本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将用户或组分配给现有IAM角色
你可以将现有IAM角色分配给 Amazon 托管的 Microsoft AD 用户或群组。为此,请确保您已完成以下操作。
先决条件
-
创建一个与之有信任关系的角色 Amazon Directory Service。对于现有IAM角色,您需要编辑现有角色的信任关系。
重要
不支持目录内嵌套群组中的 Amazon 托管 Microsoft AD 用户进行访问。父组的成员拥有控制台访问权限,但是子组成员不拥有。
将 Amazon 托管的 Microsoft AD 用户或群组分配给现有IAM角色
-
在 Amazon Directory Service 控制台
导航窗格的 Active Directory 下,选择目录。 -
在目录页面上,选择您的目录 ID。
-
在报告详细信息页面上,执行以下操作之一:
-
如果多区域复制下未显示任何区域,选择应用程序管理选项卡。
-
如果多区域复制下显示多个区域,选择要执行分配的区域,然后选择应用程序管理选项卡。有关更多信息,请参阅 主区域与其他区域。
-
-
向下滚动到该Amazon Web Services Management Console部分,选择 “操作” 和 “启用”。
-
在 “委派控制台访问权限” 部分下,为要向其分配用户的现有IAM角色选择角色名称。IAM
-
在 Selected role (所选角色) 页面的 Manage users and groups for this role (管理此角色的用户和组) 下,选择 Add (添加)。
-
在为用户和组分配角色页面的选择 Active Directory 林下,选择 Amazon Managed Microsoft AD 林(此林)或本地林(受信任林),也就是需要访问 Amazon Web Services Management Console的账户所在的林。有关如何设置受信任林的更多信息,请参阅教程:在 Amazon Microsoft AD 与自托管式 Active Directory 域之间创建信任关系。
-
在 Specify which users or groups to add (指定要添加的用户或组) 下,选择 Find by user (按用户查找) 或 Find by group (按组查找),然后键入用户或组的名称。在可能匹配项的列表中,选择您要添加的用户或组。
-
选择添加以完成向角色分配用户和组的工作。