Enable access to the AWS 管理控制台 with AD credentials - AWS Directory Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Enable access to the AWS 管理控制台 with AD credentials

AWS Directory Service 允许向目录的成员授予 AWS 管理控制台访问权限。默认情况下,目录成员无权访问任何 AWS 资源。可将 IAM 角色分配给目录成员,以便向其授予各种 AWS 服务和资源的访问权限。IAM 角色定义目录成员所拥有的服务、资源和访问权限级别。

目录必须首先具有访问 URL,然后您才能向目录成员授予控制台访问权限。有关如何查看目录详细信息和获取访问 URL 的更多信息,请参阅查看目录信息。有关如何创建访问 URL 的更多信息,请参阅创建访问 URL

有关如何创建 IAM 角色以及将它们分配给目录成员的更多信息,请参阅授予用户和组对 AWS 资源的访问权限

相关的 AWS 安全博客文章

Enable AWS 管理控制台 access

By default, console access is not enabled for any directory. 要为目录用户和组启用控制台访问,请执行以下步骤:

启用控制台访问

  1. AWS Directory Service console导航窗格中,选择 Directories (目录).

  2. On the Directories page, choose your directory ID.

  3. On the Directory details page, select the Application management tab.

  4. Under the AWS 管理控制台 section, choose Enable. 控制台访问现在已为目录启用。

    Before users can sign-in to the console with your access URL, you must first add your users to the role. For general information about assigning users to IAM roles, see 将用户或组分配给现有角色. 分配 IAM 角色之后,用户可以使用访问 URL 访问控制台。For example, if your directory access URL is example-corp.awsapps.com, the URL to access the console is https://example-corp.awsapps.com/console/.

Disable AWS 管理控制台 access

要为目录用户和组禁用控制台访问,请执行以下步骤:

禁用控制台访问

  1. AWS Directory Service console导航窗格中,选择 Directories (目录).

  2. On the Directories page, choose your directory ID.

  3. On the Directory details page, select the Application management tab.

  4. Under the AWS 管理控制台 section, choose Disable. Console access is now disabled for your directory.

  5. If any IAM roles have been assigned to users or groups in the directory, the Disable button may be unavailable. In this case, you must remove all IAM role assignments for the directory before proceeding, including assignments for users or groups in your directory that have been deleted, which will show as Deleted User or Deleted Group.

    删除所有 IAM 角色分配之后,重复以上步骤。

Set login session length

By default, users have 1 hour to use their session after successfully signing in to the console before they are logged out. After that, users must sign in again to start the next 1 hour session before being logged off again. 可以使用以下过程对每个会话将时间长度更改为最长 12 小时。

设置登录会话长度

  1. AWS Directory Service console导航窗格中,选择 Directories (目录).

  2. On the Directories page, choose your directory ID.

  3. On the Directory details page, select the Application management tab.

  4. AWS apps & services (AWS 应用程序和服务) 部分下,选择 AWS Management Console ( 管理控制台).

  5. Manage Access to AWS Resource 对话框中,选择 Continue.

  6. Assign users and groups to IAM roles 页面中的 Set login session length 下方,编辑编号的值,然后选择 Save.