0

我刚刚开始探索 AWS 活动目录。我们公司没有 LDAP/AD 帐户。我们使用谷歌应用程序进行身份验证。我希望使用不支持谷歌应用但支持 LDAP 的应用程序。我们所有的员工都有 AWS 凭证来登录控制台。

有什么方法可以使用这些 AWS 凭证来设置简单的 AD?然后我将使用这个 AD 在 3rd 方应用程序中进行身份验证。

谢谢!!

4

1 回答 1

0

控制对 AWS Directory Service 资源的访问中所述:

默认情况下,IAM 用户无权访问 AWS Directory Service 资源。要允许 IAM 用户管理 AWS Directory Service 资源,您必须创建一个 IAM 策略,明确授予 IAM 用户创建和管理 AWS Directory Service 和 Amazon EC2 资源的权限,并将该策略附加到需要这些权限的 IAM 用户或组。

通常,创建新服务(如 Simple AD)需要 root 或超级用户凭据。

如果您想授予特定用户创建、管理和销毁 Simple AD 目录和服务的权限,您可以实施以下策略,并将该策略添加到所需的任何用户/组。

{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Action" : [
        "ds:*",
        "iam:PassRole", 
        "iam:GetRole", 
        "iam:CreateRole", 
        "iam:PutRolePolicy", 
        "ec2:DescribeSubnets",
        "ec2:DescribeVpcs",
        "ec2:CreateSecurityGroup",
        "ec2:DeleteSecurityGroup",
        "ec2:CreateNetworkInterface",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DeleteNetworkInterface",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:RevokeSecurityGroupEgress"
      ],
      "Effect" : "Allow",
      "Resource" : "*"
    }
  ]
}

此策略允许用户登录控制台,并授予他们管理所有AWS Directory Service 资源的权限。需要访问 IAM 资源,以便 AWS Directory Service 可以代表您读取和创建 IAM 角色。必须访问某些 Amazon EC2 资源才能允许 AWS Directory Service 创建、配置和销毁其目录。

于 2016-01-19T16:29:25.230 回答