Preguntas frecuentes de AWS Directory Service

Puede lanzar la consola de AWS Directory Service desde la consola de administración de AWS para crear un directorio de AWS Managed Microsoft AD. También puede usar el SDK o la CLI de AWS.

De forma predeterminada, los directorios de AWS Managed Microsoft AD se implementan en dos zonas de disponibilidad de una región y se conectan a su Amazon Virtual Private Cloud (VPC). Se realizan copias de seguridad automáticas una vez al día y los volúmenes Amazon Elastic Block Store (EBS) se cifran para garantizar la seguridad de los datos en reposo. Los controladores de dominio que producen errores se reemplazan automáticamente en la misma zona de disponibilidad usando la misma dirección IP y es posible realizar una recuperación de desastres completa a partir de la copia de seguridad más reciente.

No. En estos momentos no existe esta funcionalidad.

Puede utilizar las herramientas existentes de Active Directory, que se ejecutan en equipos con Windows que se incluyen en el dominio de AWS Managed Microsoft AD, para administrar usuarios y grupos en directorios de AWS Managed Microsoft AD. No se necesitan herramientas, políticas ni cambios de comportamiento especiales.

Para proporcionar una experiencia de servicio administrado, AWS Managed Microsoft AD debe cancelar el permiso para que los clientes realicen operaciones que interferirían con la administración del servicio. Por lo tanto, AWS restringe el acceso a los objetos, roles y grupos del directorio que requieren privilegios elevados. AWS Managed Microsoft AD no admite acceso al alojamiento directo a controladores de dominio mediante el servicio de conexión a Escritorio remoto de Windows, la comunicación remota de PowerShell, Telnet, o Secure Shell (SSH). Cuando crea un directorio de AWS Managed Microsoft AD, se le asigna una unidad organizativa (UO) y una cuenta administrativa con derechos de administración delegada para la UO. Puede crear cuentas de usuario, grupos y políticas en la UO con las herramientas de administración de servidor remoto estándar, como los usuarios y grupos de Active Directory o el módulo ActiveDirectory de PowerShell.

Sí. La cuenta administrativa creada cuando se configura AWS Managed Microsoft AD dispone de derechos de administración delegada sobre el grupo de seguridad del servicio de acceso remoto (RAS) y el servicio de autenticación de Internet (IAS). De ese modo, puede registrar NPS con AWS Managed Microsoft AD y administrar las políticas de acceso a la red de las cuentas de su dominio.

Sí. AWS Managed Microsoft AD admite las extensiones de esquema que envía al servicio con formato de archivo de formato de intercambio de datos (LDIF) LDAP. Puede ampliar, pero no modificar, el esquema principal de Active Directory.

Amazon Chime

Amazon Connect

Instancias de Amazon EC2

Amazon FSx for Windows File Server

Amazon QuickSight

Amazon RDS for MySQL

Amazon RDS for Oracle

Amazon RDS for PostgreSQL

Amazon RDS for SQL Server

Amazon Single Sign On

Amazon WorkDocs

Amazon WorkMail

Amazon WorkSpaces

AWS Client VPN

Consola de administración de AWS

Es posible que no se admitan todas las configuraciones de estas aplicaciones.

AWS Managed Microsoft AD se basa en el Active Directory existente y proporciona la más amplia gama de herramientas nativas de AD y soporte de aplicaciones de terceros tales como:

Activación basada en el Active Directory (ADBA)

Servicios de Certificados de Active Directory (AD CS): Autoridad de certificación empresarial

Servicios federados de Active Directory (AD FS)

Usuarios y ordenadores del Active Directory (ADUC)

Servidor de aplicaciones (.NET)

Azure Active Directory (Azure AD)

Azure Active Directory (AD) Connect

Replicación del sistema de archivos distribuidos (DFSR)

Espacios de nombres del sistema de archivos distribuidos (DFSN)

