Agregar y quitar miembros AWS administrados de Microsoft AD a grupos y de grupos a grupos

PDFRSS

Con los datos del AWS Directory Service API, un miembro puede ser un usuario, un grupo o un equipo. Un usuario representa a una persona o entidad que puede acceder al directorio. Los grupos le permiten conceder y denegar permisos a más de un usuario a la vez.

Utilice los siguientes procedimientos para agregar o quitar un usuario AWS administrado de Microsoft AD a un grupo o un grupo a otro grupo con datos de administración de usuarios y grupos o de AWS Directory Service en AWS Management Console AWS CLI, o Herramientas de AWS para PowerShell.

Adición de un usuario a un grupo

Utilice el siguiente procedimiento para agregar un usuario de Microsoft AD AWS administrado a un grupo con datos de administración de usuarios y grupos o de AWS Directory Service en AWS Management Console AWS CLI, o Herramientas de AWS para PowerShell.

importante

Al agregar un usuario de Microsoft AD AWS administrado a un grupo, el usuario hereda las funciones y los permisos asignados al grupo. Estos roles y permisos forman parte de los miembros del grupo del usuario.

Antes de comenzar cualquiera de los procedimientos, deberá completar lo siguiente:

• Creación de su Microsoft AD AWS administrado.

• Para usar la administración de usuarios y grupos o los datos de AWS Directory ServiceCLI, debe estar habilitada. Para obtener más información, consulte Habilitar la administración de usuarios y grupos o Directory Service Data.

• Solo puede activar esta función desde Región de AWS el directorio principal. Para obtener más información, consulte Regiones principales frente a regiones adicionales.

• Necesitará los IAM permisos necesarios para usar AWS Directory Service Data. Para obtener más información, consulte AWS Directory Service Permisos de API: referencia a acciones, recursos y condiciones. Para empezar a conceder permisos a sus usuarios y cargas de trabajo, puede utilizar políticas AWS gestionadas como AWSDirectoryServiceDataFullAccess oAWSDirectoryServiceDataReadOnlyAccess. Para obtener más información, consulte las prácticas recomendadas de seguridad en IAM.

• Cree un usuario de Microsoft AD AWS administrado.

• Cree un grupo de Microsoft AD AWS administrado.

AWS Management Console

Puede agregar un miembro AWS administrado de Microsoft AD a un grupo con AWS Management Console.

Para agregar un usuario AWS administrado de Microsoft AD a un grupo con la AWS Management Console

1. Abra la AWS Directory Service consola en https://console.aws.amazon.com/directoryservicev2/.

2. En el panel de navegación, elija Active Directoryy, a continuación, elija Directorios. Se le dirigirá a la pantalla de directorios, donde podrá ver una lista de los directorios de su Región de AWS.

3. Seleccione un directorio. Esto lo llevará a la pantalla Detalles del directorio.

4. Elija Grupos. Para buscar grupos, escriba el nombre del grupo en el cuadro de búsqueda de la sección Grupos. La pestaña muestra una lista de los grupos de su Región de AWS.

5. Seleccione un grupo. Esto lo llevará a la pantalla Detalles del grupo.

6. Seleccione Miembros. En la pestaña se muestra una lista de usuarios y grupos secundarios por tipo de miembro del grupo.

7. En la pestaña Miembros, seleccione Agregar miembro.

8. En Miembros, seleccione el usuario que desea agregar al grupo y, a continuación, seleccione Agregar miembro al grupo. Para buscar miembros, escriba el nombre de inicio de sesión del usuario para los usuarios y el nombre del grupo para los grupos en el cuadro de búsqueda en la sección Miembros.

AWS CLI

A continuación, se describe cómo formatear una solicitud que agrega un miembro AWS administrado de Microsoft AD a un grupo con los datos de AWS Directory ServiceCLI.

