一般性问题

什么是 AWS Directory Service?

AWS Directory Service 是一项托管服务,提供包含贵组织相关信息(包括用户、组、计算机和其他资源)的目录。作为一项托管服务,AWS Directory Service 旨在减少管理任务,使您可以将更多的时间和资源集中在业务发展上。无需自己构建高度可用的复杂目录拓扑,因为每个目录都跨多个可用区进行部署,并且监控功能可自动检测并替换发生故障的域控制器。另外,它还为您配置了数据复制和每日自动拍摄快照的功能。不需要安装任何软件,AWS 会处理所有补丁和软件更新。

AWS Directory Service 有何用途?

AWS Directory Service 可让您在 AWS 云中轻松设置和运行目录,或者将 AWS 资源与现有的内部部署 Microsoft Active Directory 相关联。目录创建完成后,您便可以用它来管理用户和组、为应用程序和服务提供单点登录、创建和应用组策略、将 Amazon EC2 实例加入到域,以及简化基于云的 Linux 和 Microsoft Windows 工作负载的部署和管理。AWS Directory Service 可让您的最终用户在访问 AWS 应用程序 (如 Amazon WorkSpaces、Amazon WorkDocs 和 Amazon WorkMail,以及可感知目录的 Microsoft 工作负载,包括自定义 .NET 和基于 SQL Server 的应用程序) 时,使用他们现有的企业凭证。最终,您可以通过 AWS Identity and Access Management (IAM) 对 AWS 管理控制台进行基于角色的访问,从而使用现有的企业凭证管理 AWS 资源,因此您无需构建更多的联合身份验证基础设施。

如何创建目录?

您可以使用 AWS 管理控制台或 API 来创建目录。您只需要提供一些基本信息,如目录的完全限定域名 (FQDN)、管理员账户的名称和密码以及您想将目录与之连接的 VPC。

我是否可以将现有的 Amazon EC2 实例加入 AWS Directory Service 目录中?

是的,您可以使用 AWS 管理控制台和或 API 将运行 Linux 或 Windows 的现有 EC2 实例添加到 AWS Managed Microsoft AD。

AWS Directory Service 是否支持 API?

支持使用公用 API 创建和管理目录。您现在可以通过编程的方式使用公共 API 管理目录。API 通过 AWS CLI 和软件开发工具包提供。有关 API 的更多信息,请参阅 AWS Directory Service 文档

AWS Directory Service 是否支持 CloudTrail 日志功能?

可以。通过 AWS Directory Service API 或管理控制台执行的操作将包含在 CloudTrail 审核日志中。

当我的目录状态发生变化时,我可以收到通知吗?

可以。您可以配置 Amazon Simple Notification Service (SNS),以在您的 AWS Directory Service 状态发生变化时接收电子邮件和短信。Amazon SNS 使用主题来收集消息并将消息分发给订阅者。当 AWS Directory Service 检测到您的目录状态发生变化时,它会向相关主题发布一条消息,该消息随后会发送给主题订阅者。访问文档了解更多信息。

AWS Directory Service 是如何收费的?

请参阅定价页面了解更多信息。

我能否标记目录?

可以。AWS Directory Service 支持成本分配标记。标签通过对 AWS 资源进行分类和分组,从而让您能够轻松分配成本和优化支出。例如,您可以使用标签按管理员、应用程序名称、成本中心或特定项目对资源进行分组。

哪些 AWS 地区提供 AWS Directory Service?

请参阅地区性产品和服务,了解 AWS Directory Service 在不同地区的具体提供情况

AWS Managed Microsoft AD

如何创建 AWS Managed Microsoft AD 目录?

您可以通过在 AWS 管理控制台上启动 AWS Directory Service 控制台来创建 AWS Managed Microsoft AD 目录。您也可以使用 AWS 开发工具包或 AWS CLI 进行创建。

如何部署 AWS Managed Microsoft AD 目录?

默认情况下,AWS Managed Microsoft AD 目录部署在一个地区的两个可用区内,并连接至您的 Amazon Virtual Private Cloud (VPC)。它每天会自动备份一次,并会对 Amazon Elastic Block Store (EBS) 卷进行加密以确保静态数据安全无虞。它会在同一可用区内使用同一 IP 地址自动更换出现故障的域控制器,并且可使用最新备份执行完整的灾难恢复。

是否可以对 AWS Managed Microsoft AD 目录的存储、CPU 或内存参数进行配置?

不可以,目前不支持此功能。

我如何管理 AWS Managed Microsoft AD 的用户和组?

