我刚开始探索AWS活动目录。我们公司没有LDAP/AD帐户。我们使用Google应用进行身份验证。我正在寻找使用不支持谷歌应用程序但使用LDAP的应用程序。我们所有的员工都拥有AWS凭证登录到控制台。活动目录中的AWS凭证
有没有什么办法可以使用这些AWS凭证来设置一个简单的AD?然后,我将使用此AD在第三方应用程序内进行身份验证。
谢谢!
我刚开始探索AWS活动目录。我们公司没有LDAP/AD帐户。我们使用Google应用进行身份验证。我正在寻找使用不支持谷歌应用程序但使用LDAP的应用程序。我们所有的员工都拥有AWS凭证登录到控制台。活动目录中的AWS凭证
有没有什么办法可以使用这些AWS凭证来设置一个简单的AD?然后,我将使用此AD在第三方应用程序内进行身份验证。
谢谢!
正如Controlling Access to AWS Directory Service Resources说:
默认情况下,IAM用户没有权限AWS目录服务 资源。要允许IAM用户管理AWS Directory Service 资源,您必须创建一个IAM策略,以明确授予IAM 用户创建和管理AWS Directory Service和Amazon EC2资源的权限,并将该策略附加到IAM用户或组,并将该策略附加到 需要这些权限。
通常,需要根或高级用户凭证来创建新服务,例如Simple AD。
如果您想为特定用户授予创建,管理和销毁简单AD目录和服务的权限,则可以实施以下策略,并将该策略添加到所需的任何用户/组。
{
"Version" : "2012-10-17",
"Statement" : [
{
"Action" : [
"ds:*",
"iam:PassRole",
"iam:GetRole",
"iam:CreateRole",
"iam:PutRolePolicy",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress"
],
"Effect" : "Allow",
"Resource" : "*"
}
]
}
该策略允许用户登录到控制台,并让他们管理权限所有 AWS目录服务资源。需要访问IAM资源,以便AWS Directory Service可以代表您读取和创建IAM角色。需要访问某些Amazon EC2资源才能允许AWS Directory Service创建,配置和销毁其目录。
对不起,我想我以前并不清楚。虽然这也有帮助,但我需要在其中设置一个包含IAM用户的AD。我们现在没有任何目录系统,也不想使用新的用户帐户创建AD,我们想要将现有的IAM用户帐户导入到简单的AD中。这可能吗?谢谢! – user5095359
你能澄清吗?您是否想知道现有的AWS用户凭证是否可以存储在AD中,或者您想知道您是否可以使用当前的AWS账户创建简单AD? –
当然。我想知道我们现有的aws凭证(对于所有用户)是否可用于创建简单的AD。谢谢!! – user5095359
@RodrigoM有什么想法? – user5095359