我刚刚开始探索AWS活动目录。我们公司没有LDAP / AD帐户。我们使用谷歌应用程序进行身份验证我希望使用不支持谷歌应用程序但是支持LDAP的应用程序。我们所有员工都拥有AWS凭据以登录控制台。
有什么方法可以使用这些AWS凭据来设置简单的AD?然后我将使用此AD在第三方应用程序内进行身份验证。
谢谢!
答案 0 :(得分:0)
如Controlling Access to AWS Directory Service Resources中所述:
默认情况下,IAM用户没有AWS Directory Service的权限 资源。允许IAM用户管理AWS Directory Service 资源,您必须创建一个明确授予IAM的IAM策略 用户创建和管理AWS Directory Service和Amazon的权限 EC2资源,并将策略附加到IAM用户或组 需要这些权限。
通常,需要root或超级用户凭据才能创建新服务,例如Simple AD。
如果您希望授予特定用户创建,管理和销毁Simple AD目录和服务的权限,您可以实施以下策略,并将该策略添加到所需的任何用户/组。
{
"Version" : "2012-10-17",
"Statement" : [
{
"Action" : [
"ds:*",
"iam:PassRole",
"iam:GetRole",
"iam:CreateRole",
"iam:PutRolePolicy",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress"
],
"Effect" : "Allow",
"Resource" : "*"
}
]
}
此政策允许用户登录控制台,并授予他们管理所有 AWS Directory Service资源的权限。需要访问IAM资源,以便AWS Directory Service可以代表您读取和创建IAM角色。必须访问某些Amazon EC2资源才能允许AWS Directory Service创建,配置和销毁其目录。