本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS 私有 CA 適用於 Active Directory 的連接器
<a name="connector-for-ad-procedures"></a>

本節中的程序說明如何建立 Active Directory (AD) 連接器、設定範本，以及與 AWS 私有 CA 和 Active Directory 整合。您可以從 AWS 私有 CA Connector for AD 主控台執行這些操作，方法是使用 的 Connector for AD 區段 AWS CLI，或使用 AWS 私有 CA Connector for AD API。

**注意**  
雖然 AWS 私有 CA Connector for AD 與 緊密整合 AWS 私有 CA，但這兩個服務具有不同的 APIs。如需詳細資訊，請參閱 [AWS 私有憑證授權單位 API 參考](https://docs.aws.amazon.com/privateca/latest/APIReference/)和 [AWS 私有 CA Connector for Active Directory API 參考](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/)。

# 為 Active Directory 建立連接器
<a name="create-connector-for-ad"></a>

使用下列程序，使用主控台、命令列或 API for Connector for Active Directory 建立 AWS 私有 CA 連接器。

------
#### [ Console ]

**使用主控台建立連接器**

登入 AWS 您的帳戶，並在 開啟 AWS 私有 CA Connector for Active Directory 主控台**[https://console.aws.amazon.com/pca-connector-ad/home](https://console.aws.amazon.com/pca-connector-ad/home)**。

1. 在第一次服務登陸頁面上或適用於 **Active Directory 的連接器**頁面上，選擇**建立連接器**。

1. 在**為 Active Directory 建立私有 CA 連接器**頁面上，提供 **Active Directory** 區段中的資訊。
   + 在**選取 Active Directory 類型**下，選擇兩種可用類型之一：
     + **AWS Directory Service for Microsoft Active Directory** – 指定由 管理的 Active Directory Directory Service。
     +  **具有 AD Connector 的 AWS 現場部署 Active Directory** – 使用 AD Connector 存取您內部部署託管的 Active Directory。
   + 在**選取您的目錄**下，從清單中選擇您的目錄。

     或者，您可以選擇**建立目錄**，這會在新視窗中開啟 Directory Service 主控台。當您完成建立新目錄時，請返回 AWS 私有 CA Connector for Active Directory 主控台並重新整理目錄清單。您的新目錄應該可供選取。
**注意**  
建立目錄時，請注意 Connector for AD 僅支援主控台中 Directory Service 提供的下列目錄類型：  
 **AWS Managed Microsoft AD** 
 **AD Connector** 
   + 在**選取 VPC 端點的安全群組**下，從清單中選擇安全群組。

     或者，您可以選擇**建立安全群組**，在新視窗中將 Amazon EC2 主控台開啟至**建立安全群組**頁面。當您完成建立安全群組時，請返回 AWS 私有 CA Connector for Active Directory 主控台並重新整理安全群組清單。您的新安全群組應該可供選取。

1. 在 **IP 地址類型**區段中，從下列選項中選擇：
   + **IPv4** - 啟用對服務的 IPv4 連線。只有在託管目錄的所有子網路都具有 IPv4 地址範圍時，才選擇此選項。
   + **Dualstack** - 啟用對服務的 IPv4 和 IPv6 連線。只有在託管目錄的所有子網路同時具有 IPv4 和 IPv6 地址範圍時，才選擇此選項。

1. 在**私有憑證授權**機構區段中，從清單中選擇私有 CA。

   或者，您可以選擇**建立私有 CA**，在新視窗中將 AWS 私有 CA 主控台開啟**私有憑證授權單位**頁面。當您完成建立 CA 時，請返回 AWS 私有 CA Connector for Active Directory 主控台並重新整理 CAs清單。您的新 CA 應可供選取。

1. 在**標籤 – 選用**窗格中，您可以在 AD 資源上套用和移除中繼資料。標籤是索引鍵/值字串對，其中索引鍵對資源必須是唯一的，而值是選用的。此窗格會顯示資料表中資源的任何現有標籤。支援以下動作。
   + 選擇**管理標籤**以開啟**管理標籤**頁面。
   + 選擇新增標籤以建立標籤。填寫**金鑰**欄位，並選擇性地填寫**值**欄位。選擇**儲存變更**以套用標籤。
   + 選擇標籤旁的**移除**按鈕以將其標記為刪除，然後選擇**儲存變更**以確認。

