本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建新IAM角色
如果您需要创建用于的新IAM角色 Amazon Directory Service,则必须使用IAM控制台进行创建。创建角色后,您必须与该角色建立信任关系,然后才能在 Amazon Directory Service 控制台中看到该角色。有关更多信息,请参阅 编辑现有IAM角色的信任关系。
注意
执行此任务的用户必须具有执行以下IAM操作的权限。有关更多信息,请参阅 基于身份的策略(策略)IAM。
-
我是:PassRole
-
我是:GetRole
-
我是:CreateRole
-
我是:PutRolePolicy
在IAM控制台中创建新角色
-
在IAM控制台的导航窗格中,选择角色。有关更多信息,请参阅《IAM用户指南》中的创建角色 (Amazon Web Services Management Console)。
-
选择 Create role(创建角色)。
-
在 Choose the service that will use this role (选择将使用此角色的服务) 下面,选择 Directory Service,然后选择 Next (下一步)。
-
选中要应用于目录用户的策略(例如 Amazon EC2FullAccess)旁边的复选框,然后选择 “下一步”。
-
如有必要,将标签添加到该角色,然后选择 Next (下一步)。
-
提供 Role name (角色名称) 和可选 Description (描述), 然后选择 Create role (创建角色)。
创建角色以启用 Amazon Web Services Management Console 访问
以下清单举例说明了在创建新IAM角色时必须完成的任务,该角色将允许特定的 Amazon 托管 Microsoft AD 用户访问亚马逊EC2控制台。
-
使用上述步骤在IAM控制台中创建角色。当系统提示您输入政策时,请选择 Amazon EC2FullAccess。
-
使用 编辑现有IAM角色的信任关系 中的步骤来编辑刚刚创建的角色,然后将所需的信任关系信息添加到策略文档。要使角色在下一步中启用访问权限后立即可见, Amazon Web Services Management Console 必须执行此步骤。
-
按 启用 Amazon Web Services Management Console 使用 Amazon 托管微软 AD 凭据进行访问 中的步骤操作,配置 Amazon Web Services Management Console的常规访问权限。
-
按照中的将用户或组分配给现有IAM角色步骤将需要完全EC2资源访问权限的用户添加到新角色中。