本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 授予 AWS Managed Microsoft AD 使用者和群組存取具有 IAM 角色 AWS 的資源
<a name="ms_ad_manage_roles"></a>

AWS Directory Service 可讓您的 AWS Managed Microsoft AD 使用者和群組存取 AWS 服務和資源，例如存取 Amazon EC2 主控台。與授予 IAM 使用者管理目錄的存取權類似[身分類型政策 (IAM 政策)](IAM_Auth_Access_Overview.md#IAM_Auth_Access_ManagingAccess_IdentityBased)，為了讓目錄中的使用者能夠存取其他 AWS 資源，例如 Amazon EC2，您必須將 IAM 角色和政策指派給這些使用者和群組。如需詳細資訊，請參閱《IAM 使用者指南》**中的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。

如需如何授予使用者存取 的詳細資訊 AWS 管理主控台，請參閱 [使用 AWS Managed Microsoft AD 登入資料啟用 AWS 管理主控台 存取](ms_ad_management_console_access.md)。

**Topics**
+ [建立新的 IAM 角色](create_role.md)
+ [編輯現有 IAM 角色的信任關係](edit_trust.md)
+ [將使用者或群組指派給現有的 IAM 角色](assign_role.md)
+ [檢視指派給角色的使用者和群組](view_role_details.md)
+ [從 IAM 角色移除使用者或群組](remove_role_users.md)
+ [搭配 使用 AWS 受管政策 Directory Service](ms_ad_managed_policies.md)

# 建立新的 IAM 角色
<a name="create_role"></a>

如果您需要建立新的 IAM 角色以搭配 使用 Directory Service，則必須使用 IAM 主控台來建立角色。建立角色之後，您必須先設定與該角色的信任關係，才能在 Directory Service 主控台中看到該角色。如需詳細資訊，請參閱[編輯現有 IAM 角色的信任關係](edit_trust.md)。

**注意**  
執行此任務的使用者必須具備執行下列 IAM 動作的許可。如需詳細資訊，請參閱[身分類型政策 (IAM 政策)](IAM_Auth_Access_Overview.md#IAM_Auth_Access_ManagingAccess_IdentityBased)。  
iam:PassRole
iam:GetRole
iam:CreateRole
iam：PutRolePolicy

**在 IAM 主控台中建立新的角色**

1. 在 IAM 主控台的導覽窗格中，選擇**角色**。如需詳細資訊，請參閱**《IAM 使用者指南》中的[建立角色 (AWS 管理主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) 一節。

1. 選擇建**立角色**。

1. 在 **Choose the service that will use this role (選擇將使用此角色的服務)** 下，選擇 **Directory Service (目錄服務)**，然後選擇 **Next (下一步)**。

1. 選取您要套用到目錄使用者的政策 (例如 **AmazonEC2FullAccess**) 旁的核取方塊，然後選擇 **Next (下一步)**。

1. 如有必要，將標籤新增到該角色，然後選擇 **Next (下一步)**。

1. 提供 **Role name (角色名稱)** 和選用 **Description (說明)**，然後選擇 **Create role (建立角色)**。

**範例：建立角色以啟用 AWS 管理主控台 存取**

下列檢查清單提供您必須完成的任務範例，才能建立新的 IAM 角色，讓特定 AWS Managed Microsoft AD 使用者能夠存取 Amazon EC2 主控台。

1. 使用上述程序，以 IAM 主控台建立一個角色。當提示您輸入政策，請選擇 **AmazonEC2FullAccess**。

1. 使用[編輯現有 IAM 角色的信任關係](edit_trust.md)中的步驟來編輯您剛建立的角色，然後新增必要的信任關係資訊至政策文件。在下一個步驟中啟用對 AWS 管理主控台 的存取之後，需要此步驟才能立即顯示角色。

1. 依照[使用 AWS Managed Microsoft AD 登入資料啟用 AWS 管理主控台 存取](ms_ad_management_console_access.md)中的步驟來設定 AWS 管理主控台的一般存取。

1. 遵循[將使用者或群組指派給現有的 IAM 角色](assign_role.md)中的步驟，將需要 EC2 資源完整存取權的使用者新增到新的角色。

# 編輯現有 IAM 角色的信任關係
<a name="edit_trust"></a>

您可以將現有的 IAM 角色指派給 Directory Service 使用者和群組。不過，若要這樣做，角色必須與 建立信任關係 Directory Service。當您使用 在 中使用 程序 Directory Service 建立角色時[建立新的 IAM 角色](create_role.md)，會自動設定此信任關係。

**注意**  
您只需要為非 Directory Service建立的 IAM 角色建立此信任關係。

**建立現有 IAM 角色的信任關係 Directory Service**

1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在 IAM 主控台導覽窗格的**存取管理**中，選擇**角色**。

