啟用 AD 憑證存取 AWS Management Console - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用 AD 憑證存取 AWS Management Console

AWS Directory Service 可讓您授予 AWS Management Console存取權給目錄成員。根據預設,您的目錄成員無法存取任何 AWS 資源。您可以將 IAM 角色指派給目錄成員,讓他們可以存取各種 AWS 服務和資源。IAM 角色定義您的目錄成員可以存取的服務、資源和層級。

您的目錄必須具有存取 URL,才能授予主控台存取權給目錄成員。如需如何檢視目錄詳細資訊及取得您存取 URL 的詳細資訊,請參閱「檢視目錄資訊」。如需如何建立存取 URL 的詳細資訊,請參閱「建立存取 URL」。

如需如何建立 IAM 角色並將之指派給您目錄成員的詳細資訊,請參閱「授予 AWS 資源存取權給使用者與群組」。

相關的 AWS 安全性部落格文章

注意

存取 AWS Management Console 是 AWS Managed Microsoft AD 的區域功能。如果您使用 多區域複製,則必須在每個區域中單獨執行以下程序。如需更多詳細資訊,請參閱 全域與區域功能

啟用 AWS Management Console 存取

預設不會啟用任何目錄的主控台存取。若要啟用您目錄使用者和群組的主控台存取,請執行下列步驟:

啟用主控台存取
  1. AWS Directory Service 主控台導覽窗格中,選擇 Directories (目錄)

  2. Directories (目錄) 頁面中,選擇目錄 ID。

  3. 目錄詳細資訊頁面上,執行下列其中一項:

    • 如果多區域複寫下顯示多個區域,請選取要啟用對 AWS Management Console 的存取的區域,然後選擇應用程式管理索引標籤。如需更多詳細資訊,請參閱 主要區域與其他區域

    • 如果多區域複寫下沒有顯示任何區域,請選擇應用程式管理索引標籤。

  4. AWS Management Console 區段下,選擇啟用。現在已啟用目錄的主控台存取。

    在使用者可以使用存取 URL 登入主控台之前,您必須先將使用者新增至角色。如需將使用者指派給 IAM 角色的一般資訊,請參閱「將使用者或群組指派給現有角色」。指派 IAM 角色之後,使用者即可使用您的存取 URL 存取主控台。例如,如果您目錄的存取 URL 是 example-corp.awsapps.com,存取主控台的 URL 會是 https://example-corp.awsapps.com/console/。

停用 AWS Management Console 存取

若要停用您目錄使用者和群組的主控台存取,請執行下列步驟:

停用主控台存取
  1. AWS Directory Service 主控台導覽窗格中,選擇 Directories (目錄)

  2. Directories (目錄) 頁面中,選擇目錄 ID。

  3. 目錄詳細資訊頁面上,執行下列其中一項:

    • 如果多區域複寫下顯示多個區域,請選取要停用對 AWS Management Console 的存取的區域,然後選擇應用程式管理索引標籤。如需更多詳細資訊,請參閱 主要區域與其他區域

    • 如果多區域複寫下沒有顯示任何區域,請選擇應用程式管理索引標籤。

  4. AWS Management Console 區段下,選擇停用。現在已停用目錄的主控台存取。

  5. 如果已將任何 IAM 角色指派給目錄中的使用者或群組,則停用按鈕可能無法使用。在此情況下,您必須移除目錄的所有 IAM 角色指派,再繼續進行,包括您目錄中已刪除的使用者或群組指派,這些指派會顯示為已刪除的使用者已刪除的群組

    移除所有 IAM 角色指派之後,請重複上述步驟。

設定登入工作階段長度

根據預設,使用者在成功登入主控台到被登出之間,有一小時的時間可以使用其工作階段。在此之後,使用者必須重新登入,才能開始下一小時的工作階段,直到再次被登出。您可以使用下列程序,將每個工作階段的時間長度變更至最多 12 小時。

設定登入工作階段長度
  1. AWS Directory Service 主控台導覽窗格中,選擇 Directories (目錄)

  2. Directories (目錄) 頁面中,選擇目錄 ID。

  3. 目錄詳細資訊頁面上,執行下列其中一項:

    • 如果多區域複寫下顯示多個區域,請選取要設定登入工作階段長度的區域,然後選擇應用程式管理索引標籤。如需更多詳細資訊,請參閱 主要區域與其他區域

    • 如果多區域複寫下沒有顯示任何區域,請選擇應用程式管理索引標籤。

  4. AWS 應用程式與服務區段下,選擇 AWS 管理主控台

  5. 管理 AWS 資源存取對話方塊中,選擇繼續

  6. Assign users and groups to IAM roles (將使用者和群組指派給 IAM 角色) 頁面中,編輯 Set login session length (設定登入工作階段長度) 下的數值,然後選擇 Save (儲存)。