问:什么是 AWS Directory Service?

AWS Directory Service 是一项托管服务,提供包含贵组织相关信息(包括用户、组、计算机和其他资源)的目录。作为一项托管服务,AWS Directory Service 旨在减少管理任务,使您可以将更多的时间和资源集中在业务发展上。无需自己构建高度可用的复杂目录拓扑,因为每个目录都跨多个可用区进行部署,并且监控功能可自动检测并替换发生故障的域控制器。另外,还为您配置了数据复制和每日自动快照功能。不需要安装任何软件,AWS 会处理所有补丁和软件更新。

问:AWS Directory Service 有何用途?

AWS Directory Service 可让您在 AWS 云中轻松设置和运行目录,或者将 AWS 资源与现有的内部部署 Microsoft Active Directory 相关联。目录创建完成后,您便可以用它来管理用户和组、为应用程序和服务提供单点登录、创建和应用组策略、将 Amazon EC2 实例加入到域,以及简化基于云的 Linux 和 Microsoft Windows 工作负载的部署和管理。AWS Directory Service 可让您的最终用户在访问 AWS 应用程序 (如 Amazon WorkSpaces、Amazon WorkDocs 和 Amazon WorkMail,以及可感知目录的 Microsoft 工作负载,包括自定义 .NET 和基于 SQL Server 的应用程序) 时,使用他们现有的企业凭证。最终,您可以通过 AWS Identity and Access Management (IAM) 对 AWS 管理控制台进行基于角色的访问,从而使用现有的企业凭证管理 AWS 资源,因此您无需构建更多的联合身份验证基础设施。

问:如何创建目录?

您可以使用 AWS 管理控制台或 API 来创建目录。您只需要提供一些基本信息,如目录的完全限定域名 (FQDN)、管理员账户的名称和密码以及您想将目录与之连接的 VPC。

问:我是否可以将现有的 Amazon EC2 实例加入 AWS Directory Service 目录中?

是的,您可以使用 AWS 管理控制台和或 API 将运行 Linux 或 Windows 的现有 EC2 实例添加到 AWS Microsoft AD。

问:AWS Directory Service 是否支持 API?

答:支持使用公用 API 创建和管理目录。您现在可以通过编程的方式使用公共 API 管理目录。API 通过 AWS CLI 和软件开发工具包提供。有关 API 的更多信息,请参阅 AWS Directory Service 文档

问:AWS Directory Service 是否支持 CloudTrail 日志功能?

支持。通过 AWS Directory Service API 或管理控制台执行的操作将包含在 CloudTrail 审核日志中。

问:当我的目录状态发生变化时,我可以收到通知吗?

可以。您可以配置 Amazon Simple Notification Service (SNS),以在您的 AWS Directory Service 状态发生变化时接收电子邮件和短信。Amazon SNS 使用主题来收集消息并将消息分发给订阅者。当 AWS Directory Service 检测到您的目录状态发生变化时,它会向相关主题发布一条消息,该消息随后会发送给主题订阅者。访问文档了解更多信息。

问:AWS Directory Service 是如何收费的?

请参阅定价页面了解更多信息。

问:我能否标记目录?

能。AWS Directory Service 支持成本分配标记。标签通过对 AWS 资源进行分类和分组,从而让您能够轻松分配成本和优化支出。例如,您可以使用标签按管理员、应用程序名称、成本中心或特定项目对资源进行分组。

问:哪些 AWS 地区提供 AWS Directory Service?

请参阅地区性产品和服务,了解 AWS Directory Service 在不同地区的具体提供情况

问:如何创建 AWS Microsoft AD 目录?

您可以通过在 AWS 管理控制台上启动 AWS Directory Service 控制台来创建 AWS Microsoft AD 目录。您也可以使用 AWS 开发工具包或 AWS CLI 进行创建。

问:如何部署 AWS Microsoft AD 目录?

默认情况下,AWS Microsoft AD 目录部署在一个地区的两个可用区内,并连接至您的 Amazon Virtual Private Cloud (VPC)。它每天会自动备份一次,并会对 Amazon Elastic Block Store (EBS) 卷进行加密以确保静态数据安全无虞。它会在同一可用区内使用同一 IP 地址自动更换出现故障的域控制器,并且可使用最新备份执行完整的灾难恢复。

问:是否可以对 AWS Microsoft AD 目录的存储、CPU 或内存参数进行配置?