您可以使用现有 Active Directory 工具 (在已加入 AWS Managed Microsoft AD 域的 Windows 计算机上运行) 来管理 AWS Managed Microsoft AD 目录中的用户和组,不需要特殊的工具、策略或行为更改。

AWS Managed Microsoft AD 与我自己的 Amazon EC2 Windows 实例中运行的 Active Directory 相比,管理权限有何不同?

为了提供托管服务体验,AWS Managed Microsoft AD 必须禁止干扰服务管理的客户操作。因此,AWS 不提供对目录实例的 Windows PowerShell 访问权限,并限制对需要提升权限的目录对象、角色和组的访问。AWS Managed Microsoft AD 不允许主机通过 Telnet、Secure Shell (SSH) 或 Windows 远程桌面连接直接访问域控制器。创建好 AWS Managed Microsoft AD 目录后,系统会为您分配组织部门 (OU) 以及与其对应的管理员账户和委托管理权限。您可以使用 Active Directory“用户”和“组”等标准的远程服务器管理工具,在 OU 中创建用户账户、组和策略。

是否可以将 Microsoft 网络策略服务器 (NPS) 与 AWS Managed Microsoft AD 搭配使用?

可以。设置 AWS Managed Microsoft AD 时为您创建的管理员账户拥有对远程访问服务 (RAS) 和 Internet 身份验证服务 (IAS) 安全组的委托管理权限。这使您可以将 NPS 注册到 AWS Managed Microsoft AD,并管理您的域中账户的网络访问策略。

AWS Managed Microsoft AD 是否支持架构扩展?

可以。AWS Managed Microsoft AD 支持您以 LDAP 数据交换格式 (LDIF) 文件的形式提交给服务的架构扩展。您可以进行扩展,但不得修改 Active Directory 的核心架构。

哪些应用程序与 AWS Managed Microsoft AD 兼容?

以下应用程序与 AWS Managed Microsoft AD 兼容:

  • Amazon Chime
  • Amazon Connect
  • Amazon EC2
  • Amazon RDS for SQL Server
  • Amazon QuickSight
  • Amazon WorkDocs
  • Amazon WorkMail
  • Amazon WorkSpaces
  • AWS 管理控制台
  • Active Directory 联合身份验证服务 (AD FS)
  • 应用程序服务器 (.NET)
  • Azure Active Directory (AD) Connect
  • 企业证书颁发机构
  • 远程桌面授权管理器
  • SharePoint Server
  • SQL Server

请注意,这些应用程序的所有配置并非都受支持。

我可以将现有的本地 Microsoft Active Directory 迁移至 AWS Managed Microsoft AD 吗?

AWS 不提供任何将自我管理的 Active Directory 迁移到 AWS Managed Microsoft AD 的迁移工具。您必须建立执行迁移的策略 (包括密码重置),并使用远程服务器管理工具实施计划。

我可以在 Directory Service 控制台中配置条件转发服务器和信任关系吗?

可以。您可以使用 Directory Service 控制台以及 API 为 AWS Managed Microsoft AD 配置条件转发服务器和信任关系。

我能否向我的 AWS Managed Microsoft AD 中手动添加额外的域控制器?

可以。您可以使用 AWS Directory Service 控制台或 API 向您的托管域添加额外的域控制器。请注意,不支持手动将 Amazon EC2 实例添加到域控制器。

我可以通过 AWS Managed Microsoft AD 中托管的用户账户来使用 Microsoft Office 365 吗?

可以。您可以使用 Azure AD Connect 将 AWS Managed Microsoft AD 中的身份同步到 Azure AD,将适用于 Windows 2016 的 Microsoft Active Directory 联合身份验证服务 (AD FS) 与 AWS Managed Microsoft AD 结合使用对 Office 365 用户进行身份验证。有关分步说明,请参阅 How to Enable Your Users to Access Office 365 with AWS Microsoft Active Directory Credentials

我可以通过 AWS Managed Microsoft AD 对云应用程序使用基于安全断言标记语言 (SAML) 2.0 的身份验证吗?

可以。您可以将适用于 Windows 2016 的 Microsoft Active Directory 联合身份验证服务 (AD FS) 与 AWS Managed Microsoft AD 托管的域结合使用来对支持 SAML 的云应用程序的用户进行身份验证。

我可以使用 LDAPS 加密我的应用程序与 AWS Managed Microsoft AD 之间的通信吗?