1. 在提供必要資訊並檢閱您的選擇之後，請選擇**建立連接器**。這會開啟 **Connectors for Active Directory** 詳細資訊頁面，您可以在其中檢視連接器建立時的進度。

   建立連接器的程序完成後，請為其指派服務主體名稱。

------
#### [ API ]

**使用 API 建立連接器**

若要使用 API 建立 Active Directory 的連接器，請使用 Connector for Active Directory API 中的 [ CreateConnector](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateConnector.html) AWS 私有 CA 動作。

------
#### [ CLI ]

**使用 建立連接器 AWS CLI**

若要使用 CLI 建立 Active Directory 的連接器，請使用 的 AWS 私有 CA Connector for Active Directory 區段中的 [ create-connector](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/create-connector.html) 命令 AWS CLI。

------

# 建立連接器範本
<a name="create-ad-template"></a>

範本是憑證發行後應如何顯示，以及用戶端應如何處理憑證的組態清單。下列程序說明如何建立範本。

------
#### [ Console ]

**使用主控台建立範本**

1. 登入 AWS 您的帳戶，並在 開啟 AWS 私有 CA Connector for Active Directory 主控台**[https://console.aws.amazon.com/pca-connector-ad/home](https://console.aws.amazon.com/pca-connector-ad/home)**。

1. 從 **Connectors for Active Directory** 清單中選擇連接器，然後選擇**檢視詳細資訊**。

1. 在連接器的詳細資訊頁面上，尋找**範本**區段，然後選擇**建立範本**。

1. 在**建立範本**頁面上的**範本建立方法**區段中，選擇其中一個方法選項。
   + **從預先定義的範本開始 **（預設） – 從預先定義的 AD 應用程式範本清單中選擇：
     +  **程式碼簽署** 
     +  **電腦** 
     +  **網域控制器身分驗證** 
     +  **EFS 復原代理程式** 
     +  **註冊代理程式** 
     +  **註冊代理程式 （電腦）** 
     +  **IPSec** 
     +  **Kerberos 身分驗證** 
     +  **RAS 和 IAS 伺服器** 
     +  **智慧卡登入** 
     +  **信任清單簽署** 
     +  **使用者簽章** 
     +  **工作站身分驗證** 
   + **從您建立的現有範本開始** – 從您先前建立的自訂範本清單中選擇。
   + **從空白範本開始** – 選擇此選項以開始建立新的範本。

1. 在**憑證設定**區段中，根據此範本定義憑證的下列設定。
   + **憑證類型** – 指定要建立**使用者**或**電腦**憑證。
   + **自動註冊** – 選擇是否根據此範本啟用憑證的自動註冊。
   + **有效期間** – 將憑證有效期間指定為小時、天、週、月或年的整數值。最小值為 2 小時。
   + **續約期間** – 將憑證續約期間指定為小時、天、週、月或年的整數值。續約期間不得超過 75% 的有效期。
   + **主旨名稱** – 根據 Active Directory 中包含的資訊，選擇要包含在主旨名稱中的一或多個選項。
**注意**  
必須指定至少一個主體名稱或主體替代名稱選項。
     +  **一般名稱** 
     +  **DNS 做為一般名稱** 
     +  **目錄路徑** 
     +  **電子郵件** 
   + **主體替代名稱** – 根據 Active Directory 中包含的資訊，選擇要包含在主體替代名稱中的一或多個選項。
**注意**  
必須指定至少一個主體名稱或主體替代名稱選項。
     +  **目錄 GUID** 
     +  **DNS 名稱** 
     +  **網域 DNS** 
     +  **電子郵件** 
     +  **服務主體名稱 (SPN)** 
     +  **使用者主體名稱 (UPN)** 

1. 在**憑證請求處理和註冊選項**區段中，根據範本指定憑證的用途，選擇下列其中一個選項。
   +  **Signature** 
   +  **加密** 
   +  **簽章和加密** 
   +  **簽章和智慧卡登入** 

   接下來，選擇要啟用的下列哪些功能。選項會根據憑證用途而有所不同。
   +  **刪除無效的憑證 （請勿封存）** 
   +  **包含對稱演算法** 
   +  **可匯出的私有金鑰** 

