1. 首页
  2. 问答
  3. 活动目录中的AWS凭证

活动目录中的AWS凭证

2016-01-12 43 views
0

我刚开始探索AWS活动目录。我们公司没有LDAP/AD帐户。我们使用Google应用进行身份验证。我正在寻找使用不支持谷歌应用程序但使用LDAP的应用程序。我们所有的员工都拥有AWS凭证登录到控制台。活动目录中的AWS凭证

有没有什么办法可以使用这些AWS凭证来设置一个简单的AD?然后,我将使用此AD在第三方应用程序内进行身份验证。

谢谢!

来源

2016-01-12 user5095359

+0

你能澄清吗?您是否想知道现有的AWS用户凭证是否可以存储在AD中,或者您想知道您是否可以使用当前的AWS账户创建简单AD? –

+0

当然。我想知道我们现有的aws凭证(对于所有用户)是否可用于创建简单的AD。谢谢!! – user5095359

+0

@RodrigoM有什么想法? – user5095359

回答

0

正如Controlling Access to AWS Directory Service Resources说:

默认情况下,IAM用户没有权限AWS目录服务 资源。要允许IAM用户管理AWS Directory Service 资源,您必须创建一个IAM策略,以明确授予IAM 用户创建和管理AWS Directory Service和Amazon EC2资源的权限,并将该策略附加到IAM用户或组,并将该策略附加到 需要这些权限。

通常,需要根或高级用户凭证来创建新服务,例如Simple AD。

如果您想为特定用户授予创建,管理和销毁简单AD目录和服务的权限,则可以实施以下策略,并将该策略添加到所需的任何用户/组。

{ 
    "Version" : "2012-10-17", 
    "Statement" : [ 
    { 
     "Action" : [ 
     "ds:*", 
     "iam:PassRole", 
     "iam:GetRole", 
     "iam:CreateRole", 
     "iam:PutRolePolicy", 
     "ec2:DescribeSubnets", 
     "ec2:DescribeVpcs", 
     "ec2:CreateSecurityGroup", 
     "ec2:DeleteSecurityGroup", 
     "ec2:CreateNetworkInterface", 
     "ec2:DescribeNetworkInterfaces", 
     "ec2:DeleteNetworkInterface", 
     "ec2:AuthorizeSecurityGroupIngress", 
     "ec2:AuthorizeSecurityGroupEgress", 
     "ec2:RevokeSecurityGroupIngress", 
     "ec2:RevokeSecurityGroupEgress" 
     ], 
     "Effect" : "Allow", 
     "Resource" : "*" 
    } 
    ] 
}

该策略允许用户登录到控制台,并让他们管理权限所有 AWS目录服务资源。需要访问IAM资源,以便AWS Directory Service可以代表您读取和创建IAM角色。需要访问某些Amazon EC2资源才能允许AWS Directory Service创建,配置和销毁其目录。

来源

2016-01-19 16:29:25

+0

对不起,我想我以前并不清楚。虽然这也有帮助,但我需要在其中设置一个包含IAM用户的AD。我们现在没有任何目录系统,也不想使用新的用户帐户创建AD,我们想要将现有的IAM用户帐户导入到简单的AD中。这可能吗?谢谢! – user5095359

相关问题

 相关问题