Amazon Managed Microsoft AD 中的用户和组管理
您可以在 Amazon Managed Microsoft AD 中管理用户和组。您可以创建用户以表示可以访问您目录的人员或实体。您还可以创建组一次向多个用户授予和拒绝权限。您不仅可以将用户添加到组,还可以将组添加到组。当您将用户添加到组时,该用户将继承分配给该组的角色和权限。将组添加到组时,这些组将共享父子关系,子组继承分配给父组的角色和权限。您也可以将用户的组成员资格复制给其他用户。
可以使用以下方法通过Amazon Directory Service Data管理用户和组:
有关 Amazon Directory Service Data CLI 的演示,请观看以下 YouTube 视频。
或者,您可以使用加入域的实例。
使用 Amazon Web Services 管理控制台管理用户和组
您可以在 Amazon Web Services 管理控制台中使用 Amazon Directory Service Data 管理用户和组。Directory Service Data 是 Amazon Directory Service 的扩展,它使您能够执行内置的对象管理任务。其中一些任务包括创建用户和组、将用户添加到组以及将组添加到组。
有关更多信息,请参阅使用 Amazon Web Services 管理控制台管理 Amazon Managed Microsoft AD 用户和组。
注意
要使用此功能,必须将其启用。有关更多信息,请参阅启用用户和组管理。
您只能从目录的主 Amazon Web Services 区域使用 Amazon Web Services 管理控制台管理用户和组。有关更多信息,请参阅主区域与其他区域。
您需要必要的 IAM 权限才能使用 Amazon Directory Service Data。有关更多信息,请参阅 Amazon Directory Service API 权限:操作、资源和条件参考。要向用户和工作负载授予权限,您可以使用 Amazon 托管策略:AWSDirectoryServiceDataFullAccess或 Amazon 托管策略:AWSDirectoryServiceDataReadOnlyAccess等 Amazon 托管策略。有关更多信息,请参阅 IAM 安全最佳实践。
使用 Amazon CLI管理用户和组
您可以在 Amazon CLI 中通过 Amazon Directory Service Data API 管理用户和组。Directory Service Data 是 Amazon Directory Service 的扩展,它使您能够使用 ds-data 命名空间执行内置的对象管理任务。其中一些任务包括创建用户和组、将用户添加到组以及将组添加到组。
使用 Amazon Directory Service Data CLI 创建用户
以下是使用 ds-data 命名空间创建用户的 Amazon CLI 命令示例。
aws ds-data create-user --directory-idd-1234567890--sam-account-name"jane.doe"--regionyour-Primary-Region-name
注意
要使用此 Amazon CLI,必须将其启用。有关更多信息,请参阅 启用或禁用用户和组管理或 Amazon Directory Service Data。
您只能从目录的主 Amazon Web Services 区域使用 Amazon Directory Service Data CLI 管理用户和组。有关更多信息,请参阅主区域与其他区域。
您需要必要的 IAM 权限才能使用 Amazon Directory Service Data。有关更多信息,请参阅 Amazon Directory Service API 权限:操作、资源和条件参考。要向用户和工作负载授予权限,您可以使用 Amazon 托管策略:AWSDirectoryServiceDataFullAccess或 Amazon 托管策略:AWSDirectoryServiceDataReadOnlyAccess等 Amazon 托管策略。有关更多信息,请参阅 IAM 安全最佳实践。
有关更多信息,请参阅使用 Amazon CLI管理 Amazon Managed Microsoft AD 用户和组。
使用 Amazon Tools for PowerShell 管理用户和组
Amazon Tools for PowerShell 提供了两个单独的 Amazon Directory Service 管理模块:AWS.Tools.DirectoryService(DS)和 AWS.Tools.DirectoryServiceData(DSD)。使用 Amazon Directory Service 时,务必确保使用适合预期操作的模块。
-
DirectoryService模块包含用于管理目录服务配置和管理的 cmdlet,包括Enable-DSDirectoryDataAccess、Disable-DSDirectoryDataAccess和Reset-DSUserPassword等 cmdlet。 -
DirectoryServiceData模块包含用于在目录中执行操作的 cmdlet,特别是侧重于用户和组管理。这些 DSD cmdlet 包括用户管理操作(New-DSDUser、Get-DSDUser、Update-DSDUser和Remove-DSDUser)、组管理操作(New-DSDGroup、Get-DSDGroup和Update-DSDGroup、Remove-DSDGroup)、组成员资格管理(Add-DSDGroupMember和Remove-DSDGroupMember)以及搜索功能(Search-DSDUser和Search-DSDGroup)。
使用本地实例或 Amazon EC2 实例管理用户和组
如果 Amazon Directory Service Data 不支持您的用例,我们建议您使用本地或 EC2 实例管理用户和组。
要在 Amazon Managed Microsoft AD 中创建用户和组,您可以使用已经加入 Amazon Managed Microsoft AD 的任意实例(来自本地或 EC2)。您需要以具有权限创建用户和组的用户身份登录。您还需要在实例上安装 Active Directory 工具,以便添加具有 Active Directory 用户和计算机工具的用户和组。
-
您可以使用 Amazon Directory Service 管理控制台中预安装的 Active Directory 管理工具部署预配置的 EC2 实例。有关更多信息,请参阅 在 Amazon Managed Microsoft AD Active Directory 中启动目录管理实例。
-
如果您需要使用管理工具部署自托管式 EC2 实例并安装必要的工具,请参阅 步骤 3:部署 Amazon EC2 实例部署以管理 Amazon Managed Microsoft AD Active Directory。