创建新IAM角色 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建新IAM角色

如果您需要创建用于的新IAM角色 Amazon Directory Service,则必须使用IAM控制台进行创建。创建角色后,您必须与该角色建立信任关系,然后才能在 Amazon Directory Service 控制台中看到该角色。有关更多信息,请参阅 编辑现有IAM角色的信任关系

注意

执行此任务的用户必须具有执行以下IAM操作的权限。有关更多信息,请参阅 基于身份的策略(策略)IAM

  • 我是:PassRole

  • 我是:GetRole

  • 我是:CreateRole

  • 我是:PutRolePolicy

在IAM控制台中创建新角色
  1. 在IAM控制台的导航窗格中,选择角色。有关更多信息,请参阅《IAM用户指南》中的创建角色 (Amazon Web Services Management Console)

  2. 选择 Create role(创建角色)。

  3. Choose the service that will use this role (选择将使用此角色的服务) 下面,选择 Directory Service,然后选择 Next (下一步)

  4. 选中要应用于目录用户的策略(例如 Amazon EC2FullAccess)旁边的复选框,然后选择 “下一步”。

  5. 如有必要,将标签添加到该角色,然后选择 Next (下一步)

  6. 提供 Role name (角色名称) 和可选 Description (描述), 然后选择 Create role (创建角色)

创建角色以启用 Amazon Web Services Management Console 访问

以下清单举例说明了在创建新IAM角色时必须完成的任务,该角色将允许特定的 Amazon 托管 Microsoft AD 用户访问亚马逊EC2控制台。

  1. 使用上述步骤在IAM控制台中创建角色。当系统提示您输入政策时,请选择 Amazon EC2FullAccess

  2. 使用 编辑现有IAM角色的信任关系 中的步骤来编辑刚刚创建的角色,然后将所需的信任关系信息添加到策略文档。要使角色在下一步中启用访问权限后立即可见, Amazon Web Services Management Console 必须执行此步骤。

  3. 启用 Amazon Web Services Management Console 使用 Amazon 托管微软 AD 凭据进行访问 中的步骤操作,配置 Amazon Web Services Management Console的常规访问权限。

  4. 按照中的将用户或组分配给现有IAM角色步骤将需要完全EC2资源访问权限的用户添加到新角色中。