   最後，選擇憑證註冊選項。選項會根據憑證用途而有所不同。
   +  **不需要使用者輸入** 
   +  **註冊期間提示使用者** 
   +  **在註冊期間提示使用者，並要求使用者輸入** 

1. 在**應用程式政策**區段中，選擇所有適用的應用程式政策。可用的政策會列在數個頁面中。某些政策可能會因為先前的設定而預先選取。

1. 在**自訂應用程式政策**區段中，您可以將自訂 OIDs 新增至範本，並指定應用程式政策延伸是否重要。

1. 在**密碼編譯設定**區段中，選擇下列類別的密碼編譯設定，以根據此範本進行憑證。

1. 在**群組和許可**區段中，您可以檢視範本現有的群組和註冊許可，也可以選擇**新增群組和許可按鈕來新增群組和許可**。按鈕會開啟需要下列資訊的表單：
   +  **顯示名稱** 
   + **安全識別符** (SID)
   + **註冊**，使用選項允許 \$1 拒絕 \$1 未設定
   + **自動註冊**，含允許選項 \$1 DENY \$1 未設定

1. 在**取代範本**區段中，您可以通知 Active Directory 目前的範本會取代 AD 中建立的一或多個範本。選擇**從 Active Directory 中新增範本以取代**並指定取代範本的一般名稱，以套用取代範本。

1. 在**標籤 – 選用**窗格中，您可以在 AD 資源上套用和移除中繼資料。標籤是索引鍵/值字串對，其中索引鍵必須是 資源的唯一值，而值是選用的。此窗格會顯示資料表中資源的任何現有標籤。支援以下動作。
   + 選擇**管理標籤**以開啟**管理標籤**頁面。
   + 選擇新增標籤以建立標籤。填寫**金鑰**欄位，並選擇性地填寫**值**欄位。選擇**儲存變更**以套用標籤。
   + 選擇標籤旁的**移除**按鈕來標記要刪除，然後選擇**儲存變更**以確認。

1. 在提供必要資訊並檢閱您的選擇之後，請選擇**建立範本**。這會開啟**範本詳細資訊**，您可以在其中檢閱新範本的設定、編輯或刪除範本、管理群組和許可、管理取代的範本、管理標籤，以及為憑證持有者設定自動重新註冊。

------
#### [ API ]

**使用 API 建立連接器範本**

使用 AWS 私有 CA Connector for Active Directory API 中的 [ CreateTemplate](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html) 動作。

------
#### [ CLI ]

**使用 建立連接器範本 AWS CLI**

在 的 AWS 私有 CA Connector for Active Directory 區段中使用 [ create-template](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/create-template.html) 命令 AWS CLI。

------

# 更新 Active Directory 的範本
<a name="update-template-connector-for-ad"></a>

使用下列程序，使用主控台、命令列或 AWS 私有 CA 適用於 Connector for Active Directory 的 API 來更新範本。

------
#### [ Console ]

**使用主控台更新範本**

登入 AWS 您的帳戶，並在 開啟 AWS 私有 CA Connector for Active Directory 主控台**[https://console.aws.amazon.com/pca-connector-ad/home](https://console.aws.amazon.com/pca-connector-ad/home)**。

1. 在適用於 **Active Directory 的 Connectors** 清單中，選取您要更新其範本的連接器。選擇**編輯**以檢視和修改連接器的範本。

1. 在連接器的範本詳細資訊頁面中，選擇**編輯**。依照提示進行更新。編輯區域完成後，請選擇**儲存**以儲存變更。

------
#### [ API ]

**使用 API 更新範本**

若要使用 API 更新 Active Directory 的範本，請使用 AWS 私有 CA Connector for Active Directory API 中的 [UpdateTemplate](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_UpdateTemplate.html) 動作。

------
#### [ CLI ]

**使用 更新範本 AWS CLI**

若要使用 CLI 更新 Active Directory 的連接器，請在 的 AWS 私有 CA Connector for Active Directory 區段中使用 [ update-template](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/update-template.html) 命令 AWS CLI。