Servidor de licenciamiento de servicios de escritorio remoto de Microsoft

Microsoft SharePoint Server

Microsoft SQL Server (incluyendo los grupos de disponibilidad Always On de SQL Server)

Administrador de configuración del centro de sistemas de Microsoft (SCCM)

Sistema operativo Microsoft Windows y Windows Server

Office 365

Servicios de Certificados de Active Directory (AD CS): Servicio web de inscripción de certificados

Servicios de Certificados de Active Directory (AD CS): Servicio web de la política de inscripción de certificados

Microsoft Exchange Server

Microsoft Skype para Business Server

AWS no proporciona herramientas de migración para migrar una instancia de Active Directory autoadministrada a AWS Managed Microsoft AD. Debe establecer una estrategia para realizar la migración, incluidos restablecimientos de contraseñas, e implementar los planes usando herramientas de administración de servidor remoto.

Sí. Puede configurar relaciones de confianza y reenviadores condicionales para AWS Managed Microsoft AD con la consola de Directory Service o el API. 

Sí. Puede añadir controladores de dominio adicionales a su dominio administrado con el API o la consola de AWS Directory Service. No se admite la conversión manual de instancias de Amazon EC2 a controladores de dominio. 

Sí. Puede sincronizar identidades desde AWS Managed Microsoft AD a Azure AD con Azure AD Connect y usar los servicios federados de Microsoft Active Directory (AD FS) para Windows 2016 con AWS Managed Microsoft AD para autenticar usuarios de Office 365. Para obtener instrucciones paso a paso, consulte el documento Cómo permitir que sus usuarios accedan a Office 365 con las credenciales de AWS Microsoft Active Directory.  

Sí. Puede usar los servicios federados de Microsoft Active Directory (AD FS) para Windows 2016 con su dominio administrado de AWS Managed Microsoft AD para autenticar usuarios en aplicaciones en la nube compatibles con SAML. 

Sí. AWS Managed Microsoft AD es compatible con el protocolo ligero de acceso a directorios (LDAP) a través de la capa de conexión segura (SSL)/Transport Layer Security (TLS), también conocida como LDAPS, en los roles de cliente y servidor. Cuando funciona como servidor, AWS Managed Microsoft AD admite LDAPS a través de los puertos 636 (SSL) y 389 (TLS). Es posible activar la comunicación LDAPS del lado del servidor mediante la instalación de un certificado en sus controladores de dominio de AWS Managed Microsoft AD desde una entidad de certificación (CA) de servicios de certificados de Active Directory basados en AWS. Si desea leer más información, consulte Cómo habilitar las comunicaciones LDAP (LDAPS). 

Sí. AWS Managed Microsoft AD es compatible con el protocolo ligero de acceso a directorios (LDAP) a través de la capa de conexión segura (SSL)/Transport Layer Security (TLS), también conocida como LDAPS, en los roles de cliente y servidor. Cuando funciona como cliente, AWS Managed Microsoft AD admite LDAPS a través de los puertos 636 (SSL). Para habilitar la comunicación LDAPS del lado del cliente, debe registrar certificados de autoridades de certificación (CA) de su emisor de certificados de servidor en AWS. Si desea leer más información, consulte Cómo habilitar las comunicaciones LDAP (LDAPS). 

AWS Managed Microsoft AD admite tanto la firma LDAP como LDAP sobre SSL/TLS (LDAPS) cuando actúan como clientes LDAP que se comunican con Active Directory autoadministrado. La firma LDAP no requiere ninguna acción de parte del cliente para su activación y ofrece integridad de datos. LDAPS requiere configuración de parte del cliente y ofrece integridad de datos y confidencialidad. Para obtener más información, consulte esta publicación del foro de AWS. 

