- 产品›
- 安全性、身份与合规性›
- AWS Directory Service
AWS Directory Service 的功能
AWS Directory Service for Microsoft Active Directory 又称为 AWS Managed Microsoft Active Directory(AD),可以支持目录感知型工作负载和各种 AWS 资源,以在 AWS 中使用托管的 Active Directory(AD)。AWS Managed Microsoft AD 基于实际的 Microsoft AD 构建,不需要您将数据从现有 Active Directory 同步或复制到云中。您可以使用标准的 AD 管理工具,还可利用各种内置的 AD 功能,例如组策略和单点登录。借助 AWS Managed Microsoft AD,您可以将 Amazon EC2 和 Amazon RDS for SQL Server 实例轻松加入到域中,并使用 Amazon WorkSpaces 等 AWS End User Computing 服务以及 AD 用户和组。
可用性、可扩展性和弹性
多个可用区
由于目录属于关键任务型基础设施,因此 AWS Managed Microsoft AD 跨多个可用区部署在高度可用的 AWS 基础设施中。默认情况下,域控制器在一个区域内的两个可用区部署,并连接至您的 Amazon Virtual Private Cloud(VPC)。它每天会自动备份一次,并会对 Amazon Elastic Block Store(EBS)卷进行加密,这就可以保证数据在静态状态下的安全。它会在同一可用区内使用同一 IP 地址自动更换出现故障的域控制器,并且可使用最新备份执行灾难恢复。
使用其他域控制器进行横向扩展
当您首次创建目录时,AWS Managed Microsoft AD 会跨多个可用区部署两个域控制器,这是实现高可用性的必要条件。稍后,您可以通过指定所需的域控制器总数,通过 AWS Directory Service 控制台部署其他域控制器。AWS Managed Microsoft AD 会将额外的域控制器分发到运行您的目录的可用区和 VPC 子网。
托管的 AD 基础设施
AWS Managed Microsoft AD 在由 Windows Server 2019 提供支持的 AWS 托管基础设施上运行。当您选择并启动此目录类型时,它会被创建为一对连接到您的虚拟私有云(VPC)的高可用性域控制器。域控制器在所选区域的不同可用区中运行。根据 AWS Directory Service 的服务水平协议(SLA)为您配置和管理主机监控和恢复、数据复制、快照和软件更新。
每日快照
AWS Managed Microsoft AD 提供内置的自动化每日快照。您还可以在关键应用程序更新之前拍摄其他快照,从而确保拥有最新数据,以防出现需要回滚更改的情况。
全球工作负载管理
多区域复制
多区域复制可以让您跨多个 AWS 区域部署和使用单一 AWS Managed Microsoft AD 目录。这使您能够更简单、更经济高效地在全球范围内部署和管理 Microsoft Windows 和 Linux 工作负载。借助自动化多区域复制功能,您可以获得更高的弹性,而应用程序则使用本地目录来获得更好的性能。
与多个 AWS 账户共享目录
AWS Managed Microsoft AD 与 AWS Organizations 紧密集成,允许在多个 AWS 账户之间无缝共享目录。您可以与同一组织内其他受信任的 AWS 账户共享单个目录,也可以与组织外部的其他 AWS 账户共享该目录。如果您的 AWS 账户目前不是组织的成员,您也可以共享您的目录。
Windows 2019 原生 AD 功能
无缝域加入
借助 AWS Managed Microsoft AD,您可以针对新的和现有的适用于 Windows Server 的 Amazon EC2 和适用于 Linux 的 Amazon EC2 实例使用无缝域加入功能。对于新的 EC2 实例,您可以在启动时使用 AWS 管理控制台选择要加入哪个域。对于现有的 EC2 实例,您可以通过 EC2Config 服务使用无缝域加入功能。Amazon EC2 实例还可以从某个区域内的任何 AWS 账户和任何 Amazon VPC 加入单个共享目录。
基于组的策略
AWS Managed Microsoft AD 允许您使用原生 Microsoft Active Directory 组策略对象(GPO)来管理用户和设备。您可以使用组策略管理控制台 (GPMC) 等现有工具来创建 GPO。
架构扩展
您可以通过添加新的对象类和属性来扩展 AWS Managed Microsoft AD 架构。您还可以使用架构扩展来支持依赖特定 Active Directory 对象类和属性的应用程序。当您需要将依赖于 AWS Managed Microsoft AD 的企业应用程序迁移到 AWS Cloud 时,这种方法可能特别有用。(源)
群组托管服务账户
支持信任关系
通过使用 AD 信任关系,您可以将 AWS Managed Microsoft AD 与现有 AD 集成。通过使用信任关系,您可以使用现有 Active Directory 来控制哪些 AD 用户可以访问您的 AWS 资源。
