本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建新角色
如果您需要创建用于的新 IAM 角色 Amazon Directory Service,则必须使用 IAM 控制台创建该角色。创建角色后,您必须与该角色建立信任关系,然后才能在 Amazon Directory Service 控制台中看到该角色。有关更多信息,请参阅编辑现有角色的信任关系。
注意
执行此任务的用户必须有权执行以下 IAM 操作。有关更多信息,请参阅基于身份的策略(IAM policy)。
-
我是:PassRole
-
我是:GetRole
-
我是:CreateRole
-
我是:PutRolePolicy
要在 IAM 控制台中创建新角色
-
在 IAM 控制台的导航窗格中,选择角色。有关更多信息,请参阅《IAM 用户指南》中的创建 IAM 角色(Amazon Web Services Management Console)。
-
选择 创建角色。
-
在 Choose the service that will use this role (选择将使用此角色的服务) 下面,选择 Directory Service,然后选择 Next (下一步)。
-
选中要应用于目录用户的策略(例如 AmazonEC2 FullAccess)旁边的复选框,然后选择 “下一步”。
-
如有必要,将标签添加到该角色,然后选择 Next (下一步)。
-
提供 Role name (角色名称) 和可选 Description (描述), 然后选择 Create role (创建角色)。
创建角色以启用 Amazon Web Services Management Console 访问
以下核对清单提供了您创建新角色所必须完成的任务示例,该角色将向特定目录用户提供对 Amazon EC2 控制台的访问权限。
-
使用上述过程用 IAM 控制台创建一个角色。当系统提示您输入政策时,请选择 AmazonEC2 FullAccess。
-
使用 编辑现有角色的信任关系 中的步骤来编辑刚刚创建的角色,然后将所需的信任关系信息添加到策略文档。要使角色在下一步中启用访问权限后立即可见, Amazon Web Services Management Console 必须执行此步骤。
-
按 允许使用 AD 凭证访问 Amazon Web Services Management Console 中的步骤操作,配置 Amazon Web Services Management Console的常规访问权限。
-
按照 为用户或组分配现有角色 中的步骤操作,将需要 EC2 资源的完全访问权限的用户添加到新角色。