AWS Managed Microsoft AD (edición Standard) incluye 1 GB de almacenamiento de objetos de directorio. Esta capacidad puede admitir hasta 5000 usuarios o 30 000 objetos de directorio, incluidos usuarios, grupos y equipos. AWS Managed Microsoft AD (edición Enterprise) incluye 17 GB de almacenamiento de objetos de directorio, que puede admitir hasta 100 000 usuarios o 500 000 objetos. 

Sí. Puede usarlo como directorio principal para administrar usuarios, grupos, equipos y objetos de política de grupos (GPO) en la nube. Puede administrar el acceso y suministrar inicio de sesión único (SSO) a servicios y aplicaciones de AWS, y a aplicaciones de terceros compatibles con directorios que se ejecuten en instancias de Amazon EC2 en la nube de AWS. Además, puede usar Azure AD Connect y AD FS para admitir SSO en aplicaciones de la nube, incluido Office 365. 

Sí. Puede usar AWS Managed Microsoft AD como bosque de recursos que contenga principalmente grupos y equipos con relaciones de confianza con su directorio local. Esto permite a sus usuarios acceder a recursos y aplicaciones de AWS con sus propias credenciales de AD locales. 

La replicación de regiones múltiples es una característica que permite implementar y usar un único directorio de AWS Managed Microsoft AD entre varias regiones de AWS. Esto facilita y hace más rentable la implementación y la administración de las cargas de trabajo de Microsoft Windows y Linux en forma global. Con la capacidad de replicación automatizada para varias regiones, se obtiene una resiliencia más alta, mientras que sus aplicaciones usan un directorio local para un rendimiento óptimo. Esta característica solo se encuentra disponible en AWS Managed Microsoft AD (edición Enterprise). Puede utilizar esta característica para directorios nuevos y existentes.

Primero, abra la consola de AWS Directory Service en la región donde el directorio ya está en funcionamiento (región primaria). Seleccione el directorio que desea expandir y elija agregar región. Luego, seleccione la región en la que desea expandirse, proporcione la Amazon Virtual Private Cloud (VPC) y las subredes en las que desea implementar el directorio. Además, puede utilizar las API para expandir el directorio. Para obtener más información, consulte la documentación.

AWS Managed Microsoft AD configura automáticamente la conectividad de red entre regiones, implementa controladores de dominio y replica todos los datos del directorio, entre otros, usuarios, grupos, objetos de políticas de grupos (GPO) y esquemas de todas las regiones seleccionadas. Además, AWS Managed Microsoft AD configura un nuevo sitio AD por región que mejora el rendimiento de la replicación de controladores de dominio y autenticación de usuarios dentro de la región, a la vez que disminuye los costos al minimizar las transferencias de datos entre regiones. El identificador de directorio (directory_id) permanece igual en la región nueva y se implementa en la misma cuenta de AWS como región primaria.

Sí, con la replicación de regiones múltiples tiene la flexibilidad de compartir el directorio con otras cuentas de AWS por región. Las configuraciones para compartir directorios no se replican de manera automática desde la región primaria. Para conocer más sobre cómo compartir el territorio con otras cuentas de AWS, consulte la documentación.

Sí, con la replicación de regiones múltiples tiene la flexibilidad de definir el número de controladores de dominio por región. Para aprender a agregar un controlador de dominio, consulte la documentación.

Con la replicación de regiones múltiples, monitoriza el estado del directorio por región de manera independiente. Puede habilitar Amazon Simple Notification Service (SNS) en cada región donde implementa el directorio, con la consola de AWS Directory Service o la API. Para obtener más información, consulte la documentación.

Con la replicación de regiones múltiples, monitoriza el registro de seguridad del directorio por región de manera independiente. Puede habilitar Amazon CloudWatch Logs en cada región donde implementa el directorio, con la consola de AWS Directory Service o la API. Para obtener más información, consulte la documentación.

Sí, puede cambiar el nombre del sitio AD del directorio por región con las herramientas AD estándar. Para obtener más información, consulte la documentación.