Para agregar un usuario de Microsoft AD AWS administrado a un grupo con la AWS CLI

• Para añadir un usuario a un grupo, abra y ejecute el siguiente comando AWS CLI, sustituyendo el identificador del directorio, los nombres del grupo y de los miembros por el identificador del directorio AWS administrado de Microsoft AD y los nombres de los grupos y miembros:

aws ds-data add-group-member --directory-id d-1234567890 --group-name "your-group-name" --member-name "jane.doe"

Herramientas de AWS para PowerShell

A continuación se describe cómo formatear una solicitud que agrega un miembro AWS administrado de Microsoft AD a un grupo con Herramientas de AWS para PowerShell.

Para agregar un usuario de Microsoft AD AWS administrado a un grupo con Herramientas de AWS para PowerShell

• Para añadir un usuario a un grupo, abra el Windows PowerShelly ejecuta el siguiente comando, sustituyendo el identificador del directorio, los nombres de los grupos y los miembros por el identificador del directorio AWS administrado de Microsoft AD y los nombres de los grupos y miembros:

Add-DSDGroupMember -DirectoryId d-1234567890 -GroupName "your-group-name" -MemberName "jane.doe"

Eliminación de un usuario de un grupo

Con los datos del AWS Directory Service API, un miembro puede ser un usuario, un grupo o un equipo. Un usuario representa a una persona o entidad que puede acceder al directorio. Los grupos le permiten conceder y denegar permisos a más de un usuario a la vez.

Use el siguiente procedimiento para quitar un usuario AWS administrado de Microsoft AD a un grupo con datos de administración de usuarios y grupos o de AWS Directory Service en AWS Management Console AWS CLI, o Herramientas de AWS para PowerShell.

importante

Al eliminar un usuario de Microsoft AD AWS administrado de un grupo, el usuario pierde el acceso a las funciones y los permisos asignados al grupo. Estos roles y permisos forman parte de los miembros del grupo.

Antes de comenzar cualquiera de los procedimientos, deberá completar lo siguiente:

• Creación de su Microsoft AD AWS administrado.

• Para usar la administración de usuarios y grupos o los datos de AWS Directory ServiceCLI, debe estar habilitada. Para obtener más información, consulte Habilitar la administración de usuarios y grupos o Directory Service Data.

• Solo puede activar esta función desde Región de AWS el directorio principal. Para obtener más información, consulte Regiones principales frente a regiones adicionales.

• Necesitará los IAM permisos necesarios para usar AWS Directory Service Data. Para obtener más información, consulte AWS Directory Service Permisos de API: referencia a acciones, recursos y condiciones. Para empezar a conceder permisos a sus usuarios y cargas de trabajo, puede utilizar políticas AWS gestionadas como AWSDirectoryServiceDataFullAccess oAWSDirectoryServiceDataReadOnlyAccess. Para obtener más información, consulte las prácticas recomendadas de seguridad en IAM.

• Cree un usuario de Microsoft AD AWS administrado.

• Cree un grupo de Microsoft AD AWS administrado.

AWS Management Console

Puede eliminar a un miembro de Microsoft AD AWS administrado de un grupo con AWS Management Console.

Para eliminar un usuario de Microsoft AD AWS administrado de un grupo con la AWS Management Console

1. Abra la AWS Directory Service consola en https://console.aws.amazon.com/directoryservicev2/.

2. En el panel de navegación, elija Active Directoryy, a continuación, elija Directorios. Se le dirigirá a la pantalla de directorios, donde podrá ver una lista de los directorios de su Región de AWS.

3. Seleccione un directorio. Esto lo llevará a la pantalla Detalles del directorio.

4. Elija Grupos. En la pestaña se muestra una lista de los grupos de su Región de AWS.

5. Seleccione un grupo. Para buscar grupos, escriba el nombre del grupo en el cuadro de búsqueda de la sección Grupos. Esto lo llevará a la pantalla Detalles del grupo.

6. Seleccione Miembros. En la pestaña se muestra una lista de usuarios y grupos secundarios por tipo de miembro del grupo.

