本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 启用 Amazon Web Services 管理控制台 使用 Amazon 托管微软 AD 凭据进行访问
<a name="ms_ad_management_console_access"></a>

Amazon Directory Service 允许您向目录成员授予访问权限 Amazon Web Services 管理控制台。默认情况下，您的目录成员无权访问任何 Amazon 资源。您可以为目录成员分配 IAM 角色，让他们能够访问各种 Amazon 服务和资源。IAM 角色定义目录成员所拥有的服务、资源和访问权限级别。

目录必须首先具有访问 URL，然后您才能向目录成员授予控制台访问权限。有关如何查看目录详细信息和获取访问 URL 的更多信息，请参阅 [查看 Amazon 托管微软 AD 目录信息](ms_ad_view_directory_info.md)。有关如何创建访问 URL 的更多信息，请参阅[为 Amazon 托管 Microsoft AD 创建访问网址](ms_ad_create_access_url.md)。

有关如何创建 IAM 角色以及将其分配给目录成员的更多信息，请参阅 [向 Microsoft AD Amazon 托管用户和群组授予使用 IAM 角色访问 Amazon 资源的权限](ms_ad_manage_roles.md)。

**Topics**
+ [启用 Amazon Web Services 管理控制台 访问权限](#console_enable)
+ [禁用 Amazon Web Services 管理控制台 访问权限](#console_disable)
+ [设置 Amazon Web Services 管理控制台 登录会话时长](#console_session)

**相关 Amazon 安全博客文章**
+ [如何 Amazon Web Services 管理控制台 使用 Amazon 托管 Microsoft AD 和您的本地凭据进行访问](https://www.amazonaws.cn/blogs/security/how-to-access-the-aws-management-console-using-aws-microsoft-ad-and-your-on-premises-credentials/)

**相关 Amazon Web Services re:Post 文章**
+ [如何 Amazon Web Services 管理控制台 为本地 Active Directory 用户授予访问权限？](https://repost.aws/knowledge-center/enable-active-directory-console-access)

**注意**  
访问权限 Amazon Web Services 管理控制台 是 Amazon 托管 Microsoft AD 的一项区域性功能。如果您使用的是[多区域复制](ms_ad_configure_multi_region_replication.md)，则必须分别在每个区域中应用以下过程。有关更多信息，请参阅 [全局与区域特色](multi-region-global-region-features.md)。

## 启用 Amazon Web Services 管理控制台 访问权限
<a name="console_enable"></a>

默认情况下，不会为任何目录启用控制台访问。要为目录用户和组启用控制台访问，请执行以下步骤：

**启用控制台访问**

1. 在 [Amazon Directory Service 控制台](https://console.amazonaws.cn/directoryservicev2/)导航窗格中，选择**目录**。

1. 在**目录**页面上，选择您的目录 ID。

1. 在**报告详细信息**页面上，执行以下操作之一：
   + 如果您在**多区域复制**下显示了多个区域，请选择要允许访问的区域 Amazon Web Services 管理控制台，然后选择**应用程序管理**选项卡。有关更多信息，请参阅 [主区域与其他区域](multi-region-global-primary-additional.md)。
   + 如果**多区域复制**下未显示任何区域，选择**应用程序管理**选项卡。

1. 在 **Amazon Web Services 管理控制台** 部分下，选择**启用**。控制台访问现在已为目录启用。
**重要**  
在用户使用访问 URL 登录控制台之前，您必须先将用户添加到 IAM 角色中。有关为用户分配 IAM 角色的一般信息，请参阅 [向现有 IAM 角色分配用户或组](assign_role.md)。分配 IAM 角色之后，用户就可以使用访问 URL 访问控制台了。例如，如果目录的访问 URL 为 `example-corp.awsapps.com`，则访问控制台的 URL 为 `https://example-corp.awsapps.com/console/`。

## 禁用 Amazon Web Services 管理控制台 访问权限
<a name="console_disable"></a>

要 Amazon Web Services 管理控制台 禁用您的 Amazon 托管 Microsoft AD 目录用户和群组的访问权限，请执行以下步骤：

**禁用控制台访问**

1. 在 [Amazon Directory Service 控制台](https://console.amazonaws.cn/directoryservicev2/)导航窗格中，选择**目录**。

1. 在**目录**页面上，选择您的目录 ID。

1. 在**报告详细信息**页面上，执行以下操作之一：
   + 如果您在**多区域复制下显示了多个区域**，请选择要在其中禁用访问的区域 Amazon Web Services 管理控制台，然后选择**应用程序管理**选项卡。有关更多信息，请参阅 [主区域与其他区域](multi-region-global-primary-additional.md)。
   + 如果**多区域复制**下未显示任何区域，选择**应用程序管理**选项卡。

1. 在 **Amazon Web Services 管理控制台** 部分下，选择**禁用**。控制台访问现在已为目录禁用。

1. 如果有任何 IAM 角色已分配给目录中的用户或组，则**禁用**按钮可能不可用。在这种情况下，您必须删除目录的所有 IAM 角色分配再继续，包括目录中已删除的针对用户或组的分配，分别显示为**已删除用户**或**已删除组**。

   删除所有 IAM 角色分配之后，重复以上步骤。

## 设置 Amazon Web Services 管理控制台 登录会话时长
<a name="console_session"></a>

默认情况下，用户在成功登录后有 1 小时的时间使用会话， Amazon Web Services 管理控制台 然后才能注销。在此之后，用户必须再次登录才能开始下一个 1 小时会话，然后再次注销。可以使用以下过程对每个会话将时间长度更改为最长 12 小时。

**设置 Amazon Web Services 管理控制台 登录会话时长**

1. 在 [Amazon Directory Service 控制台](https://console.amazonaws.cn/directoryservicev2/)导航窗格中，选择**目录**。

1. 在**目录**页面上，选择您的目录 ID。

1. 在**报告详细信息**页面上，执行以下操作之一：
   + 如果**多区域复制**下显示多个区域，选择要为其设置登录会话时长的区域，然后选择**应用程序管理**选项卡。有关更多信息，请参阅 [主区域与其他区域](multi-region-global-primary-additional.md)。
   + 如果**多区域复制**下未显示任何区域，选择**应用程序管理**选项卡。

1. 在 **Amazon 应用程序和服务** 部分下，选择 **Amazon 管理控制台**。

1. 在 “**管理 Amazon 资源访问权限**” 对话框中，选择 “**继续**”。

1. 在 **Assign users and groups to IAM roles** 页面中的 **Set login session length** 下方，编辑编号的值，然后选择 **Save**。