不可以。目前不支持此功能。

问:我如何管理 AWS Microsoft AD 的用户和组?

您可以使用现有 Active Directory 工具 (在已加入 AWS Microsoft AD 域的 Windows 计算机上运行) 来管理 AWS Microsoft AD 目录中的用户和组, 不需要特殊的工具、策略或行为更改。

问:AWS Microsoft AD 与我自己的 Amazon EC2 Windows 实例中运行的 Active Directory 相比,管理权限有何不同?

为了提供托管服务体验,AWS Microsoft AD 必须禁止干扰服务管理的客户操作。因此,AWS 不提供对目录实例的 Windows PowerShell 访问权限,并限制对需要提升权限的目录对象、角色和组的访问。AWS Microsoft AD 不允许主机通过 Telnet、Secure Shell (SSH) 或 Windows 远程桌面连接直接访问域控制器。创建好 AWS Microsoft AD 目录后,系统会为您分配组织部门 (OU) 以及与其对应的管理员账户和委托管理权限。您可以使用 Active Directory“用户”和“组”等标准的远程服务器管理工具,在 OU 中创建用户账户、组和策略。

问:是否可以将 Microsoft 网络策略服务器 (NPS) 与 AWS Microsoft AD 搭配使用?

可以。设置 AWS Microsoft AD 时为您创建的管理员账户拥有对远程访问服务 (RAS) 和 Internet 身份验证服务 (IAS) 安全组的委托管理权限。这使您可以将 NPS 注册到 AWS Microsoft AD,并管理您的域中账户的网络访问策略。

问:AWS Microsoft AD 是否支持架构扩展?

支持。AWS Microsoft AD 支持您以 LDAP 数据交换格式 (LDIF) 文件的形式提交给服务的架构扩展。您可以进行扩展,但不得修改 Active Directory 的核心架构。

问:哪些应用程序与 AWS Microsoft AD 兼容?

以下应用程序与 AWS Microsoft AD 兼容

  • Amazon Chime
  • Amazon Connect
  • Amazon EC2
  • Amazon RDS for SQL Server
  • Amazon QuickSight
  • Amazon WorkDocs
  • Amazon WorkMail
  • Amazon WorkSpaces
  • AWS 管理控制台
  • Active Directory 联合身份验证服务 (AD FS)
  • 应用程序服务器 (.NET)
  • Azure Active Directory (AD) Connect
  • 企业证书颁发机构
  • 远程桌面授权管理器
  • SharePoint Server
  • SQL Server  

请注意,这些应用程序的所有配置并非都受支持。

问:我可以将现有的本地 Microsoft Active Directory 迁移至 AWS Microsoft AD 吗?

AWS 不提供任何将自我管理的 Active Directory 迁移到 AWS Microsoft AD 的迁移工具。您必须建立执行迁移的策略 (包括密码重置),并使用远程服务器管理工具实施计划。

问:我可以在 Directory Service 控制台中配置条件转发服务器和信任关系吗?

可以。您可以使用 Directory Service 控制台以及 API 为 AWS Microsoft AD 配置条件转发服务器和信任关系。

问:我能否向我的 AWS Microsoft AD 中手动添加额外的域控制器?

能。您可以使用 AWS Directory Service 控制台或 API 向您的托管域添加额外的域控制器。请注意,不支持手动将 Amazon EC2 实例添加到域控制器。

问:我可以通过 AWS Microsoft AD 中托管的用户账户来使用 Microsoft Office 365 吗?

可以。您可以使用 Azure AD Connect 将 AWS Microsoft AD 中的身份同步到 Azure AD,将适用于 Windows 2016 的 Microsoft Active Directory 联合身份验证服务 (AD FS) 与 AWS Microsoft AD 结合使用对 Office 365 用户进行身份验证。有关分步说明,请参阅 How to Enable Your Users to Access Office 365 with AWS Microsoft Active Directory Credentials

问:我可以通过 AWS Microsoft AD 对云应用程序使用基于安全断言标记语言 (SAML) 2.0 的身份验证吗?

可以。您可以将适用于 Windows 2016 的 Microsoft Active Directory 联合身份验证服务 (AD FS) 与 AWS Microsoft AD 托管的域结合使用来对支持 SAML 的云应用程序的用户进行身份验证。

问:我可以使用 LDAPS 加密我的应用程序与 AWS Microsoft AD 之间的通信吗?