7. Seleccione el usuario que desea eliminar y, a continuación, seleccione Eliminar. Para buscar usuarios, escriba el nombre de inicio de sesión del usuario en el cuadro de búsqueda de la sección Miembros.

8. Confirme que desea eliminar al usuario de su grupo y, a continuación, elija Eliminar de nuevo.

AWS CLI

A continuación, se describe cómo formatear una solicitud que elimina a un miembro AWS administrado de Microsoft AD de un grupo con los datos de AWS Directory ServiceCLI.

Para eliminar un usuario de Microsoft AD AWS administrado de un grupo con AWS CLI

• Para eliminar un usuario de un grupo, abra y ejecute el siguiente comando AWS CLI, sustituyendo el identificador del directorio, los nombres del grupo y de los miembros por el identificador del directorio AWS administrado de Microsoft AD y los nombres de los grupos y miembros:

aws ds-data remove-group-member --directory-id d-1234567890 --group-name "your-group-name" --member-name "jane.doe"

Herramientas de AWS para PowerShell

A continuación se describe cómo formatear una solicitud que elimina a un miembro AWS administrado de Microsoft AD de un grupo con Herramientas de AWS para PowerShell.

Para eliminar un usuario de Microsoft AD AWS administrado de un grupo con Herramientas de AWS para PowerShell

• Para eliminar un usuario de un grupo, abra el Windows PowerShelly ejecuta el siguiente comando, sustituyendo el identificador del directorio, los nombres de los grupos y los miembros por el identificador del directorio AWS administrado de Microsoft AD y los nombres de los grupos y miembros:

Remove-DSDGroupMember -DirectoryId d-1234567890 -GroupName "your-group-name" -MemberName "jane.doe"

Adición de un grupo a un grupo

Al agregar un grupo de Microsoft AD AWS administrado a otro grupo, los grupos comparten una relación padre-hijo. El grupo secundario obtiene acceso a los roles y permisos que tiene asignados el grupo principal. Puede agregar un grupo secundario a su grupo y su grupo a un grupo principal.

Antes de comenzar cualquiera de los procedimientos, deberá completar lo siguiente:

• Creación de su Microsoft AD AWS administrado.

• Para usar la administración de usuarios y grupos o los datos de AWS Directory ServiceCLI, debe estar habilitada. Para obtener más información, consulte Habilitar la administración de usuarios y grupos o Directory Service Data.

• Solo puede activar esta función desde Región de AWS el directorio principal. Para obtener más información, consulte Regiones principales frente a regiones adicionales.

• Necesitará los IAM permisos necesarios para usar AWS Directory Service Data. Para obtener más información, consulte AWS Directory Service Permisos de API: referencia a acciones, recursos y condiciones. Para empezar a conceder permisos a sus usuarios y cargas de trabajo, puede utilizar políticas AWS gestionadas como AWSDirectoryServiceDataFullAccess oAWSDirectoryServiceDataReadOnlyAccess. Para obtener más información, consulte las prácticas recomendadas de seguridad en IAM.

• Cree un grupo de Microsoft AD AWS administrado.

AWS Management Console

Puede agregar un grupo de Microsoft AD AWS administrado a un grupo con AWS Management Console.

Para añadir un grupo secundario a su grupo con el AWS Management Console

1. Abre la AWS Directory Service consola en https://console.aws.amazon.com/directoryservicev2/.

2. En el panel de navegación, elija Active Directoryy, a continuación, elija Directorios. Se le dirigirá a la pantalla de directorios, donde podrá ver una lista de los directorios de su Región de AWS.

3. Seleccione un directorio. Esto lo llevará a la pantalla Detalles del directorio.

4. Elija Grupos. En la pestaña se muestra una lista de los grupos de su Región de AWS.

5. Seleccione un grupo. Para buscar grupos, escriba el nombre del grupo en el cuadro de búsqueda de la sección Grupos. Esto lo llevará a la pantalla Detalles del grupo.