Sí. Si no tiene aplicaciones de AWS registradas en su directorio y no lo ha compartido con ninguna cuenta de AWS en la región, AWS Managed Microsoft AD permite eliminar una región de AWS del directorio. No puede eliminar la región primaria, a menos que elimine el directorio.

La replicación de regiones múltiples es compatible con Amazon EC2, Amazon RDS (SQL Server, Oracle, MySQL, PostgreSQL y MariaDB), Amazon Aurora (MySQL y PostgreSQL) y Amazon FSx for Windows File Server de forma nativa. Además, puede integrar otras aplicaciones de AWS, como Amazon WorkSpaces, AWS Single Sign-On, AWS Client VPN, Amazon QuickSight, Amazon Connect, Amazon WorkDocs, Amazon WorkMail y Amazon Chime con el directorio en regiones nuevas al configurar AD Connector con el directorio de AWS Managed Microsoft AD por región.

La integración sencilla de dominios es una característica que permite conectar fácilmente las instancias de Amazon EC2 para Windows Server y Amazon EC2 para Linux a un dominio, en el momento del lanzamiento y desde la consola de administración de AWS. Puede incluir instancias a AWS Managed Microsoft AD que se lancen en la nube de AWS.

Al crear y lanzar un EC2 para Windows o una instancia de EC2 para Linux desde la consola de administración de AWS, tiene la opción de seleccionar en qué dominio se incluirá la instancia. Para obtener más información, consulte la documentación.

No se puede usar la característica de integración sencilla de dominios desde la consola de administración de AWS para las instancias existentes de EC2 para Windows Server y EC2 para Linux, pero se puede integrar las instancias existentes en un dominio mediante la API de EC2 o mediante el uso de PowerShell en la instancia. Para obtener más información, consulte la documentación.

La función de integración sencilla de dominios está disponible actualmente para Amazon Linux, Amazon Linux 2, CentOS 7 o más reciente, RHEL 7.5 o más reciente, y Ubuntu 14 a 18.

AWS Directory Service permite asignar en la nube de AWS roles de IAM a usuarios y grupos de AWS Managed Microsoft AD o de un Simple AD, así como a usuarios y grupos de un Active Directory de Microsoft local existente por medio de un AD Connector. Estas funciones controlarán el acceso de los usuarios a los servicios de AWS en función de las políticas de IAM que tengan asignadas. AWS Directory Service proporcionará una dirección URL específica para clientes para la consola de administración de AWS que los usuarios pueden utilizar para iniciar sesión con sus credenciales corporativas existentes. Consulte nuestra documentación para obtener más información sobre esta característica. 

Sí. AWS Managed Microsoft AD ha implementado los controles necesarios para permitir que cumpla con los requisitos de la Ley de Transferibilidad y Responsabilidad del Seguro de Salud (HIPAA) de EE. UU. y está incluido como servicio dentro del alcance en la declaración del resumen de responsabilidades y conformidad del estándar de seguridad de datos para el sector de las tarjetas de pago (DSS de PCI). 

Para poder acceder a una lista completa de documentos relacionados con conformidad y seguridad en la nube de AWS, consulte AWS Artifact.

La seguridad, incluso la conformidad con la HIPAA y el DSS de PCI, es una responsabilidad compartida entre AWS y usted. Por ejemplo, es su responsabilidad configurar sus políticas de contraseña para AWS Managed Microsoft AD para cumplir los requisitos del DSS de PCI cuando utiliza AWS Managed Microsoft AD. Para obtener más información acerca de las acciones que debe tomar para cumplir los requisitos de cumplimiento de HIPAA y del DSS de PCI, consulte la documentación de cumplimiento para AWS Managed Microsoft AD, lea el documento técnico Diseño de arquitecturas para lograr el cumplimiento e implementar las medidas de seguridad de la HIPAA en Amazon Web Services y consulte Conformidad en la nube de AWS, Cumplimiento de la HIPAA y Cumplimiento del PCI DSS.