如何授权访问本地 Active Directory 用户的 AWS 管理控制台?
上次更新时间:2020 年 9 月 18 日
我想要授权使用我的 Active Directory 域凭证访问 AWS 管理控制台。我该如何操作?
简短描述
您可以管理拥有基于 Identity and Access Management (IAM) 角色访问权限的 Amazon Web Services (AWS) 资源访问 AWS 管理控制台。要做到这一点,您可以使用 AD Connector 或适用于 Microsoft Active Directory 的 AWS Directory Service。IAM 角色定义了服务、资源,以及您的 Active Directory 用户拥有的访问级别。
解决方法
首先,选择使用 AD Connector 或 AWS Managed Microsoft AD:
- 在具有以下最低端口要求的本地域之间创建 VPN 连接并配置 AD Connector:
TCP/UDP 53 用于 DNS
TCP/UDP 88 用于 Kerberos 身份验证
TCP/UDP 389 用于 LDAP 身份验证
有关更多信息,请参阅 AD Connector 先决条件。 - 或者,在具有以下最低端口要求的本地域和 AWS Managed Microsoft AD 之间使用现有的信任关系:
TCP/UDP 53 用于 DNS
TCP/UDP 88 用于 Kerberos 身份验证
TCP/UDP 389 用于 LDAP 身份验证
TCP 445 用于 SMB
有关更多信息,请参阅在 AWS Managed Microsoft AD 与本地域之间创建信任关系。
然后,按照以下步骤设置身份验证:
- 为目录创建访问 URL。
- 为您的 AD Connector 或 AWS Managed Microsoft AD 启用 AWS 管理控制台访问。
- 创建 IAM 角色,它将向您想要 Active Directory 用户拥有访问权限的服务赋予访问 AWS 管理控制台的权限。
注:确保 IAM 角色与 AWS Directory Service 之间有信任关系。 - 向 IAM 角色分配 Active Directory 用户或组。
- 验证用户可以访问 AWS 管理控制台。在私有浏览会话中打开目录访问 URL,并且使用分配给 IAM 角色的用户账户登录。然后,检查 AWS 服务控制台以确认您被允许或被拒绝访问由 IAM 角色指定的服务。