允许访问Amazon Web Services Management Console使用 AD 凭据 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

允许访问Amazon Web Services Management Console使用 AD 凭据

Amazon Directory Service 允许向目录的成员授予 Amazon Web Services Management Console访问权限。默认情况下,目录成员无权访问任何 Amazon 资源。您可以将 IAM 角色分配给目录成员,以便向其授予各种Amazon服务和资源。IAM 角色定义目录成员所拥有的服务、资源和访问权限级别。

目录必须首先具有访问 URL,然后您才能向目录成员授予控制台访问权限。有关如何查看目录详细信息和获取访问 URL 的更多信息,请参阅查看目录信息. 有关如何创建访问 URL 的更多信息,请参阅创建访问 URL

有关如何创建 IAM 角色并将它们分配给目录成员的更多信息,请参阅向用户和组授予访问权限Amazonresources.

相关Amazon安全博客文章

注意

针对的访问权限Amazon Web Services Management Console是的区域特征Amazon托管的 Microsoft AD。如果您正在使用多区域复制,必须在每个地区单独应用以下程序。有关更多信息,请参阅全球与区域功能

启用Amazon Web Services Management Console访问

默认情况下,不会为任何目录启用控制台访问。要为目录用户和组启用控制台访问,请执行以下步骤:

注意

你目前无法使用Amazon Web Services SSO访问Amazon Web Services Management Console在选择加入区域。有关这些区域的列表,请参阅区域和可用区.

启用控制台访问

  1. Amazon Directory Service 控制台导航窗格中,选择 Directories (目录)

  2. Directories 页面上,选择您的目录 ID。

  3. 在存储库的目录详细信息页面上,执行以下操作之一:

    • 如果你在下面显示了多个地区多区域复制选择要在其中启用访问Amazon Web Services Management Console选择,然后选择应用程序管选项卡 有关更多信息,请参阅主要与其他地区

    • 如果您没有显示在下面的任何区域多区域复制,选择应用程序管选项卡

  4. Amazon Web Services Management Console部分,选择。启用. 控制台访问现在已为目录启用。

    首先必须先将用户添加到角色,然后用户才能使用访问 URL 登录控制台。有关将用户分配给 IAM 角色的一般信息,请参阅将用户或组分配到现有角色. 分配 IAM 角色之后,用户可以使用访问 URL 访问控制台。例如,如果您的目录访问 URL 是 example-corp.awsapps.com,则用于访问控制台的 URL 是 https://example-corp.awsapps.com/console/。

禁用Amazon Web Services Management Console访问

要为目录用户和组禁用控制台访问,请执行以下步骤:

禁用控制台访问

  1. Amazon Directory Service 控制台导航窗格中,选择 Directories (目录)

  2. Directories 页面上,选择您的目录 ID。

  3. 在存储库的目录详细信息页面上,执行以下操作之一:

    • 如果你在下面显示了多个地区多区域复制选择,选择要在其中禁用对Amazon Web Services Management Console选择,然后选择应用程序管选项卡 有关更多信息,请参阅主要与其他地区

    • 如果您没有显示在下面的任何区域多区域复制,选择应用程序管选项卡

  4. Amazon Web Services Management Console部分,选择。禁用. 控制台访问现在已禁用对目录。

  5. 如果有任何 IAM 角色已分配给目录中的用户或组,则禁用按钮可能不可用。在这种情况下,您必须删除目录的所有 IAM 角色分配再继续,包括您目录中已删除的用户或组的分配,这将显示为已删除用户或者已删除的组.

    删除所有 IAM 角色分配之后,重复以上步骤。

设置登录会话长度

默认情况下,用户在成功登录控制台之后以及注销之前,有 1 小时时间可使用其会话。在此之后,用户必须再次登录才能开始下一个 1 小时会话,然后再次注销。可以使用以下过程对每个会话将时间长度更改为最长 12 小时。

设置登录会话长度

  1. Amazon Directory Service 控制台导航窗格中,选择 Directories (目录)

  2. Directories 页面上,选择您的目录 ID。

  3. 在存储库的目录详细信息页面上,执行以下操作之一:

    • 如果你在下面显示了多个地区多区域复制中,选择要在其中设置登录会话长度的区域,然后选择应用程序管选项卡 有关更多信息,请参阅主要与其他地区

    • 如果您没有显示在下面的任何区域多区域复制,选择应用程序管选项卡

  4. Amazon应用程序和服务部分,选择。Amazon管理控制台.

  5. 管理对 的访问Amazon资源对话框中,选择Continue.

  6. Assign users and groups to IAM roles 页面中的 Set login session length 下方,编辑编号的值,然后选择 Save