------

## Connector for Active Directory 如何傳播您的範本變更
<a name="update-template-connector-for-ad-changes"></a>

AWS 私有 CA 當您的用戶端重新整理政策快取時， 會將範本套用至您的政策，也就是每 8 小時一次。這包括範本群組存取控制項目的變更。當您的用戶端重新整理快取時，它會查詢連接器是否有可用的範本。在**自動註冊重新整理的情況下，用戶端會發出符合下列任一或兩個條件的憑證：
+ 憑證在續約期間內。
+ 憑證不存在於用戶端裝置上。

若要*手動重新整理*，用戶端會查詢連接器，而且您必須將範本設定為發行。

如果您要偵錯，您可以手動清除政策快取，以立即查看範本變更。若要這樣做，請在用戶端上執行下列 Powershell 命令。

```
certutil -f -user -policyserver * -policycache delete
```

# 列出 Active Directory 的連接器
<a name="list-connector-for-ads"></a>

您可以使用 AWS 私有 CA Connector for Active Directory 主控台或 AWS CLI 列出您擁有的連接器。

------
#### [ Console ]

**使用主控台列出連接器**

1. 登入 AWS 您的帳戶，並在 開啟 AWS 私有 CA Connector for Active Directory 主控台**[https://console.aws.amazon.com/pca-connector-ad/home](https://console.aws.amazon.com/pca-connector-ad/home)**。

1. 檢閱 **Connectors for Active Directory** 清單中的資訊。您可以使用右上角的頁碼瀏覽多個頁面的連接器。根據預設，每個連接器都會佔用一列，顯示下列資料欄的資訊。
+ **連接器 ID** – 連接器的唯一 ID。
+ **目錄名稱** – 與連接器相關聯的 Active Directory 資源。
+ **連接器狀態** – 連接器狀態。可能的值為：**建立** \$1 **作用中** \$1 **刪除** \$1 **失敗**。
+ **服務主體名稱狀態** – 與連接器相關聯的服務主體名稱 (SPN) 狀態。可能的值為：**建立** \$1 **作用中** \$1 **刪除** \$1 **失敗**。
+ **目錄註冊狀態** – 關聯主管的註冊狀態。可能的值為：**建立** \$1 **作用中** \$1 **刪除** \$1 **失敗**。
+ **建立時間**：連接器建立時的時間戳記。

透過選擇主控台右上角的齒輪圖示，您可以使用頁面**大小**偏好設定來自訂頁面上顯示的連接器數量。

------
#### [ API ]

**使用 API 列出連接器**

使用 AWS 私有 CA Connector for Active Directory API 中的 [ListConnectors](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_ListConnectors.html) 動作。

------
#### [ CLI ]

**使用 列出您的連接器 AWS CLI**

使用 [list-connectors](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/list-connectors.html) 命令來列出您的連接器。

------

# 列出連接器範本
<a name="list-ad-templates"></a>

您可以使用 AWS 私有 CA Connector for Active Directory 主控台或 AWS CLI 列出您擁有之連接器的範本。連接器範本是以 AWS 私有 CA [ BlankEndEntityCertificate\$1APIPassthrough/V1](https://docs.aws.amazon.com/privateca/latest/userguide/UsingTemplates.html#BlankEndEntityCertificate_APIPassthrough) 範本為基礎。

------
#### [ Console ]

**使用主控台列出您的範本**

1. 登入 AWS 您的帳戶，並在 開啟 AWS 私有 CA Connector for Active Directory 主控台**[https://console.aws.amazon.com/pca-connector-ad/home](https://console.aws.amazon.com/pca-connector-ad/home)**。

1. 從 **Connectors for Active Directory** 清單中選擇連接器，然後選擇**檢視詳細資訊**。

1. 在連接器詳細資訊頁面上，檢閱**範本**區段中的資訊。您可以使用右上角的頁碼導覽多個範本頁面。每個範本都會佔用一列，顯示下列資料欄的資訊。
+ **範本名稱** – 範本的人類可讀名稱。
+ **範本狀態** – 範本的狀態。可能的值為：**作用中** \$1 **刪除**。
+ **範本 ID** – 範本的唯一識別符。

------
#### [ API ]

**使用 API 列出連接器**

使用 AWS 私有 CA Connector for Active Directory API 中的 [ ListTemplates](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_ListTemplates.html) 動作來列出指定連接器的範本。

------
#### [ CLI ]

