Amazon 托管 Microsoft AD 中的用户和群组管理 - Amazon Directory Service
Amazon Web Services Management ConsoleAmazon CLIAmazon Tools for PowerShell本地或 Amazon EC2 实例
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 托管 Microsoft AD 中的用户和群组管理

你可以在 Amazon 托管 Microsoft AD 中管理用户和群组。您可以创建用户以表示可以访问您目录的人员或实体。您还可以创建组一次向多个用户授予和拒绝权限。您不仅可以将用户添加到组,还可以将组添加到组。当您将用户添加到组时,该用户将继承分配给该组的角色和权限。将组添加到组时,这些组将共享父子关系,子组继承分配给父组的角色和权限。您也可以将用户的组成员资格复制给其他用户。

可以使用以下方法通过Amazon Directory 服务数据管理用户和组:

有关 Di Amazon rectory Service Data CLI 的演示,请参阅以下内容 YouTube 视频。

或者,您可以使用加入域的实例

使用 Amazon Web Services Management Console管理用户和组

您可以使用 with Di Amazon rectory Servic Amazon Web Services Management Console e Data 管理用户和群组。Directory Service Data 是的扩展,它使您能够执行内置的对象管理任务。 Amazon Directory Service 其中一些任务包括创建用户和组、将用户添加到组以及将组添加到组。

有关更多信息,请参阅使用 Amazon Web Services Management Console管理 Amazon Managed Microsoft AD 用户和组

注意

要使用此功能,必须将其启用。有关更多信息,请参阅启用用户和组管理

您只能使用目录的 “主 Amazon Web Services 区域 目录” Amazon Web Services Management Console 中的用户和群组。有关更多信息,请参阅主区域与其他区域

您需要必要的 IAM 权限才能使用 Amazon Directory Service 数据。有关更多信息,请参阅 Amazon Directory Service API 权限:操作、资源和条件参考。要开始向您的用户和工作负载授予权限,您可以使用 Amazon 托管策略,例如AWSDirectoryServiceDataFullAccessAWSDirectoryServiceDataReadOnlyAccess。有关更多信息,请参阅 IAM 安全最佳实践

使用 Amazon CLI管理用户和组

您可以 Amazon CLI 通过 Di Amazon rectory Service Data API 管理用户和群组。Directory Service Data 是的扩展,它使您能够使用ds-data命名空间执行内置对象管理任务。 Amazon Directory Service 其中一些任务包括创建用户和组、将用户添加到组以及将组添加到组。

使用 Di Amazon rectory Service Data CLI 创建用户

以下是使用ds-data命名空间创建用户的 Amazon CLI 命令示例。

aws ds-data create-user --directory-id d-1234567890 --sam-account-name "jane.doe" --region your-Primary-Region-name
注意

要使用它 Amazon CLI,必须将其启用。有关更多信息,请参阅 启用或禁用用户和群组管理或 Amazon Directory Service Data

您只能使用目录的主 Amazon Amazon Web Services 区域 目录中的 Directory Service Data CLI 来管理用户和群组。有关更多信息,请参阅主区域与其他区域

您需要必要的 IAM 权限才能使用 Amazon Directory Service 数据。有关更多信息,请参阅 Amazon Directory Service API 权限:操作、资源和条件参考。要开始向用户和工作负载授予权限,您可以使用 Amazon 托管策略,例如。 AWSDirectoryServiceDataFullAccessAWSDirectoryServiceDataReadOnlyAccess。有关更多信息,请参阅 IAM 安全最佳实践

有关更多信息,请参阅使用 Amazon CLI管理 Amazon Managed Microsoft AD 用户和组

使用管理用户和群组 Amazon Tools for PowerShell

Amazon Tools for PowerShell提供了两个单独的管理模块 Amazon Directory Service:AWS.Tools.DirectoryService(DS) 和 AWS.Tools.DirectoryServiceData (DSD)。使用时 Amazon Directory Service,请确保使用适合您预期操作的模块。

  • DirectoryService模块包含用于管理目录服务配置和管理的 cmdlet,包括诸如Enable-DSDirectoryDataAccess、和之类的 cmdlet。Disable-DSDirectoryDataAccess Reset-DSUserPassword

  • DirectoryServiceData模块包含用于在目录中执行操作的 cmdlet,特别侧重于用户和组管理。这些 DSD cmdlet 包括用户管理操作(New-DSDUserGet-DSDUserUpdate-DSDUser、、和Remove-DSDUser)、组管理操作(New-DSDGroup、和Get-DSDGroupRemove-DSDGroupUpdate-DSDGroup、群组成员资格管理(Add-DSDGroupMember、和Remove-DSDGroupMember)以及搜索功能(Search-DSDUser和)。Search-DSDGroup

使用本地实例或 Amazon EC2 实例管理用户和群组

如果 Amazon Directory Service Data 不支持你的用例,我们建议使用本地或 EC2 实例管理用户和群组。

要在 Amazon 托管 Microsoft AD 中创建用户和群组,您可以使用任何已加入 Amazon 托管 Microsoft AD 的实例(本地或 EC2)。您需要以具有权限创建用户和组的用户身份登录。您还需要安装 Active Directory 在您的实例上安装工具,因此您可以使用添加用户和群组 Active Directory 用户和计算机工具。

主题