如何授权访问本地 Active Directory 用户的 AWS 管理控制台?

上次更新时间:2019 年 12 月 12 日

我想要授权使用我的 Active Directory 域凭证访问 AWS 管理控制台。该如何操作? 

简短描述

您可以管理拥有基于 Identity and Access Management (IAM) 角色访问权限的 Amazon Web Services (AWS) 资源访问 AWS 管理控制台。要做到这一点,您可以使用 AD Connector适用于 Microsoft Active Directory 的 AWS Directory Service。IAM 角色定义了服务、资源,以及您的 Active Directory 用户拥有的访问级别。

解决方法

首先,选择使用 AD Connector 或 AWS Managed Microsoft AD:

  • 在具有以下最低端口要求的本地域之间创建 VPN 连接并配置 AD Connector:
    TCP/UDP 53 用于 DNS
    TCP/UDP 88 用于 Kerberos 身份验证
    TCP/UDP 389 用于 LDAP 身份验证
    如需更多信息,见 AD Connector 先决条件
  • 或者,在具有以下最低端口要求的本地域和 AWS Managed Microsoft AD 之间使用现有的信任关系:
    TCP/UDP 53 用于 DNS
    TCP/UDP 88 用于 Kerberos 身份验证
    TCP/UDP 389 用于 LDAP 身份验证
    TCP 445 用于 SMB
    如需更多信息,见在 AWS Managed Microsoft AD 与本地域之间创建信任关系

然后,按照以下步骤设置身份验证:

  1. 为目录创建访问 URL
  2. 为您的 AD Connector 或 AWS Managed Microsoft AD 启用 AWS 管理控制台访问
  3. 创建 IAM 角色,它将向您想要 Active Directory 用户拥有访问权限的服务赋予访问 AWS 管理控制台的权限。
    :确保 IAM 角色与 AWS Directory Service 之间有信任关系
  4. 向 IAM 角色分配 Active Directory 用户或组
  5. 验证用户可以访问 AWS 管理控制台。在私有浏览会话中打开目录访问 URL,并且使用分配给 IAM 角色的用户账户登录。然后,检查 AWS 服务控制台以确认您被允许或被拒绝访问由 IAM 角色指定的服务。

这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助?