使用 Amazon Managed Microsoft AD 凭证启用 Amazon Web Services Management Console访问权限 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 Amazon Managed Microsoft AD 凭证启用 Amazon Web Services Management Console访问权限

Amazon Directory Service 允许向目录的成员授予 Amazon Web Services Management Console访问权限。默认情况下,目录成员无权访问任何 Amazon 资源。可将 IAM 角色分配给目录成员,以便向其授予各种 Amazon 服务和资源的访问权限。IAM 角色定义目录成员所拥有的服务、资源和访问权限级别。

目录必须首先具有访问 URL,然后您才能向目录成员授予控制台访问权限。有关如何查看目录详细信息和获取访问 URL 的更多信息,请参阅 查看 Amazon Managed Microsoft AD 目录信息。有关如何创建访问 URL 的更多信息,请参阅为 Amazon Managed Microsoft AD 创建访问 URL

有关如何创建 IAM 角色以及将其分配给目录成员的更多信息,请参阅 向 Amazon Managed Microsoft AD 用户和组授予使用 IAM 角色访问 Amazon 资源的权限

相关的 Amazon 安全博客文章

注意

对 Amazon Web Services Management Console 的访问权限是 Amazon Managed Microsoft AD 的一项区域性功能。如果您使用的是多区域复制,则必须分别在每个区域中应用以下过程。有关更多信息,请参阅 全局与区域特色

启用 Amazon Web Services Management Console访问权限

默认情况下,不会为任何目录启用控制台访问。要为目录用户和组启用控制台访问,请执行以下步骤:

启用控制台访问
  1. Amazon Directory Service 控制台导航窗格中,选择目录

  2. 目录页面上,选择您的目录 ID。

  3. 报告详细信息页面上,执行以下操作之一:

    • 如果多区域复制下显示多个区域,选择要为其启用 Amazon Web Services Management Console 访问的区域,然后选择应用程序管理选项卡。有关更多信息,请参阅 主区域与其他区域

    • 如果多区域复制下未显示任何区域,选择应用程序管理选项卡。

  4. Amazon Web Services Management Console 部分下,选择启用。控制台访问现在已为目录启用。

    重要

    在用户使用访问 URL 登录控制台之前,您必须先将用户添加到 IAM 角色中。有关为用户分配 IAM 角色的一般信息,请参阅 向现有 IAM 角色分配用户或组。分配 IAM 角色之后,用户就可以使用访问 URL 访问控制台了。例如,如果目录的访问 URL 是 example-corp.awsapps.com,则用于访问控制台的 URL 是 https://example-corp.awsapps.com/console/。

禁用 Amazon Web Services Management Console访问权限

要为 Amazon Managed Microsoft AD 目录用户和组禁用 Amazon Web Services Management Console访问权限,请执行以下步骤:

禁用控制台访问
  1. Amazon Directory Service 控制台导航窗格中,选择目录

  2. 目录页面上,选择您的目录 ID。

  3. 报告详细信息页面上,执行以下操作之一:

    • 如果多区域复制下显示多个区域,选择要为其禁用 Amazon Web Services Management Console 访问的区域,然后选择应用程序管理选项卡。有关更多信息,请参阅 主区域与其他区域

    • 如果多区域复制下未显示任何区域,选择应用程序管理选项卡。

  4. Amazon Web Services Management Console 部分下,选择禁用。控制台访问现在已为目录禁用。

  5. 如果有任何 IAM 角色已分配给目录中的用户或组,则禁用按钮可能不可用。在这种情况下,您必须删除目录的所有 IAM 角色分配再继续,包括目录中已删除的针对用户或组的分配,分别显示为已删除用户已删除组

    删除所有 IAM 角色分配之后,重复以上步骤。

设置 Amazon Web Services Management Console登录会话长度

默认情况下,用户在成功登录 Amazon Web Services Management Console之后以及注销之前,有 1 小时时间可使用其会话。在此之后,用户必须再次登录才能开始下一个 1 小时会话,然后再次注销。可以使用以下过程对每个会话将时间长度更改为最长 12 小时。

设置 Amazon Web Services Management Console登录会话长度
  1. Amazon Directory Service 控制台导航窗格中,选择目录

  2. 目录页面上,选择您的目录 ID。

  3. 报告详细信息页面上,执行以下操作之一:

    • 如果多区域复制下显示多个区域,选择要为其设置登录会话时长的区域,然后选择应用程序管理选项卡。有关更多信息,请参阅 主区域与其他区域

    • 如果多区域复制下未显示任何区域,选择应用程序管理选项卡。

  4. Amazon 应用程序和服务 部分下,选择 Amazon 管理控制台

  5. 管理对 Amazon 资源的访问对话框中,选择继续

  6. Assign users and groups to IAM roles 页面中的 Set login session length 下方,编辑编号的值,然后选择 Save