6. Seleccione Miembros. En la pestaña se muestra una lista de usuarios y grupos secundarios por tipo de miembro del grupo.

7. Seleccione Agregar miembro.

8. En Miembros, seleccione los grupos secundarios que desea agregar a su grupo y, a continuación, seleccione Agregar miembro al grupo.

Para añadir un grupo principal a un grupo con AWS Management Console

1. Abra la AWS Directory Service consola en https://console.aws.amazon.com/directoryservicev2/.

2. En el panel de navegación, elija Active Directoryy, a continuación, elija Directorios. Se le dirigirá a la pantalla de directorios, donde podrá ver una lista de los directorios de su Región de AWS.

3. Seleccione un directorio. Esto lo llevará a la pantalla Detalles del directorio.

4. Elija Grupos. En la pestaña se muestra una lista de los grupos de su Región de AWS.

5. Seleccione un grupo. Para buscar grupos, escriba el nombre del grupo en el cuadro de búsqueda de la sección Grupos. Esto lo llevará a la pantalla Detalles del grupo.

6. Seleccione Grupos principales. En la pestaña se muestra una lista de los grupos a los que pertenece su grupo.

7. Seleccione Agregar grupos principales.

8. En Grupos, seleccione los grupos a los que desea agregar su grupo y, a continuación, vuelva a seleccionar Agregar grupos principales.

AWS CLI

A continuación, se describe cómo formatear una solicitud que agrega un grupo de Microsoft AD AWS administrado a un grupo con los datos de AWS Directory ServiceCLI.

Para agregar un grupo secundario a su grupo con AWS CLI

• Para añadir un grupo secundario a un grupo principal, abre y ejecuta el siguiente comando AWS CLI, sustituyendo el identificador del directorio, los nombres del grupo y de los miembros por el identificador del directorio AWS administrado de Microsoft AD, así como los nombres del grupo y de los miembros:

aws ds-data add-group-member --directory-id d-1234567890 --group-name "parent-group-name" --member-name "child-group-name"

Herramientas de AWS para PowerShell

A continuación se describe cómo formatear una solicitud que agrega un grupo de Microsoft AD AWS administrado a un grupo con Herramientas de AWS para PowerShell.

Para añadir un grupo secundario a tu grupo con Herramientas de AWS para PowerShell

• Para añadir un grupo infantil a un grupo principal, abre el Windows PowerShelly ejecuta el siguiente comando, sustituyendo el identificador del directorio, los nombres de los grupos y los miembros por el identificador del directorio AWS administrado de Microsoft AD y los nombres de los grupos y miembros:

Add-DSDGroupMember -DirectoryId d-1234567890 -GroupName "parent-group-name" -MemberName "child-group-name"

Cómo quitar a un grupo de un grupo

Al eliminar un grupo de Microsoft AD AWS administrado de otro grupo, los grupos ya no comparten una relación padre-hijo. El grupo secundario pierde el acceso a los roles y permisos que tiene asignados el grupo principal. Puede eliminar un grupo secundario de su grupo y su grupo de un grupo principal.

Antes de comenzar cualquiera de los procedimientos, deberá completar lo siguiente:

• Creación de su Microsoft AD AWS administrado.

• Para usar la administración de usuarios y grupos o los datos de AWS Directory ServiceCLI, debe estar habilitada. Para obtener más información, consulte Habilitar la administración de usuarios y grupos o Directory Service Data.

• Solo puede activar esta función desde Región de AWS el directorio principal. Para obtener más información, consulte Regiones principales frente a regiones adicionales.

• Necesitará los IAM permisos necesarios para usar AWS Directory Service Data. Para obtener más información, consulte AWS Directory Service Permisos de API: referencia a acciones, recursos y condiciones. Para empezar a conceder permisos a sus usuarios y cargas de trabajo, puede utilizar políticas AWS gestionadas como AWSDirectoryServiceDataFullAccess oAWSDirectoryServiceDataReadOnlyAccess. Para obtener más información, consulte las prácticas recomendadas de seguridad en IAM.