**使用 列出您的連接器 AWS CLI**

使用 [ list-templates](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/list-templates.html) 命令列出指定連接器的範本。

------

# 檢視連接器詳細資訊
<a name="view-connector-for-ad"></a>

使用下列程序，在主控台、命令列或 API for Connector for Active Directory 中檢視 AWS 私有 CA 連接器的組態詳細資訊。

------
#### [ Console ]

**使用主控台檢視連接器的詳細資訊**

1. 登入 AWS 您的帳戶，並在 開啟 AWS 私有 CA Connector for Active Directory 主控台**[https://console.aws.amazon.com/pca-connector-ad/home](https://console.aws.amazon.com/pca-connector-ad/home)**。

1. 從 **Connectors for Active Directory** 清單中選擇連接器，然後選擇**檢視詳細資訊**。

1. 在連接器詳細資訊頁面上，檢閱連接器詳細資訊窗格中的資訊，其中包含下列項目：
   + **連接器 ID**
   + **連接器狀態**
   + **其他狀態詳細資訊**
   + **連接器 ARN**
   + **憑證註冊政策伺服器端點**
   + **目錄名稱**
   + **目錄 ID**
   + **AWS 私有 CA 主旨**
   + **AWS 私有 CA status**
   + **IP 地址類型**
   + **VPC 端點和安全群組**

1. 在**範本**窗格中，您可以建立或管理與連接器相關聯的範本。

1. 從**服務主體名稱 (SPN)** 窗格中，您可以檢視與連接器相關聯的服務原則名稱。

1. 從**目錄註冊**窗格中，您可以檢視或變更與連接器相關聯的目錄註冊。

1. 從**標籤 — *選用***窗格中，您可以建立或管理與連接器相關聯的標籤。

------
#### [ API ]

**使用 API 列出連接器**

使用 AWS 私有 CA Connector for Active Directory API 中的 [GetConnector](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_GetConnector.html) 動作。

------
#### [ CLI ]

**使用 列出您的連接器 AWS CLI**

在 的 AWS 私有 CA Connector for Active Directory 區段中使用 [get-connector](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/get-connector.html) 命令 AWS CLI。

------

# 檢視連接器範本詳細資訊
<a name="view-ad-template"></a>

使用以下程序，使用主控台、命令列或適用於 Connector for Active Directory 的 API 檢視 AWS 私有 CA 連接器範本的組態詳細資訊

------
#### [ Console ]

**使用主控台檢視連接器範本的詳細資訊**

1. 登入 AWS 您的帳戶，並在 開啟 AWS 私有 CA Connector for Active Directory 主控台**[https://console.aws.amazon.com/pca-connector-ad/home](https://console.aws.amazon.com/pca-connector-ad/home)**。

1. 從 **Connectors for Active Directory** 清單中選擇連接器，然後選擇**檢視詳細資訊**。

1. 在連接器詳細資訊頁面上，檢閱**範本**區段中的資訊，然後選取您要檢查的範本。然後選擇**檢視詳細資訊**。

1. 在詳細資訊頁面上，**範本詳細資訊**窗格會顯示範本的下列相關資訊：
   +  **範本名稱** 
   +  **範本 ID** 
   +  **範本狀態** 
   +  **範本結構描述版本** 
   +  **範本版本** 
   +  **範本 ARN** 
   +  **憑證類型** 
   +  **自動註冊已開啟** 
   +  **有效期間** 
   +  **續約期間** 
   +  **主旨名稱要求** 
   +  **主體替代名稱要求** 
   +  **憑證請求和註冊設定** 
   +  **密碼編譯提供者類別** 
   +  **金鑰演算法** 
   +  **金鑰大小下限 （位元）** 
   +  **雜湊演算法** 
   +  **密碼編譯供應商** 
   +  **金鑰用量延伸設定** 

   在此窗格中，您也可以使用**編輯**、**刪除**和動作按鈕執行下列**動作**。
   +  **Edit (編輯)** 
   +  **刪除** 
   + **管理群組和許可** – 如需詳細資訊，請參閱[設定群組和許可](create-ad-template.html#create-ad-template-console-12)。
   + **管理取代的範本** – 如需詳細資訊，請參閱[檢閱和建立](create-ad-template.html#create-ad-template-console-15)。
   + **管理標籤** – 如需詳細資訊，請參閱 [標記適用於 AD 資源的 Connector](ad-tags.md)。
   + **重新註冊所有憑證持有者** – 此設定允許自動增加範本的主要版本。允許使用範本註冊的 Active Directory 群組的所有成員都會收到使用該範本發行的新憑證。如需詳細資訊，請參閱 [ UpdateTemplate](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_UpdateTemplate.html) API。

