如何授权访问本地 Active Directory 用户的 AWS 管理控制台？

上次更新时间：2020 年 9 月 18 日

您可以管理拥有基于 Identity and Access Management (IAM) 角色访问权限的 Amazon Web Services (AWS) 资源访问 AWS 管理控制台。要做到这一点，您可以使用 AD Connector 或适用于 Microsoft Active Directory 的 AWS Directory Service。IAM 角色定义了服务、资源，以及您的 Active Directory 用户拥有的访问级别。

首先，选择使用 AD Connector 或 AWS Managed Microsoft AD：

• 在具有以下最低端口要求的本地域之间创建 VPN 连接并配置 AD Connector：
  TCP/UDP 53 用于 DNS
  TCP/UDP 88 用于 Kerberos 身份验证
  TCP/UDP 389 用于 LDAP 身份验证
  有关更多信息，请参阅 AD Connector 先决条件。
• 或者，在具有以下最低端口要求的本地域和 AWS Managed Microsoft AD 之间使用现有的信任关系：
  TCP/UDP 53 用于 DNS
  TCP/UDP 88 用于 Kerberos 身份验证
  TCP/UDP 389 用于 LDAP 身份验证
  TCP 445 用于 SMB
  有关更多信息，请参阅在 AWS Managed Microsoft AD 与本地域之间创建信任关系。

然后，按照以下步骤设置身份验证：

1. 为目录创建访问 URL。
2. 为您的 AD Connector 或 AWS Managed Microsoft AD 启用 AWS 管理控制台访问。
3. 创建 IAM 角色，它将向您想要 Active Directory 用户拥有访问权限的服务赋予访问 AWS 管理控制台的权限。
   注：确保 IAM 角色与 AWS Directory Service 之间有信任关系。
4. 向 IAM 角色分配 Active Directory 用户或组。
5. 验证用户可以访问 AWS 管理控制台。在私有浏览会话中打开目录访问 URL，并且使用分配给 IAM 角色的用户账户登录。然后，检查 AWS 服务控制台以确认您被允许或被拒绝访问由 IAM 角色指定的服务。