8从CLI和控制台与多个账户共享AWS Managed AD的示例

一旦您 create a Managed AD in an AWS account, you can share this AD with other accounts.

当共享服务帐户中具有AWS Managed Active Directory且需要与其他工作负载帐户共享时，这是一种常见用例。

以下是需要牢记的几点：

• 与其他帐户共享只能在托管广告所在的同一区域内进行
• 共享 directory will be visible to all the VPCs in the workload accounts
• 工作负载帐户上的共享目录将获得与共享服务帐户中的原始目录ID不同的目录ID。
• 如果托管AD目录位于启用了组织的帐户中，则您还可以选择与组织内的所有帐户或特定帐户共享该目录

本教程涵盖以下示例：

1. 共享托管广告– AWS CLI
2. 查看当前托管的AD共享– AWS CLI
3. 接受 Directory Sharing – AWS CLI
4. 取消分享 Directory – AWS CLI
5. 拒绝 Sharing – AWS CLI
6. 共享托管广告– AWS Console
7. 接受 or 拒绝 Directory Sharing – AWS Console
8. 取消分享 Directory – AWS Console

1. 共享托管广告– AWS CLI

首先，设置源目录ID和目标AWS工作负载帐号。

DIRECTORY_ID=d-123abc4567
WORKLOAD_ACCOUNT=222222222222

执行以下命令将目录共享到工作负载帐户。使用共享服务帐户凭据执行此命令。

aws ds share-directory --directory-id ${DIRECTORY_ID} \
  --share-notes "AD Directory for workload accounts" \
  --share-target "Id=${WORKLOAD_ACCOUNT},Type=ACCOUNT" \
  --share-method HANDSHAKE

要在执行CLI命令之前正确设置aws配置文件，请参考以下内容： 15 AWS配置命令示例以管理CLI的多个配置文件

在里面above example:

• DIRECTORY_ID–这是共享服务帐户中的托管AD目录ID
• WORKLOAD_ACCOUNT–这是您要共享托管AD的工作负载账户的AWS帐号
• 共享方法–由于我们专门与其他帐户共享，因此请使用HANDSHAKE作为方法

以下是上述命令的输出，该命令显示共享目录ID。

{
    "共享DirectoryId": "d-444efg5555"
}

2.查看当前托管的AD共享– AWS CLI

一旦您’共享目录，您可以查看共享的当前状态，还可以获取所有现有共享的列表，如下所示。

DIRECTORY_ID=d-123abc4567

aws ds describe-shared-directories \
  --owner-directory-id ${DIRECTORY_ID}

以下是示例输出：

{
  "共享Directories": [
    {
      "OwnerDirectoryId": "d-123abc4567",
      "分享Notes": "AD Directory for workload accounts",
      "分享Method": "HANDSHAKE",
      "CreatedDateTime": 1558566663.171,
      "共享AccountId": "222222222222",
      "共享DirectoryId": "d-444efg5555",
      "分享Status": "PendingAcceptance",
      "OwnerAccountId": "111111111111",
      "LastUpdatedDateTime": 1558566663.171
    }
  ]
}

注意：在上面的输出中，ShareStatus为PendingAcceptance。这将变为“Shared”一旦工作负载帐户接受共享请求。

3. 接受 Directory Sharing – AWS CLI

使用工作负载帐户凭据接受目录共享，如下所示。

aws ds accept-shared-directory \
  --shared-directory-id d-444efg5555

在上面的示例中，d-444efg5555是共享目录ID（而不是共享服务帐户中受管AD的目录ID）。

几种获取共享目录ID的方法：

• 您’将此作为此CLI的输出获取：aws ds share-directory
• 登录到工作负载帐户，并从控制台获取目录ID。
• 在工作负载帐户上使用aws ds describe-shared-directories获取此ID

4. 取消分享 Directory – AWS CLI

首先，设置源目录ID和目标AWS工作负载帐号。

DIRECTORY_ID=d-123abc4567
WORKLOAD_ACCOUNT=222222222222

执行以下命令将目录共享到工作负载帐户。使用共享服务帐户凭据执行此命令。

aws ds unshare-directory --directory-id ${DIRECTORY_ID} \
  --unshare-target "Id=${WORKLOAD_ACCOUNT},Type=ACCOUNT"

5. 拒绝 Sharing – AWS CLI

使用工作负载帐户凭据拒绝目录共享，如下所示。

aws ds reject-shared-directory \
  --shared-directory-id d-444efg5555

在上面的示例中，d-444efg5555是共享目录ID（而不是共享服务帐户中受管AD的目录ID）。

6.共享托管广告– AWS Console

登录到托管AD所在的共享服务帐户。

转到目录服务-> Directories ->单击目录ID d-123abc4567– Below the “Directory details”, click 上 “Scale & 分享” tab.

在操作菜单上，点击“创建新的共享目录”:

• 在里面“选择要共享的AWS账户” section, select “与其他AWS账户共享此目录”
• 输入工作负载帐号，然后单击添加
• 在里面“Send a note”部分，键入将由工作负载帐户看到的消息。这是个可选的选项。
• 点击“Share”

7. 接受 or 拒绝 Directory Sharing – AWS Console

登录到工作负载帐户AWS控制台。

转到目录服务->目录与我共享。

在顶部，你’ll see this message:
您有待处理的邀请，以使用另一个AWS账户托管的共享目录。另一个AWS账户中的管理员邀请您访问其AWS托管Microsoft AD目录。

选择这个目录– 点击Review – 点击“Accept” (or) 点击“Reject”

8. 取消分享 Directory – AWS Console

登录到托管AD所在的共享服务帐户。

转到目录服务-> Directories ->单击目录ID d-123abc4567– Below the “Directory details”, click 上 “Scale & 分享” tab.

在操作菜单上，点击“Unshare directory” – 点击“Unshare”

如果您喜欢这篇文章，您可能还会喜欢..