本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 向 Microsoft AD AWS 托管用户和群组授予使用 IAM 角色访问 AWS 资源的权限
AWS Directory Service 允许您的 Microsoft AD AWS 托管用户和群组访问 AWS 服务和资源,例如访问 Amazon EC2 控制台。与授予 IAM 用户管理目录的权限类似[基于身份的策略(IAM 策略)](IAM_Auth_Access_Overview.md#IAM_Auth_Access_ManagingAccess_IdentityBased),为了使目录中的用户能够访问其他 AWS 资源,例如 Amazon EC2,您必须为这些用户和组分配 IAM 角色和策略。有关更多信息,请参阅《IAM 用户指南》中的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。
有关如何向用户授予访问权限的信息 AWS 管理控制台,请参阅[启用 AWS 管理控制台 使用 AWS 托管微软 AD 凭据进行访问](ms_ad_management_console_access.md)。
**Topics**
+ [创建新 IAM 角色](create_role.md)
+ [编辑现有 IAM 角色的信任关系](edit_trust.md)
+ [向现有 IAM 角色分配用户或组](assign_role.md)
+ [查看已分配了角色的用户和组](view_role_details.md)
+ [从 IAM 角色中移除用户或组](remove_role_users.md)
+ [将 AWS 托管策略与 Directory Service](ms_ad_managed_policies.md)
# 创建新 IAM 角色
如果您需要创建用于的新 IAM 角色 Directory Service,则必须使用 IAM 控制台创建该角色。创建角色后,您必须与该角色建立信任关系,然后才能在 Directory Service 控制台中看到该角色。有关更多信息,请参阅 [编辑现有 IAM 角色的信任关系](edit_trust.md)。
**注意**
执行此任务的用户必须有权执行以下 IAM 操作。有关更多信息,请参阅 [基于身份的策略(IAM 策略)](IAM_Auth_Access_Overview.md#IAM_Auth_Access_ManagingAccess_IdentityBased)。
我是:PassRole
我是:GetRole
我是:CreateRole
我是:PutRolePolicy
**要在 IAM 控制台中创建新角色**
1. 在 IAM 控制台的导航窗格中,选择**角色**。有关更多信息,请参阅《IAM 用户指南**》中的[创建 IAM 角色(AWS 管理控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)。
1. 选择**创建角色**。
1. 在 **Choose the service that will use this role (选择将使用此角色的服务)** 下面,选择 **Directory Service**,然后选择 **Next (下一步)**。
1. 选中要应用于目录用户的策略(例如 **Amazon EC2 FullAccess**)旁边的复选框,然后选择 “**下一步**”。
1. 如有必要,将标签添加到该角色,然后选择 **Next (下一步)**。
1. 提供 **Role name (角色名称)** 和可选 **Description (描述)**, 然后选择 **Create role (创建角色)**。
**创建角色以启用 AWS 管理控制台 访问**
以下清单提供了创建新 IAM 角色所必须完成的任务示例,该角色将允许特定的 AWS 托管 Microsoft AD 用户访问亚马逊 EC2 控制台。
1. 使用上述过程用 IAM 控制台创建一个角色。当系统提示您输入政策时,请选择 **Amazon EC2 FullAccess**。
1. 使用 [编辑现有 IAM 角色的信任关系](edit_trust.md) 中的步骤来编辑刚刚创建的角色,然后将所需的信任关系信息添加到策略文档。要使角色在下一步中启用访问权限后立即可见, AWS 管理控制台 必须执行此步骤。
1. 按 [启用 AWS 管理控制台 使用 AWS 托管微软 AD 凭据进行访问](ms_ad_management_console_access.md) 中的步骤操作,配置 AWS 管理控制台的常规访问权限。
1. 按照 [向现有 IAM 角色分配用户或组](assign_role.md) 中的步骤操作,将需要 EC2 资源的完全访问权限的用户添加到新角色。
# 编辑现有 IAM 角色的信任关系
您可以将现有 IAM 角色分配给您的 Directory Service 用户和群组。但是,要做到这一点,角色必须与之建立信任关系 Directory Service。使用 Directory Service 中的过程创建角色时[创建新 IAM 角色](create_role.md),会自动设置此信任关系。
**注意**
您只需为不是由 Directory Service创建的 IAM 角色建立此信任关系。
**为现有 IAM 角色建立信任关系 Directory Service**
1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在 IAM 控制台的导航窗格中的**访问权限管理**下,选择**角色**。
该控制台会显示您账户的角色。
1. 选择您要修改的角色的名称,然后在角色页面中选择**信任关系**选项卡。
1. 选择**编辑信任策略**。
1. 在**编辑信任策略**下,粘贴以下内容,然后选择**更新策略**。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ds.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
您还可以使用 AWS CLI更新此策略文档。有关更多信息,请参阅《AWS CLI Command Reference**》中的 [update-trust](https://docs.aws.amazon.com/cli/latest/reference/ds/update-trust.html)。
# 向现有 IAM 角色分配用户或组
您可以将现有 IAM 角色分配给 AWS 托管的 Microsoft AD 用户或群组。为此,确保您已完成以下步骤。
**先决条件**
+ [创建 AWS 托管微软 AD](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_getting_started.html#ms_ad_getting_started_create_directory)。