1. 下方窗格會顯示一列標籤，允許變更範本的組態。
   + **群組和許可** – 檢視和管理 Active Directory 群組使用此範本註冊憑證的許可。如需詳細資訊，請參閱[設定群組和許可](create-ad-template.html#create-ad-template-console-12)
   + **應用程式政策** – 檢視和管理範本應用程式政策。如需詳細資訊，請參閱[指派應用程式政策](create-ad-template.html#create-ad-template-console-9)。
   + **取代的範本** – 檢視和管理取代的範本。如需詳細資訊，請參閱[檢閱和建立](create-ad-template.html#create-ad-template-console-15)。
   + **標籤*選用*** – 檢視和管理此範本上的標記。如需詳細資訊，請參閱[標記適用於 AD 資源的 Connector](ad-tags.md)。

------
#### [ API ]

**使用 API 列出連接器**

使用 AWS 私有 CA Connector for Active Directory API 中的 [ GetTemplate](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_GetTemplate.html) 動作。

------
#### [ CLI ]

**使用 列出您的連接器 AWS CLI**

在 的 AWS 私有 CA Connector for Active Directory 區段中使用 [ get-template](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/get-template.html) 命令 AWS CLI。

------

# 管理目錄註冊
<a name="directory-registration"></a>

------
#### [ Console ]

**使用主控台管理目錄註冊**

連接器的目錄註冊可以從 AWS 私有 CA Connector for Active Directory 主控台的最上層進行管理。本主題會逐步解說可用的管理選項。

1. 登入 AWS 您的帳戶，並在 開啟 AWS 私有 CA Connector for Active Directory 主控台**[https://console.aws.amazon.com/pca-connector-ad/home](https://console.aws.amazon.com/pca-connector-ad/home)**。

1. 在左側導覽區域中，選擇**目錄註冊**。

1. **目錄註冊**頁面會顯示已註冊目錄的資料表，其中包含下列欄位：
   + **目錄 ID** – 目錄的唯一 ID
   + **目錄名稱** – 目錄網域網站名稱
   +  **目錄類型** 
   + **已註冊** – 註冊的狀態。支援的值正在建立 \$1 作用中 \$1 刪除 \$1 失敗。
   + **目錄狀態** – 目錄的狀態

   使用 可以使用**註冊目錄**來建立新的註冊。

1. 您可以選取其中一個列出的註冊來管理它。這會啟用**檢視註冊詳細資訊**和**取消註冊目錄**按鈕。**檢視註冊詳細資訊**按鈕會開啟註冊的詳細資訊頁面。

1.  **目錄註冊詳細資訊**窗格會顯示下列資訊：
   +  **目錄網域網站名稱** 
   + **目錄 ID** – 目錄的唯一 ID。選擇連結會帶您前往 AWS Directory Service 主控台。
   +  **目錄類型** 
   + **狀態** – 目錄的狀態
   + **目錄註冊 ARN** – 目錄註冊的 Amazon 資源名稱
   +  **其他狀態資訊** 

1. 在**連接器和服務主體名稱 (SPNs**窗格中，您可以管理連接器SPNs。如需詳細資訊，請參閱[檢視連接器詳細資訊](ad-spn.html)。

1. 在**標籤 – 選用**窗格中，您可以在 AD 資源上套用和移除中繼資料。標籤是索引鍵/值字串對，其中索引鍵對資源必須是唯一的，而值是選用的。此窗格會顯示資料表中資源的任何現有標籤。支援以下動作。
   + 選擇**管理標籤**以開啟**管理標籤**頁面。
   + 選擇新增標籤以建立標籤。填寫**金鑰**欄位，並選擇性地填寫**值**欄位。選擇**儲存變更**以套用標籤。
   + 選擇標籤旁的**移除**按鈕以將其標記為刪除，然後選擇**儲存變更**以確認。

------
#### [ API ]

