

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Simple AD 凭据启用访问权限 AWS 管理控制台
<a name="simple_ad_management_console_access"></a>

Directory Service 允许您向目录成员授予访问权限 AWS 管理控制台。默认情况下，您的目录成员无权访问任何 AWS 资源。您可以为目录成员分配 IAM 角色，让他们能够访问各种 AWS 服务和资源。IAM 角色定义目录成员所拥有的服务、资源和访问权限级别。

目录必须首先具有访问 URL，然后您才能向目录成员授予控制台访问权限。有关如何查看目录详细信息和获取访问 URL 的更多信息，请参阅 [查看 AWS 托管微软 AD 目录信息](ms_ad_view_directory_info.md)。有关如何创建访问 URL 的更多信息，请参阅[为 AWS 托管 Microsoft AD 创建访问网址](ms_ad_create_access_url.md)。

有关如何创建 IAM 角色以及将其分配给目录成员的更多信息，请参阅 [向 Microsoft AD AWS 托管用户和群组授予使用 IAM 角色访问 AWS 资源的权限](ms_ad_manage_roles.md)。

**Topics**
+ [启用 AWS 管理控制台 访问权限](#simple_ad_console_enable)
+ [禁用 AWS 管理控制台 访问权限](#simple_ad_console_disable)
+ [设置登录会话长度](#simple_ad_console_session)

**相关 AWS 安全博客文章**
+ [如何 AWS 管理控制台 使用 AWS 托管 Microsoft AD 和您的本地凭据进行访问](https://aws.amazon.com/blogs/security/how-to-access-the-aws-management-console-using-aws-microsoft-ad-and-your-on-premises-credentials/)

**相关 AWS re:Post 文章**
+ [如何 AWS 管理控制台 为本地 Active Directory 用户授予访问权限？](https://repost.aws/knowledge-center/enable-active-directory-console-access)

## 启用 AWS 管理控制台 访问权限
<a name="simple_ad_console_enable"></a>

默认情况下，不会为任何目录启用控制台访问。要为目录用户和组启用控制台访问，请执行以下步骤：

**启用控制台访问**

1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中，选择**目录**。

1. 在**目录**页面上，选择您的目录 ID。

1. 在 **Directory details (目录详细信息)** 页面上，选择 **Application management (应用程序管理)** 选项卡。

1. 在 **AWS 管理控制台** 部分下，选择**启用**。控制台访问现在已为目录启用。
**重要**  
在用户使用访问 URL 登录控制台之前，您必须先将用户添加到 IAM 角色中。有关为用户分配 IAM 角色的一般信息，请参阅 [向现有 IAM 角色分配用户或组](assign_role.md)。分配 IAM 角色之后，用户就可以使用访问 URL 访问控制台了。例如，如果你的目录访问网址是 example-corp.awsapps.com，那么访问控制台的网址是。 https://example-corp.awsapps.com/console/

## 禁用 AWS 管理控制台 访问权限
<a name="simple_ad_console_disable"></a>

要为目录用户和组禁用控制台访问，请执行以下步骤：

**禁用控制台访问**

1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中，选择**目录**。

1. 在**目录**页面上，选择您的目录 ID。

1. 在 **Directory details (目录详细信息)** 页面上，选择 **Application management (应用程序管理)** 选项卡。

1. 在 **AWS 管理控制台** 部分下，选择**禁用**。控制台访问现在已为目录禁用。

1. 如果有任何 IAM 角色已分配给目录中的用户或组，则**禁用**按钮可能不可用。在这种情况下，您必须删除目录的所有 IAM 角色分配再继续，包括目录中已删除的针对用户或组的分配，分别显示为**已删除用户**或**已删除组**。

   删除所有 IAM 角色分配之后，重复以上步骤。

## 设置登录会话长度
<a name="simple_ad_console_session"></a>

默认情况下，用户在成功登录控制台之后以及注销之前，有 1 小时时间可使用其会话。在此之后，用户必须再次登录才能开始下一个 1 小时会话，然后再次注销。可以使用以下过程对每个会话将时间长度更改为最长 12 小时。

**设置 登录会话长度**

1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中，选择**目录**。

1. 在**目录**页面上，选择您的目录 ID。

1. 在 **Directory details (目录详细信息)** 页面上，选择 **Application management (应用程序管理)** 选项卡。

1. 在 **AWS 应用程序和服务** 部分下，选择 **AWS 管理控制台**。

1. 在 “**管理 AWS 资源访问权限**” 对话框中，选择 “**继续**”。

1. 在 **Assign users and groups to IAM roles** 页面中的 **Set login session length** 下方，编辑编号的值，然后选择 **Save**。