单点登录
AWS Managed Microsoft AD 使用与您的现有本地 AD 相同的基于 Kerberos 的身份验证来提供 SSO。通过将您的 AWS 资源与 AWS Managed Microsoft AD 集成,您的 AD 用户可以使用一组凭证通过 SSO 登录 AWS 应用程序和资源。
安全性与合规性
目录安全设置
您可以为 AWS Managed Microsoft AD 配置精细的目录设置,在不增加运营工作负载的情况下满足您的合规性和安全性要求。在目录设置中,您可以更新目录中使用的协议和密码的安全通道配置。例如,您可以灵活地禁用单个旧密码(例如 RC4 或 DES)和协议(例如 SSL 2.0/3.0 和 TLS 1.0/1.1)。然后,AWS Managed Microsoft AD 会将配置部署到您目录中的所有域控制器,管理域控制器的重启,并在您横向扩展或部署其他 AWS 区域时保持此配置。有关所有可用设置,请参阅目录安全设置列表。
服务器端 LDAPS
服务器端 LDAPS 会对您的商业或自行开发的 LDAP 感知应用程序(充当 LDAP 客户端)与 AWS Managed Microsoft AD(充当 LDAP 服务器)之间的 LDAP 通信进行加密。有关更多信息,请参阅使用 AWS Managed Microsoft AD 启用服务器端 LDAPS。
客户端 LDAPS
客户端 LDAPS 会对 WorkSpaces(充当 LDAP 客户端)等 AWS 应用程序与您自行管理的 Active Directory(充当 LDAP 服务器)之间的 LDAP 通信进行加密。有关更多信息,请参阅使用 AWS Managed Microsoft AD 启用客户端 LDAPS 。
AWS Private CA Connector for Active Directory(AD)
AWS Managed Microsoft AD 和 AD Connector 与 AWS Private Certificate Authority(AWS Private CA)Connector for AD 的集成允许您使用 AWS Private CA 颁发的证书注册加入 AD 域的对象,包括用户、组和计算机。 您可以使用 AWS Private CA 作为自行管理的企业 CA 的直接替代品,而无需部署、修补或更新本地代理或代理服务器。只需点击几下鼠标即可将 AWS Private CA 与您的目录集成,也可以通过 API 以编程方式进行集成。
监控、记录和可观测性
目录状态监控
使用 Amazon Simple Notification Service(Amazon SNS),您可以在目录状态发生变化时收到电子邮件或短信(SMS)。您的目录从“活动”状态变为“受损”或“无法操作”状态时,您会收到通知。当目录恢复为“活动”状态时,您也会收到通知。
域控制器指标
AWS Directory Service 与 Amazon CloudWatch 集成,可帮助您为目录中的每个域控制器提供重要的性能指标。这意味着您可以监控域控制器性能计数器,例如 CPU 和内存利用率。您还可以配置警报并启动自动操作,以应对高利用率时段。
监控 Amazon CloudWatch 等中的日志
使用 AWS Directory Service 控制台或 API 将域控制器安全事件日志转发到 Amazon CloudWatch Logs。这可以提供目录中安全事件的透明度,帮助您满足安全监控、审计和日志保留政策要求。您还可以将安全事件日志从目录转发到您选择的 Amazon Web Services(AWS)账户中的 Amazon CloudWatch Logs,并使用 AWS 服务或第三方应用程序(例如具有 AWS 安全能力的 AWS 合作伙伴网络 [APN] 高级技术合作伙伴 Splunk)集中监控事件。
AWS 应用程序集成
对 AWS 账户和应用程序的联合访问权限
通过选择 AWS Managed Microsoft AD 作为标识源,您可以授予本地 AD 用户使用其现有 AD 凭证,通过 AWS IAM Identity Center(AWS SSO 的后继者)登录 AWS 管理控制台和 AWS CLI 的权限。这使您的用户能够在登录时担任为其分配的某个角色,并根据为该角色定义的权限来访问资源和执行操作。另一种选择是使用 AWS Managed Microsoft AD,让用户能够担任 AWS Identity and Access Management(IAM)角色。
目录与 AWS 应用程序无缝集成
利用 AWS Managed Microsoft AD,您可以在 AWS 资源(如 Amazon EC2 实例、Amazon RDS for SQL Server 实例)和 AWS 最终用户计算服务(如 Amazon WorkSpaces)中针对目录感知工作负载使用单个目录。通过共享目录,您的目录感知工作负载能够管理某个区域内多个 AWS 账户和 Amazon VPC 中的 Amazon EC2 实例。它还有助于避免在多个目录之间复制和同步数据的复杂性。