 **使用 API 管理目錄註冊** 

在 AWS 私有 CA Connector for Active Directory API 中**建立**：[CreateDirectoryRegistration](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateDirectoryRegistration.html) 動作。

**擷取**： AWS 私有 CA Connector for Active Directory API 中的 [GetDirectoryRegistration](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_GetDirectoryRegistration.html) 動作。

**清單**： AWS 私有 CA Connector for Active Directory API 中的 [ListDirectoryRegistrations](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_ListDirectoryRegistrations.html) 動作。

**刪除**： AWS 私有 CA Connector for Active Directory API 中的 [DeleteDirectoryRegistration](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_DeleteDirectoryRegistration.html) 動作。

------
#### [ CLI ]

 **使用 CLI 管理目錄註冊** 

**建立**：使用 的 AWS 私有 CA Connector for Active Directory 區段中的 [create-directory-registration](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/create-directory-registration.html) 命令 AWS CLI。

**擷取**： 的 AWS 私有 CA Connector for Active Directory 區段中的 [get-directory-registration](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/get-directory-registratio.html) 命令 AWS CLI。

**清單**： 的 AWS 私有 CA Connector for Active Directory 區段中的 [list-directory-registrations](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/list-directory-registratios.html) 命令 AWS CLI。

**刪除**： 的 AWS 私有 CA Connector for Active Directory 區段中的 [delete-directory-registration](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/delete-directory-registratio.html) 命令 AWS CLI。

------

# Manage Connector for AD 範本存取控制項目
<a name="ad-groups-permissions"></a>

存取控制項目會授予控制哪些 Active Directory 群組可以或不能註冊特定 Connector for AD 範本的憑證。當您可以在 Connector for AD 中建立或管理群組和許可時，您必須從 Active Directory 提供群組物件的安全識別碼 (SID)。您可以使用下列 PowerShell 命令來取得 SID。如需 SIDs的相關資訊，請參閱 Microsoft Directory Domain Services 文件中的[安全識別符運作方式](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-identifiers)。

```
        $ Get-ADGroup -Identity "my_active_directory_group_name"
```

下列程序說明如何建立和管理 Connector for AD 範本存取群組項目。

------
#### [ Console ]

 **使用主控台管理範本群組許可** 

您可以從範本的詳細資訊頁面管理現有範本的群組和許可。如需詳細資訊，請參閱[檢視連接器範本詳細資訊](https://docs.aws.amazon.com/privateca/latest/userguide/view-ad-template.html)。

設定哪些群組可以或不能為特定範本註冊憑證的許可。您提供 群組的安全識別符 (SID)。然後，您可以設定群組的註冊和自動註冊許可。對於自動註冊，註冊和自動註冊都必須設定為「允許」。

------
#### [ API ]

 **使用 API 管理範本群組許可** 

在 AWS 私有 CA Connector for Active Directory API 中**建立**：[CreateTemplateGroupAccessControlEntry](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplateGroupAccessControlEntry.html) 動作。

**更新**： AWS 私有 CA Connector for Active Directory API 中的 [ UpdateTemplateGroupAccessControlEntry](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_UpdateTemplateGroupAccessControlEntry.html) 動作。

**擷取**： AWS 私有 CA Connector for Active Directory API 中的 [ GetTemplateGroupAccessControlEntry](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_GetTemplateGroupAccessControlEntry.html) 動作。

**清單**： AWS 私有 CA Connector for Active Directory API 中的 [ ListTemplateGroupAccessControlEntries](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_ListTemplateGroupAccessControlEntries.html) 動作。

**刪除**： AWS 私有 CA Connector for Active Directory API 中的 [ DeleteTemplateGroupAccessControlEntry](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_DeleteTemplateGroupAccessControlEntry.html) 動作。

------
#### [ CLI ]

 **使用 CLI 管理範本群組許可** 

**在** 的 AWS 私有 CA Connector for Active Directory 區段中建立：[create-template-group-access-control-entry](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/create-template-group-access-control-entry.html) 命令 AWS CLI。

**更新**： 的 AWS 私有 CA Connector for Active Directory 區段中的 [ update-template-group-access-control-entry](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/update-template-group-access-control-entry.html) 命令 AWS CLI。

