AWS Directory Service 文档

AWS Managed Microsoft AD 是在 AWS 托管式基础设施上运行的实际 Microsoft AD。这让您可以使用熟悉的工具（例如 Active Directory 管理中心和 Active Directory 用户和计算机）来管理 AWS Managed Microsoft AD 中的用户和设备。

AWS Managed Microsoft AD 部署在多个可用区且具有高可用性。您还可以通过部署额外的域控制器来扩展 AWS Managed Microsoft AD 目录，以提高托管式目录的弹性，从而实现更高的可用性。

AWS Managed Microsoft AD 在 AWS 托管式基础设施上运行，并且具有监控功能，可以检测和替换出现故障的域控制器。另外，它还为您配置了数据复制和自动化快照的功能。您无需安装软件，AWS 会处理修补工作和软件更新。

多区域复制可以让您跨多个 AWS 区域部署和使用单一 AWS Managed Microsoft AD 目录。这样，您就可以在全球范围内部署和管理 Microsoft Windows 和 Linux 工作负载。借助自动化多区域复制功能，您的应用程序将使用本地目录来实现最佳性能。

通过使用 AD 信任关系，您可以将 AWS Managed Microsoft AD 与现有 AD 集成。通过使用信任关系，您可以使用现有 Active Directory 来控制哪些 AD 用户可以访问您的 AWS 资源。

AWS Managed Microsoft AD 允许您使用本机 Active Directory 组策略对象 (GPO) 来管理用户和设备。您可以使用组策略管理控制台 (GPMC) 等现有工具来创建 GPO。

AWS Managed Microsoft AD 使用与您的现有本地 AD 相同的基于 Kerberos 的身份验证来提供 SSO。通过将您的 AWS 资源与 AWS Managed Microsoft AD 集成，您的 AD 用户可以使用一组凭证，通过 SSO 登录到 AWS 应用程序和资源。

借助 AWS Managed Microsoft AD，您可以针对新的和现有的适用于 Windows Server 的 Amazon EC2 和适用于 Linux 的 Amazon EC2 实例使用无缝域加入功能。

利用 AWS Managed Microsoft AD，您可以在 AWS 资源（例如 Amazon EC2 实例、Amazon RDS for SQL Server 实例）和 AWS 最终用户计算服务（例如 Amazon WorkSpaces）中针对目录感知型工作负载使用单个目录。通过共享目录，您的目录感知型工作负载能够管理某个区域内多个 AWS 账户和 Amazon VPC 中的 Amazon EC2 实例。

通过选择 AWS Managed Microsoft AD 作为标识源，您可以授权本地 AD 用户使用他们现有的 AD 凭证，通过 AWS IAM Identity Center（AWS Single Sign-On 的后继者）登录到 AWS 管理控制台和 AWS CLI。这使您的用户能够在登录时担任为其分配的某个角色，并根据为该角色定义的权限来访问资源和执行操作。另一种选择是使用 AWS Managed Microsoft AD，让用户能够担任 AWS Identity and Access Management（IAM）角色。

AWS Managed Microsoft AD 提供内置的自动化快照。您还可以在关键应用程序更新之前拍摄其他快照，从而确保拥有最新数据，以防出现需要回滚更改的情况。

有关服务控制、安全特征和功能的更多信息，包括有关存储、检索、修改、限制和删除数据的信息（如适用），请参阅 https://docs.aws.amazon.com/index.html。对于 http://aws.amazon.com/agreement 上的《AWS 客户协议》或者您与 AWS 之间签订的用于管理您使用 AWS 服务的其他协议而言，这些其他信息并不构成此文档的一部分。