可以。AWS Managed Microsoft AD 支持端口 636 上通过安全套接字层 (SSL) 的轻型目录访问协议查询 (LDAP) 和端口 389 上通过传输层安全 (TLS) 的 LDAP,这两种 LDAP 也称为 LDAPS。在 AWS Managed Microsoft AD 域控制器中安装 Microsoft 证书颁发机构 (CA) 颁发的证书,即可启用这两种类型的 LDAPS 通信。有关更多信息,请参阅 How to Enable LDAPS for Your AWS Managed Microsoft AD Directory

AWS Managed Microsoft AD 可支持多少用户、组、计算机和对象(总数)?

AWS Managed Microsoft AD(标准版)提供 1GB 的目录对象存储。此容量可支持高达 5000 个用户或 30000 个目录对象,包括用户、组和计算机。AWS Managed Microsoft AD (企业版) 提供 17GB 的目录对象存储,可支持高达 100000 个用户或 500000 个对象。

我可以将 AWS Managed Microsoft AD 用作主目录吗?

可以。您可以将其用作主目录来管理云中的用户、组、计算机和组策略对象 (GPO)。您可以管理对以下项的访问以及为其提供单点登录 (SSO):AWS 应用程序和服务、AWS 云中 AWS EC2 实例中运行的可识别第三方目录的应用程序。此外,您还可以使用 Azure AD Connect 和 AD FS 支持对云应用程序 (含 Office 365) 进行单点登录。

我可以将 AWS Managed Microsoft AD 用作资源林吗?

可以。您可以将 AWS Managed Microsoft AD 用作资源林,其中包括与您的本地目录建立信任关系的主计算机和组。这样,您的用户便可使用他们的本地 AD 凭证访问 AWS 应用程序和资源。

无缝域加入

什么是无缝域加入?

无缝域加入是一种功能,使您可以在启动时通过 AWS 管理控制台将适用于 Windows Server 的 EC2 实例无缝加入到域中。您可以将实例加入您在 AWS 云中启动的 AWS Managed Microsoft AD。

如何将实例无缝加入到域中?

当您从 AWS 管理控制台创建和启动适用于 Windows 的 EC2 实例时,您可以选择您的实例将加入哪个域。有关更多信息,请参阅文档

可以将现有的适用于 Windows Server 的 EC2 实例无缝加入到域中吗?

您不能使用 AWS 管理控制台中的无缝域加入功能将现有的适用于 Windows Server 的 EC2 实例无缝加入到域中,但您可以使用 EC2 API 或通过使用实例上的 PowerShell 将现有实例加入到域中。有关更多信息,请参阅文档

IAM 集成

AWS Directory Service 如何启用对 AWS 管理控制台的单点登录 (SSO)?

通过 AWS Directory Service,您可使用 AD Connector 为 AWS 云中的 AWS Managed Microsoft AD 或 Simple AD 用户和组指定 IAM 角色,也可以为现有的本地 Microsoft Active Directory 用户和组指定 IAM 角色。这些角色将基于分配到角色的 IAM 策略控制用户对 AWS 服务的访问权限。AWS Directory Service 将提供 AWS 管理控制台的客户特定 URL,用户可以用它通过现有的企业凭证进行登录。请参阅我们的文档了解有关此功能的更多信息。

合规性

我可以对遵从合规性标准的 AWS 云工作负载使用 AWS Managed Microsoft AD 吗?

可以。为使您能够满足美国《健康保险可携带性与责任法案》要求,AWS Microsoft AD 已实施了必要的控制,并作为范围内服务包含在支付卡行业数据安全标准 (PCI DSS) 合规性证明文件和责任摘要中。

如何才能获取合规性和安全性报告?

要获取与 AWS 云中合规性和安全性相关的完整文档列表,请参阅 AWS Artifact

什么是 AWS 责任共担模型?

安全性(包括 HIPAA 和 PCI DSS 合规性)是 AWS 与您之间的共同责任。例如,使用 AWS Managed Microsoft AD 时配置 AWS Managed Microsoft AD 密码策略使之满足 PCI DSS 要求是您的责任。要详细了解满足 HIPAA 和 PCI DSS 合规性要求所需采取的操作,请参阅适用于 AWS Managed Microsoft AD 的合规性文档《Amazon Web Services 上的 HIPPA 安全性和合规性架构》白皮书和 AWS 云合规性HIPAA 合规性PCI DSS 合规性


有关 AD Connector 或 Simple AD 的问题,请参阅 AWS Directory Service 之其他目录选项

详细了解 AWS Directory Service

访问功能页面
准备好开始构建了吗?
AWS Directory Service 入门
还有更多问题?
联系我们