AWS Directory Service 的功能

多区域复制可以让您跨多个 AWS 区域部署和使用单一 AWS Managed Microsoft AD 目录。这使您能够更简单、更经济高效地在全球范围内部署和管理 Microsoft Windows 和 Linux 工作负载。借助自动化多区域复制功能，您可以获得更高的弹性，而应用程序则使用本地目录来获得更好的性能。

AWS Managed Microsoft AD 与 AWS Organizations 紧密集成，允许在多个 AWS 账户之间无缝共享目录。您可以与同一组织内其他受信任的 AWS 账户共享单个目录，也可以与组织外部的其他 AWS 账户共享该目录。如果您的 AWS 账户目前不是组织的成员，您也可以共享您的目录。

借助 AWS Managed Microsoft AD，您可以针对新的和现有的适用于 Windows Server 的 Amazon EC2 和适用于 Linux 的 Amazon EC2 实例使用无缝域加入功能。对于新的 EC2 实例，您可以在启动时使用 AWS 管理控制台选择要加入哪个域。对于现有的 EC2 实例，您可以通过 EC2Config 服务使用无缝域加入功能。Amazon EC2 实例还可以从某个区域内的任何 AWS 账户和任何 Amazon VPC 加入单个共享目录。

AWS Managed Microsoft AD 允许您使用原生 Microsoft Active Directory 组策略对象（GPO）来管理用户和设备。您可以使用组策略管理控制台 (GPMC) 等现有工具来创建 GPO。

您可以通过添加新的对象类和属性来扩展 AWS Managed Microsoft AD 架构。您还可以使用架构扩展来支持依赖特定 Active Directory 对象类和属性的应用程序。当您需要将依赖于 AWS Managed Microsoft AD 的企业应用程序迁移到 AWS Cloud 时，这种方法可能特别有用。（源）

管理员可以使用一种名为群组托管服务账户（gMSA）的方法来管理服务账户。使用 gMSA，服务管理员不再需要手动管理服务实例之间的密码同步。相反，管理员只需在 Active Directory 中创建一个 gMSA，然后将多个服务实例配置为使用该单个 gMSA 即可。要授予权限以便 AWS Managed Microsoft AD 中的用户可以创建 GMSA，您必须将其账户添加为 AWS 委托托管服务账户管理员安全组的成员。默认情况下，管理员账户是该群组的成员。

通过使用 AD 信任关系，您可以将 AWS Managed Microsoft AD 与现有 AD 集成。通过使用信任关系，您可以使用现有 Active Directory 来控制哪些 AD 用户可以访问您的 AWS 资源。

AWS Managed Microsoft AD 使用与您的现有本地 AD 相同的基于 Kerberos 的身份验证来提供 SSO。通过将您的 AWS 资源与 AWS Managed Microsoft AD 集成，您的 AD 用户可以使用一组凭证通过 SSO 登录 AWS 应用程序和资源。

您可以为 AWS Managed Microsoft AD 配置精细的目录设置，在不增加运营工作负载的情况下满足您的合规性和安全性要求。在目录设置中，您可以更新目录中使用的协议和密码的安全通道配置。例如，您可以灵活地禁用单个旧密码（例如 RC4 或 DES）和协议（例如 SSL 2.0/3.0 和 TLS 1.0/1.1）。然后，AWS Managed Microsoft AD 会将配置部署到您目录中的所有域控制器，管理域控制器的重启，并在您横向扩展或部署其他 AWS 区域时保持此配置。有关所有可用设置，请参阅目录安全设置列表。

服务器端 LDAPS 会对您的商业或自行开发的 LDAP 感知应用程序（充当 LDAP 客户端）与 AWS Managed Microsoft AD（充当 LDAP 服务器）之间的 LDAP 通信进行加密。有关更多信息，请参阅使用 AWS Managed Microsoft AD 启用服务器端 LDAPS。

客户端 LDAPS 会对 WorkSpaces（充当 LDAP 客户端）等 AWS 应用程序与您自行管理的 Active Directory（充当 LDAP 服务器）之间的 LDAP 通信进行加密。有关更多信息，请参阅使用 AWS Managed Microsoft AD 启用客户端 LDAPS 。

AWS Managed Microsoft AD 和 AD Connector 与 AWS Private Certificate Authority（AWS Private CA）Connector for AD 的集成允许您使用 AWS Private CA 颁发的证书注册加入 AD 域的对象，包括用户、组和计算机。 您可以使用 AWS Private CA 作为自行管理的企业 CA 的直接替代品，而无需部署、修补或更新本地代理或代理服务器。只需点击几下鼠标即可将 AWS Private CA 与您的目录集成，也可以通过 API 以编程方式进行集成。

您可以使用 AWS Managed Microsoft AD 来构建和运行受美国联邦风险和授权管理计划（FedRAMP）约束的 AD 感知型云应用程序。健康保险流通与责任法案（HIPAA）和支付卡行业数据安全标准（PCI DSS）合规计划。AWS Managed Microsoft AD 可以减少为云应用程序部署合规 AD 基础设施时所需的工作量，因为您的 HIPAA 风险管理计划、PCI DSS 或 FedRAMP 合规认证由您自己管理。 查看 AWS Managed AD 有资格参与的合规计划的完整列表。

使用 Amazon Simple Notification Service（Amazon SNS），您可以在目录状态发生变化时收到电子邮件或短信（SMS）。您的目录从“活动”状态变为“受损”或“无法操作”状态时，您会收到通知。当目录恢复为“活动”状态时，您也会收到通知。

AWS Directory Service 与 Amazon CloudWatch 集成，可帮助您为目录中的每个域控制器提供重要的性能指标。这意味着您可以监控域控制器性能计数器，例如 CPU 和内存利用率。您还可以配置警报并启动自动操作，以应对高利用率时段。 

使用 AWS Directory Service 控制台或 API 将域控制器安全事件日志转发到 Amazon CloudWatch Logs。这可以提供目录中安全事件的透明度，帮助您满足安全监控、审计和日志保留政策要求。您还可以将安全事件日志从目录转发到您选择的 Amazon Web Services（AWS）账户中的 Amazon CloudWatch Logs，并使用 AWS 服务或第三方应用程序（例如具有 AWS 安全能力的 AWS 合作伙伴网络 [APN] 高级技术合作伙伴 Splunk）集中监控事件。

通过选择 AWS Managed Microsoft AD 作为标识源，您可以授予本地 AD 用户使用其现有 AD 凭证，通过 AWS IAM Identity Center（AWS SSO 的后继者）登录 AWS 管理控制台和 AWS CLI 的权限。这使您的用户能够在登录时担任为其分配的某个角色，并根据为该角色定义的权限来访问资源和执行操作。另一种选择是使用 AWS Managed Microsoft AD，让用户能够担任 AWS Identity and Access Management（IAM）角色。

利用 AWS Managed Microsoft AD，您可以在 AWS 资源（如 Amazon EC2 实例、Amazon RDS for SQL Server 实例）和 AWS 最终用户计算服务（如 Amazon WorkSpaces）中针对目录感知工作负载使用单个目录。通过共享目录，您的目录感知工作负载能够管理某个区域内多个 AWS 账户和 Amazon VPC 中的 Amazon EC2 实例。它还有助于避免在多个目录之间复制和同步数据的复杂性。