   主控台會顯示您帳戶的角色。

1. 選擇您要修改之角色的名稱，然後在角色頁面上，選取**信任關係**索引標籤。

1. 選擇**編輯信任政策**。

1. 在**政策文件**，貼上以下內容，然後選擇**更新政策**。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "",
         "Effect": "Allow",
         "Principal": {
           "Service": "ds.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

您也可以使用 AWS CLI更新此政策文件。如需詳細資訊，請參閱《AWS CLI 命令參考》**中的 [update-trust](https://docs.aws.amazon.com/cli/latest/reference/ds/update-trust.html) 一節。

# 將使用者或群組指派給現有的 IAM 角色
<a name="assign_role"></a>

您可以將現有的 IAM 角色指派給 AWS Managed Microsoft AD 使用者或群組。若要執行此作業，請確定您已完成下列操作。

**先決條件**
+ [ 建立 AWS Managed Microsoft AD](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_getting_started.html#ms_ad_getting_started_create_directory)。
+ [建立 IAM 使用者](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_create.html)或[建立 IAM 群組](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_groups_create.html)。
+ [建立與 具有信任關係](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/create_role.html)的角色 Directory Service。對於現有的 IAM 角色，您將需要[編輯現有角色的信任關係](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/edit_trust.html)。

**重要**  
不支援在目錄中巢狀群組中存取 AWS Managed Microsoft AD 使用者。父群組的成員可存取主控台，但子群組的成員則否。

**將 AWS Managed Microsoft AD 使用者或群組指派給現有的 IAM 角色**

1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中的 **Active Directory** 下，選擇**目錄**。

1. 在 **Directories** (目錄) 頁面中，選擇目錄 ID。

1. 在**目錄詳細資訊**頁面上，執行下列其中一項：

   1. 如果**多區域複寫**下沒有顯示任何區域，請選擇**應用程式管理**索引標籤。

   1. 如果**多區域複寫**下顯示多個區域，請選取要進行指派的區域，然後選擇**應用程式管理**索引標籤。如需詳細資訊，請參閱[主要區域與其他區域](multi-region-global-primary-additional.md)。

1. 向下捲動至 **AWS 管理主控台**區段，選擇**動作**和**啟用**。

1. 在**委派主控台存取**區段下，選擇您要指派使用者之現有 IAM 角色的 IAM 角色名稱。

1. 在 **Selected role (選取的角色)** 頁面的 **Manage users and groups for this role (管理此角色的使用者和群組)** 下，選擇 **Add (新增)**。

1. 在**將使用者和群組新增至角色**頁面的**選取 Active Directory 樹系** 下，選擇包含需要存取 AWS 管理主控台之帳戶所在的 AWS Managed Microsoft AD 樹系 (此樹系) 或內部部署樹系 (信任樹系)。如需如何設定信任樹系的詳細資訊，請參閱「[教學課程：在 AWS Managed Microsoft AD 和自我管理 Active Directory 網域之間建立信任關係](ms_ad_tutorial_setup_trust.md)」。

1. 在 **Specify which users or groups to add (指定要新增的使用者或群組)** 下，選取 **Find by user (依使用者尋找)** 或 **Find by group (依群組尋找)**，然後輸入使用者或群組的名稱。在可能的相符項目清單中，選擇您要新增的使用者或群組。

1. 選擇 **Add (新增)**，完成將使用者和群組指派給角色。

# 檢視指派給角色的使用者和群組
<a name="view_role_details"></a>

若要檢視指派給 IAM 角色的 AWS Managed Microsoft AD 使用者和群組，請執行下列步驟。

**先決條件**
+ [ 建立 AWS Managed Microsoft AD](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_getting_started.html#ms_ad_getting_started_create_directory)。
+ [建立 IAM 使用者](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_create.html)或[建立 IAM 群組](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_groups_create.html)。
+ [建立與 有信任關係](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/create_role.html)的角色 Directory Service。對於現有的 IAM 角色，您將需要[編輯現有角色的信任關係](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/edit_trust.html)。
+ [將您的使用者或群組指派給現有的 IAM 角色](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/assign_role.html)。

**檢視指派給 IAM 角色的 AWS Managed Microsoft AD 使用者和群組**

1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中的 **Active Directory** 下，選擇**目錄**。

1. 在 **Directories** (目錄) 頁面中，選擇目錄 ID。

1. 在**目錄詳細資訊**頁面上，執行下列其中一項：

   1. 如果**多區域複寫**下顯示多個區域，請選取要檢視指派的區域，然後選擇**應用程式管理**索引標籤。如需詳細資訊，請參閱[主要區域與其他區域](multi-region-global-primary-additional.md)。