**擷取**： 的 AWS 私有 CA Connector for Active Directory 區段中的 [ get-template-group-access-control-entry](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/get-template-group-access-control-entry.html) 命令 AWS CLI。

**清單**： 的 AWS 私有 CA Connector for Active Directory 區段中的 [ list-template-group-access-control-entries](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/list-template-group-access-control-entries.html) 命令 AWS CLI。

**刪除**： 的 AWS 私有 CA Connector for Active Directory 區段中的 [ delete-template-group-access-control-entries](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/delete-template-group-access-control-entries.html) 命令 AWS CLI。

------

# 設定服務主體名稱
<a name="ad-spn"></a>

了解如何設定連接器的服務主體名稱。

------
#### [ Console ]

 **使用主控台管理管理服務主體名稱** 

現有 AD 連接器的服務主體名稱 (SPN) 可以從連接器的詳細資訊頁面進行管理。如需詳細資訊，請參閱管理目錄註冊 [檢視連接器詳細資訊](view-connector-for-ad.html) 

------
#### [ API ]

 **使用 API 管理服務主體名稱** 

在 AWS 私有 CA Connector for Active Directory API 中**建立**：[CreateServicePrincipalName](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateServicePrincipalName.html) 動作。

**擷取**： AWS 私有 CA Connector for Active Directory API 中的 [ GetServicePrincipalName](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_GetServicePrincipalName.html) 動作。

**清單**： AWS 私有 CA Connector for Active Directory API 中的 [ ListServicePrincipalNames](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_ListServicePrincipalNames.html) 動作。

**刪除**： AWS 私有 CA Connector for Active Directory API 中的 [ DeleteServicePrincipalName](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_DeleteServicePrincipalName.html) 動作。

------
#### [ CLI ]

 **使用 CLI 管理服務主體名稱** 

**在** 的 AWS 私有 CA Connector for Active Directory 區段中建立：[create-service-principal-name](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/create-service-principal-name.html) 命令 AWS CLI。

**擷取**： 的 AWS 私有 CA Connector for Active Directory 區段中的 [ get-service-principal-name](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/get-service-principal-name.html) 命令 AWS CLI。

**清單**： 的 AWS 私有 CA Connector for Active Directory 區段中的 [ list-service-principal-names](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/list-service-principal-names.html) 命令 AWS CLI。

**刪除**：在 的 AWS 私有 CA Connector for Active Directory 區段中的 [ delete-service-principal-name](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/delete-service-principal-name.html) 命令 AWS CLI。

------

# 標記適用於 AD 資源的 Connector
<a name="ad-tags"></a>

您可以將標籤套用至連接器、範本和目錄註冊。標記會將中繼資料新增至可協助組織和管理的資源。

------
#### [ Console ]

 **使用主控台管理資源標記** 

現有資源的標記會在資源的詳細資訊頁面上進行管理。如需詳細資訊，請參閱下列程序：
+  [檢視連接器範本詳細資訊](view-template.html) 
+  [管理目錄註冊](directory-registration.html) 

------
#### [ API ]

 **使用 API 管理資源標記** 

**標籤**： AWS 私有 CA Connector for Active Directory API 中的 [ TagResource](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_TagResource.html) 動作。

**列出標籤**： AWS 私有 CA Connector for Active Directory API 中的 [ ListTagsForResource](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_ListTagsForResource.html) 動作。

**Untag**： AWS 私有 CA Connector for Active Directory API 中的 [ UntagResource](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_UntagResource.html) 動作。

重要 - 可以使用標籤來標記包含機密資料的物件。不過，標籤本身不應包含任何個人身分識別資訊 (PII)、敏感或機密資訊。

------
#### [ CLI ]

 **使用 CLI 管理資源標記** 

**標籤**： 的 AWS 私有 CA Connector for Active Directory 區段中的 [ tag-resource](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/tag-resource.html) 命令 AWS CLI。

**列出標籤**： 的 AWS 私有 CA Connector for Active Directory 區段中的 [ list-tags-for-resource](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/list-tags-for-resource.html) 命令 AWS CLI。

**Untag**： 的 AWS 私有 CA Connector for Active Directory 區段中的 [ untag-resource](https://docs.aws.amazon.com/cli/latest/reference/pca-connector-ad/untag-resource.html) 命令 AWS CLI。

------