請選取要設定登入工作階段長度的區域，然後選擇**應用程式管理**索引標籤。如需詳細資訊，請參閱[主要區域與其他區域](multi-region-global-primary-additional.md)。
   + 如果**多區域複寫**下沒有顯示任何區域，請選擇**應用程式管理**索引標籤。

1. 在 **AWS 應用程式與服務**區段下，選擇 **AWS 管理主控台**。

1. 在**管理 AWS 資源存取權**對話方塊中，選擇**繼續**。

1. 在 **Assign users and groups to IAM roles** (將使用者和群組指派給 IAM 角色) 頁面中，編輯 **Set login session length** (設定登入工作階段長度) 下的數值，然後選擇 **Save** (儲存)。