+ [创建 IAM 用户](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_create.html)或[创建 IAM 组](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_groups_create.html)。
+ [创建一个与之有信任关系的角色](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/create_role.html) Directory Service。对于现有的 IAM 角色,您需要[编辑现有角色的信任关系](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/edit_trust.html)。
**重要**
不支持目录内嵌套群组中的 AWS 托管 Microsoft AD 用户进行访问。父组的成员拥有控制台访问权限,但是子组成员不拥有。
**将 AWS 托管的 Microsoft AD 用户或群组分配给现有 IAM 角色**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格的 **Active Directory** 下,选择**目录**。
1. 在**目录**页面上,选择您的目录 ID。
1. 在**报告详细信息**页面上,执行以下操作之一:
1. 如果**多区域复制**下未显示任何区域,选择**应用程序管理**选项卡。
1. 如果**多区域复制**下显示多个区域,选择要执行分配的区域,然后选择**应用程序管理**选项卡。有关更多信息,请参阅 [主区域与其他区域](multi-region-global-primary-additional.md)。
1. 向下滚动到 **AWS 管理控制台**部分,然后选择**操作**和**启用**。
1. 在**委派控制台访问权限**部分下,选择要向其分配用户的现有 IAM 角色的 IAM 角色名称。
1. 在 **Selected role (所选角色)** 页面的 **Manage users and groups for this role (管理此角色的用户和组)** 下,选择 **Add (添加)**。
1. 在**为用户和组分配角色**页面的**选择 Active Directory 林**下,选择 AWS Managed Microsoft AD 林(此林)或本地林(受信任林),也就是需要访问 AWS 管理控制台的账户所在的林。有关如何设置受信任林的更多信息,请参阅[教程:在你的 AWS 托管 Microsoft AD 和你自行管理的 Active Directory 域之间创建信任关系](ms_ad_tutorial_setup_trust.md)。
1. 在 **Specify which users or groups to add (指定要添加的用户或组)** 下,选择 **Find by user (按用户查找)** 或 **Find by group (按组查找)**,然后键入用户或组的名称。在可能匹配项的列表中,选择您要添加的用户或组。
1. 选择**添加**以完成向角色分配用户和组的工作。
# 查看已分配了角色的用户和组
要查看分配给 IAM 角色的 AWS 托管 Microsoft AD 用户和群组,请执行以下步骤。
**先决条件**
+ [创建 AWS 托管微软 AD](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_getting_started.html#ms_ad_getting_started_create_directory)。
+ [创建 IAM 用户](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_create.html)或[创建 IAM 组](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_groups_create.html)。
+ [创建一个与之有信任关系的角色](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/create_role.html) Directory Service。对于现有的 IAM 角色,您需要[编辑现有角色的信任关系](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/edit_trust.html)。
+ [向现有 IAM 角色分配用户或组](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/assign_role.html)。
**查看分配给 IAM 角色的 AWS 托管 Microsoft AD 用户和群组**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格的 **Active Directory** 下,选择**目录**。
1. 在**目录**页面上,选择您的目录 ID。
1. 在**报告详细信息**页面上,执行以下操作之一:
1. 如果**多区域复制**下显示多个区域,选择要查看分配的区域,然后选择**应用程序管理**选项卡。有关更多信息,请参阅 [主区域与其他区域](multi-region-global-primary-additional.md)。
1. 如果**多区域复制**下未显示任何区域,选择**应用程序管理**选项卡。
1. 向下滚动到 **AWS 管理控制台**部分。**状态**应为**已启用**。如果不是,请选择**操作**和**启用**。有关更多信息,请参阅 [启用 AWS 管理控制台 使用 AWS 托管微软 AD 凭据进行访问](ms_ad_management_console_access.md)。
**注意**
如果禁用,您将看不到任何群组或用户。 AWS 管理控制台
1. 在**委派控制台访问权限**部分下,选择要查看的 IAM 角色的超链接。或者,您可以选择**在 IAM 中查看策略**,以在 IAM 控制台中查看 IAM 策略。
1. 在**所选角色**页面的**管理此角色的用户和组**部分下,您可以查看向 IAM 角色分配的用户和组。
# 从 IAM 角色中移除用户或组
要从 IAM 角色中移除 AWS 托管的 Microsoft AD 用户或群组,请执行以下步骤。
**从 IAM 角色中移除用户或组**
1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。
1. 在**目录**页面上,选择您的目录 ID。
1. 在**报告详细信息**页面上,执行以下操作之一:
1. 如果**多区域复制**下显示多个区域,选择要删除分配的区域,然后选择**应用程序管理**选项卡。有关更多信息,请参阅 [主区域与其他区域](multi-region-global-primary-additional.md)。
1. 如果**多区域复制**下未显示任何区域,选择**应用程序管理**选项卡。
1. 在 **AWS 管理控制台**部分下,选择要从中移除用户和组的 IAM 角色。
1. 在 **Selected role (所选角色)** 页面的 **Manage users and groups for this role (管理此角色的用户和组)** 下,选择要从该角色中删除的用户或组,然后选择 **Remove (删除)**。将从指定的用户和组中删除该角色,但不会从您的账户中删除该角色。
**注意**
如果要删除角色,请参阅[删除角色或实例配置文件](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。
# 将 AWS 托管策略与 Directory Service
Directory Service 提供以下 AWS 托管策略,允许您的用户和群组访问 AWS 服务和资源,例如访问 Amazon EC2 控制台。您必须登录到 AWS 管理控制台 ,然后才能查看这些策略。
+ [只读访问权限](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/ReadOnlyAccess)
+ [高级用户访问](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/PowerUserAccess)
+ [Directory Service 完全访问权限](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceFullAccess)
+ [Directory Service 只读访问权限](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceReadOnlyAccess)
+ [AWS 完全访问目录 Service 数据](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceDataFullAccess)
+ [AWS Directory Service 数据只读权限](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceDataReadOnlyAccess)
+ [Amazon Cloud Directory 完全访问权限](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonCloudDirectoryFullAccess)
+ [Amazon Cloud Directory 只读访问权限](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonCloudDirectoryReadOnlyAccess)
+ [Amazon EC2 完全访问权限](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess)
+ [Amazon 只 EC2 读权限](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess)
+ [Amazon VPC 完全访问权限](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonVPCFullAccess)
+ [Amazon VPC 只读访问权限](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonVPCReadOnlyAccess)
+ [Amazon RDS 完全访问权限](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRDSFullAccess)
+ [Amazon RDS 只读访问权限](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRDSReadOnlyAccess)
+ [Amazon DynamoDB 完全访问权限](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess)
+ [Amazon DynamoDB 只读访问权限](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBReadOnlyAccess)
+ [Amazon S3 完全访问权限](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3FullAccess)
+ [Amazon S3 只读访问权限](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess)
+ [AWS CloudTrail 完全访问权限](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCloudTrailFullAccess)
+ [AWS CloudTrail 只读访问权限](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCloudTrailReadOnlyAccess)
+ [Amazon CloudWatch 完全访问权限](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchFullAccess)
+ [Amazon 只 CloudWatch 读权限](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchReadOnlyAccess)
+ [Amazon CloudWatch Logs 完全访问权限](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchLogsFullAccess)
+ [Amazon CloudWatch Logs 只读访问权限](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchLogsReadOnlyAccess)
有关如何创建自己的策略的更多信息,请参阅 *IAM 用户指南*中的[AWS 资源管理策略示例](https://docs.aws.amazon.com/console/iam/example-policies)。