   1. 如果**多區域複寫**下沒有顯示任何區域，請選擇**應用程式管理**索引標籤。

1. 向下捲動至 **AWS 管理主控台**區段。**狀態**應為**已啟用**。如果沒有，請選擇**動作**並**啟用**。如需詳細資訊，請參閱[使用 AWS Managed Microsoft AD 登入資料啟用 AWS 管理主控台 存取](ms_ad_management_console_access.md)。
**注意**  
如果 AWS 管理主控台 停用 ，則不會看到任何群組或使用者。

1. 在**委派主控台存取**區段下，選取您要檢視之 IAM 角色的超連結。或者，您可以選擇在 **IAM 中檢視政策**，以在 IAM 主控台中檢視 IAM 政策。

1. 在**所選角色**頁面的**管理此角色的使用者和群組**區段下，您可以檢視指派給 IAM 角色的使用者和群組。

# 從 IAM 角色移除使用者或群組
<a name="remove_role_users"></a>

若要從 IAM 角色中移除 AWS Managed Microsoft AD 使用者或群組，請執行下列步驟。

**從 IAM 角色移除使用者或群組**

1. 在 [AWS Directory Service 主控台](https://console.aws.amazon.com/directoryservicev2/)導覽窗格中，選擇 **Directories (目錄)**。

1. 在 **Directories** (目錄) 頁面中，選擇目錄 ID。

1. 在**目錄詳細資訊**頁面上，執行下列其中一項：

   1. 如果**多區域複寫**下顯示多個區域，請選取要移除指派的區域，然後選擇**應用程式管理**索引標籤。如需詳細資訊，請參閱[主要區域與其他區域](multi-region-global-primary-additional.md)。

   1. 如果**多區域複寫**下沒有顯示任何區域，請選擇**應用程式管理**索引標籤。

1. 在 **AWS 管理主控台**區段下，選擇您要從中移除使用者和群組的 IAM 角色。

1. 在 **Selected role (選取的角色)** 頁面的 **Manage users and groups for this role (管理此角色的使用者和群組)** 下，選取要從中移除角色的使用者或群組，然後選擇 **Remove (移除)** 該角色會隨即從指定的使用者和群組移除，但不會從您的帳戶移除。
**注意**  
如果您想要刪除角色，請參閱[刪除角色或執行個體描述檔](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)。

# 搭配 使用 AWS 受管政策 Directory Service
<a name="ms_ad_managed_policies"></a>

Directory Service 提供下列 AWS 受管政策，讓您的使用者和群組存取 AWS 服務和資源，例如存取 Amazon EC2 主控台。您必須先登入 AWS 管理主控台 才能檢視這些政策。
+ [唯讀存取](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/ReadOnlyAccess)
+ [進階使用者存取](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/PowerUserAccess)
+ [Directory Service 完整存取](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceFullAccess)
+ [Directory Service 唯讀存取](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceReadOnlyAccess)
+ [AWS Directory Service Data 完整存取](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceDataFullAccess)
+ [AWS Directory Service Data 唯讀存取](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceDataReadOnlyAccess)
+ [Amazon 雲端目錄完整存取](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonCloudDirectoryFullAccess)
+ [Amazon 雲端目錄唯讀存取](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonCloudDirectoryReadOnlyAccess)
+ [Amazon EC2 完整存取](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess)
+ [Amazon EC2 唯讀存取](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess)
+ [Amazon VPC 完整存取](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonVPCFullAccess)
+ [Amazon VPC 唯讀存取](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonVPCReadOnlyAccess)
+ [Amazon RDS 完整存取](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRDSFullAccess)
+ [Amazon RDS 唯讀存取](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRDSReadOnlyAccess)
+ [Amazon DynamoDB 完整存取](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess)
+ [Amazon DynamoDB 唯讀存取](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBReadOnlyAccess)
+ [Amazon S3 完整存取](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3FullAccess)
+ [Amazon S3 唯讀存取](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess)
+ [AWS CloudTrail 完整存取](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCloudTrailFullAccess)
+ [AWS CloudTrail 唯讀存取](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCloudTrailReadOnlyAccess)
+ [Amazon CloudWatch 完整存取](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchFullAccess)
+ [Amazon CloudWatch 唯讀存取](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchReadOnlyAccess)
+ [Amazon CloudWatch Logs 完整存取](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchLogsFullAccess)
+ [Amazon CloudWatch Logs 唯讀存取](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchLogsReadOnlyAccess)

如需如何建立自己的政策的詳細資訊，請參閱《*IAM 使用者指南*》中的[管理 AWS 資源的範例政策](https://docs.aws.amazon.com/console/iam/example-policies)。