Administración de usuarios y grupos en AWS Managed Microsoft AD
Puede administrar usuarios y grupos en AWS Managed Microsoft AD. Debe crear un usuario para representar a una persona o entidad que pueda acceder al directorio. También puede crear un grupo para conceder y denegar permisos a más de un usuario a la vez. Puede agregar no solo usuarios a un grupo, sino también grupos a un grupo. Cuando agrega un usuario a un grupo, el usuario hereda los roles y permisos asignados al grupo. Cuando agrega un grupo a otro grupo, los grupos comparten una relación de grupo principal-grupo secundario, donde el grupo secundario hereda los roles y permisos asignados al grupo principal. También puede copiar las pertenencias a grupos de un usuario en otro usuario.
Puede administrar usuarios y grupos con AWS Directory Service Data mediante los siguientes métodos:
Para ver una demostración de la CLI de AWS Directory Service Data, consulte el siguiente vídeo de YouTube.
Como alternativa, puede usar una instancia vinculada a un dominio.
Administración de usuarios y grupos en la Consola de administración de AWS
Puede administrar usuarios y grupos desde la Consola de administración de AWS con AWS Directory Service Data. Directory Service Data es una extensión de Directory Service que le permite realizar tareas integradas de administración de objetos. Algunas de estas tareas incluyen la creación de usuarios y grupos y la adición de usuarios a los grupos, así como grupos a un grupo.
Para obtener más información, consulte Administración de usuarios y grupos en el AWS Managed Microsoft AD desde la Consola de administración de AWS.
nota
Para utilizar esta característica, debe estar habilitada. Para obtener más información, consulte Habilitación de la administración de usuarios y grupos.
Solo es posible administrar usuarios y grupos mediante la Consola de administración de AWS desde la Región de AWS principal asignada al directorio. Para obtener más información, consulte Regiones principales frente a regiones adicionales.
Necesitará los permisos de IAM necesarios para usar AWS Directory Service Data. Para obtener más información, consulte Directory ServicePermisos de la API de : referencia de acciones, recursos y condiciones. Para comenzar a otorgar permisos a los usuarios y las cargas de trabajo, puede utilizar políticas administradas de AWS, como AWS Política administrada de: AWSDirectoryServiceDataFullAccess o AWS Política administrada de: AWSDirectoryServiceDataReadOnlyAccess. Para obtener más información, consulta prácticas recomendadas de seguridad en IAM.
Administración de usuarios y grupos en la AWS CLI
Puede administrar usuarios y grupos desde la AWS CLI a través de la API de AWS Directory Service Data. Directory Service Data es una extensión de Directory Service que le permite realizar tareas integradas de administración de objetos mediante el espacio de nombres ds-data. Algunas de estas tareas incluyen la creación de usuarios y grupos y la adición de usuarios a los grupos, así como grupos a un grupo.
Creación de un usuario con la CLI de AWS Directory Service Data
El siguiente es un ejemplo de comando de la AWS CLI que usa el espacio de nombres ds-data para crear un usuario.
aws ds-data create-user --directory-idd-1234567890--sam-account-name"jane.doe"--regionyour-Primary-Region-name
nota
Para utilizar esta AWS CLI, debe estar habilitada. Para obtener más información, consulte Cómo habilitar o deshabilitar la administración de usuarios y grupos o AWS Directory Service Data.
Solo puede administrar usuarios y grupos con la CLI de AWS Directory Service Data desde la Región de AWS principal asignada al directorio. Para obtener más información, consulte Regiones principales frente a regiones adicionales.
Necesitará los permisos de IAM necesarios para usar AWS Directory Service Data. Para obtener más información, consulte Directory ServicePermisos de la API de : referencia de acciones, recursos y condiciones. Para comenzar a otorgar permisos a los usuarios y las cargas de trabajo, puede utilizar políticas administradas de AWS, como AWS Política administrada de: AWSDirectoryServiceDataFullAccess o AWS Política administrada de: AWSDirectoryServiceDataReadOnlyAccess. Para obtener más información, consulte Prácticas recomendadas de seguridad en IAM.
Para obtener más información, consulte Administración de usuarios y grupos en AWS Managed Microsoft AD desde la AWS CLI.
Administración de usuarios y grupos con Herramientas de AWS para PowerShell
Herramientas de AWS para PowerShell proporciona dos módulos independientes para la administración de AWS Directory Service: AWS.Tools.DirectoryService (DS) y AWS.Tools.DirectoryServiceData (DSD). Cuando trabaje con AWS Directory Service, asegúrese de utilizar el módulo adecuado para la operación prevista.
-
El módulo
DirectoryServicecontiene cmdlets para administrar la configuración y la administración de los servicios de directorio, incluidos cmdlets comoEnable-DSDirectoryDataAccess,Disable-DSDirectoryDataAccessyReset-DSUserPassword. -
El módulo
DirectoryServiceDatacontiene cmdlets para realizar operaciones dentro de un directorio, centrándose específicamente en la administración de usuarios y grupos. Estos cmdlets de DSD incluyen las operaciones de administración de usuarios (New-DSDUser,Get-DSDUser,Update-DSDUseryRemove-DSDUser), las operaciones de administración de grupos (New-DSDGroup,Get-DSDGroup,Update-DSDGroupyRemove-DSDGroup), la administración de la pertenencia a grupos (Add-DSDGroupMemberyRemove-DSDGroupMember) y la funcionalidad de búsqueda (Search-DSDUserySearch-DSDGroup)
Administración de usuarios y grupos con una instancia en las instalaciones o una instancia de Amazon EC2
Si los datos de AWS Directory Service Data no son compatibles con su caso de uso, le recomendamos administrar los usuarios y los grupos con una instancia en las instalaciones o de EC2.
Para crear usuarios y grupos en un AWS Managed Microsoft AD, puede utilizar cualquier instancia (ya sea en las instalaciones o de EC2) que se haya vinculado al AWS Managed Microsoft AD. Es necesario iniciar sesión como un usuario que tenga privilegios para crear usuarios y grupos. También es necesario instalar las herramientas de Active Directory en su instancia de EC2 para que pueda agregar sus usuarios y grupos con el complemento Usuarios y equipos de Active Directory.
-
Puede implementar una instancia de EC2 preconfigurada con las herramientas administrativas de Active Directory preinstaladas desde la consola de administración de Directory Service. Para obtener más información, consulte Inicialización de una instancia de administración de directorios en su AWS Managed Microsoft AD Active Directory.
-
Si necesita implementar una instancia de EC2 autoadministrada con herramientas administrativas e instalar las herramientas necesarias, consulte Paso 3: implementación de una instancia de Amazon EC2 para administrar el Active Directory de AWS Managed Microsoft AD.
Temas