• Cree un grupo de Microsoft AD AWS administrado.

AWS Management Console

Puede quitar un grupo de Microsoft AD AWS administrado a un grupo con AWS Management Console.

Para eliminar un grupo secundario de tu grupo con AWS Management Console

1. Abre la AWS Directory Service consola en https://console.aws.amazon.com/directoryservicev2/.

2. En el panel de navegación, elija Active Directoryy, a continuación, elija Directorios. Se le dirigirá a la pantalla de directorios, donde podrá ver una lista de los directorios de su Región de AWS.

3. Seleccione un directorio. Esto lo llevará a la pantalla Detalles del directorio.

4. Elija Grupos. En la pestaña se muestra una lista de los grupos de su Región de AWS.

5. Seleccione un grupo. Esto lo llevará a la pantalla Detalles del grupo. Para buscar grupos, escriba el nombre del grupo en el cuadro de búsqueda de la sección Grupos.

6. Seleccione Miembros. En la pestaña se muestra una lista de usuarios y grupos secundarios por tipo de miembro del grupo.

7. Seleccione los grupos secundarios que desea eliminar de su grupo y, a continuación, seleccione Eliminar.

8. Confirme los grupos secundarios que desea eliminar del grupo y, a continuación, vuelva a seleccionar Eliminar.

Para eliminar tu grupo de un grupo principal con la AWS Management Console

1. Abre la AWS Directory Service consola en https://console.aws.amazon.com/directoryservicev2/.

2. En el panel de navegación, elija Active Directoryy, a continuación, elija Directorios. Se le dirigirá a la pantalla de directorios, donde podrá ver una lista de los directorios de su Región de AWS.

3. Seleccione un directorio. Esto lo llevará a la pantalla Detalles del directorio.

4. Elija Grupos. En la pestaña se muestra una lista de los grupos de su Región de AWS.

5. Seleccione un grupo. Esto lo llevará a la pantalla Detalles del grupo. Para buscar grupos, escriba el nombre del grupo en el cuadro de búsqueda de la sección Grupos.

6. Elija Grupos principales. En la pestaña se muestra una lista de los grupos a los que pertenece su grupo.

7. Seleccione el grupo principal del que desee eliminar el grupo y, a continuación, elija Eliminar grupos principales.

8. Confirme el grupo principal del que desea eliminar el grupo y, a continuación, vuelva a seleccionar Eliminar grupos principales.

AWS CLI

A continuación, se describe cómo formatear una solicitud que elimina un grupo de Microsoft AD AWS administrado y lo convierte en un grupo con los datos de AWS Directory ServiceCLI.

• Para eliminar un grupo secundario de un grupo principal con AWS CLI

  Para añadir o eliminar un grupo secundario de un grupo principal, abre y ejecuta el siguiente comando AWS CLI, sustituyendo el identificador del directorio, los nombres del grupo y de los miembros por el identificador del directorio AWS administrado de Microsoft AD y los nombres de los grupos y miembros:

aws ds-data remove-group-member --directory-id d-1234567890 --group-name "parent-group-name" --member-name "child-group-name"

Herramientas de AWS para PowerShell

A continuación se describe cómo formatear una solicitud que quita un grupo de Microsoft AD AWS administrado a un grupo con Herramientas de AWS para PowerShell.

• Para eliminar un grupo secundario de un grupo principal con Herramientas de AWS para PowerShell

  Para añadir o eliminar un grupo secundario de un grupo principal, abre el Windows PowerShelly ejecuta el siguiente comando, sustituyendo el identificador del directorio, los nombres de los grupos y los miembros por el identificador del directorio AWS administrado de Microsoft AD y los nombres de los grupos y miembros:

Remove-DSDGroupMember -DirectoryId d-1234567890 -GroupName "parent-group-name" -MemberName "child-group-name"