可以。AWS Microsoft AD 支持端口 636 上通过安全套接字层 (SSL) 的轻型目录访问协议查询 (LDAP) 和端口 389 上通过传输层安全 (TLS) 的 LDAP,这两种 LDAP 也称为 LDAPS。在 AWS Microsoft AD 域控制器中安装 Microsoft 证书颁发机构 (CA) 颁发的证书,即可启用这两种类型的 LDAPS 通信。有关更多信息,请参阅 How to Enable LDAPS for Your AWS Microsoft AD Directory

问:AWS Microsoft AD 可支持多少用户、组、计算机和对象 (总数)?

AWS Microsoft AD (标准版) 提供 1GB 的目录对象存储。此容量可支持高达 5000 个用户或 30000 个目录对象,包括用户、组和计算机。AWS Microsoft AD (企业版) 提供 17GB 的目录对象存储,可支持高达 100000 个用户或 500000 个对象。

问:我可以将 AWS Microsoft AD 用作主目录吗?

可以。您可以将其用作主目录来管理云中的用户、组、计算机和组策略对象 (GPO)。您可以管理对以下项的访问以及为其提供单点登录 (SSO):AWS 应用程序和服务、AWS 云中 AWS EC2 实例中运行的可识别第三方目录的应用程序。此外,您还可以使用 Azure AD Connect 和 AD FS 支持对云应用程序 (含 Office 365) 进行单点登录。

问:我可以将 AWS Microsoft AD 用作资源林吗?

可以。您可以将 AWS Microsoft AD 用作资源林,其中包括与您的本地目录建立信任关系的主计算机和组。这样,您的用户便可使用他们的本地 AD 凭证访问 AWS 应用程序和资源。

问:什么是无缝域加入?

无缝域加入是一种功能,使您可以在启动时通过 AWS 管理控制台将适用于 Windows Server 的 EC2 实例无缝加入到域中。您可以将实例加入您在 AWS 云中启动的 AWS Microsoft AD。

问:如何将实例无缝加入到域中?

当您从 AWS 管理控制台创建和启动适用于 Windows 的 EC2 实例时,您可以选择要您的实例加入哪个域。要了解更多信息,请参阅文档

问:可以将现有的适用于 Windows Server 的 EC2 实例无缝加入到域中吗?

您不能使用 AWS 管理控制台中的无缝域加入功能将现有的适用于 Windows Server 的 EC2 实例无缝加入到域中,但您可以使用 EC2 API 或通过使用实例上的 PowerShell 将现有实例加入到域中。要了解更多信息,请参阅文档

问:AWS Directory Service 如何启用对 AWS 管理控制台的单点登录 (SSO)?

通过 AWS Directory Service,您可使用 AD Connector 为 AWS 云中的 AWS Microsoft AD 或 Simple AD 用户和组指定 IAM 角色,也可以为现有的本地 Microsoft Active Directory 用户和组指定 IAM 角色。这些角色将基于分配到角色的 IAM 策略控制用户对 AWS 服务的访问权限。AWS Directory Service 将提供 AWS 管理控制台的客户特定 URL,用户可以用它通过现有的企业凭证进行登录。请参阅我们的文档了解有关此功能的更多信息。

问:我可以对遵从合规性标准的 AWS 云工作负载使用 AWS Microsoft AD 吗?

可以。为使您能够满足美国《健康保险可携带性与责任法案》要求,AWS Microsoft AD 已实施了必要的控制,并作为范围内服务包含在支付卡行业数据安全标准 (PCI DSS) 合规性证明文件和责任摘要中。

问:如何才能获取合规性和安全性报告?

要获取与 AWS 云中合规性和安全性相关的完整文档列表,请参阅 AWS Artifact

问:什么是 AWS 责任共担模型?

安全性 (包括 HIPAA 和 PCI DSS 合规性) 是 AWS 与您之间的共同责任。例如,使用 AWS Microsoft AD 时配置 AWS Microsoft AD 密码策略使之满足 PCI DSS 要求是您的责任。要详细了解满足 HIPAA 和 PCI DSS 合规性要求所需采取的操作,请参阅适用于 AWS Microsoft AD 的合规性文档《Amazon Web Services 上的 HIPPA 安全性和合规性架构》白皮书和 AWS 云合规性HIPAA 合规性PCI DSS 合规性


有关 AD Connector 或 Simple AD 的问题,请参阅 AWS Directory Service 之其他目录选项