参考部署

AWS 上的 CMMC 就绪型 Microsoft Active Directory

针对 CMMC 合规性准备 Active Directory 环境

查看部署指南

此 Quick Start 适用于需要部署符合网络安全成熟度模型认证 (CMMC) 的 Microsoft Active Directory 环境的用户。通常,美国国防部要求承包商通过 CMMC 认证。

Quick Start 架构专为运行需要以更安全、低延迟的方式连接到 Active Directory 域服务、域名系统和证书颁发机构服务的工作负载,同时保持 CMMC 合规性的组织设计。 

Quick Start 模板使用多种服务和资源,包括 AWS Key Management Service (AWS KMS)、Amazon API Gateway、客户控制的文件下载源,以及实施国防信息系统局安全技术实施指南。

部署此 Quick Start 并不能保证组织符合任何法律、认证、政策或其他法规的要求。

AWS 徽标

此 Quick Start 由 AWS 开发。

  •  构建内容

  • 本 Quick Start 可设置以下内容:

    • 横跨两个可用区的高度可用架构。*
    • 根据 AWS 最佳做法配置有公共子网和专用子网的 VPC,可在 AWS 上为您提供您自己的虚拟网络。*
    • 在公共子网中:
      • 托管网络地址转换 (NAT) 网关,允许对私有子网中的资源进行出站互联网访问。*
      • Auto Scaling 组中的远程桌面网关 (RD Gateway),用以允许对公有子网和私有子网中的 Amazon Elastic Compute Cloud (Amazon EC2) 实例进行入站远程桌面协议 (RDP) 访问。只有当可用区 1 不可用时,才会在可用区 2 中部署 RD 网关。
    • 在私有子网中:
      • 离线根证书颁发机构。
      • 两个 Active Directory 域控制器。
      • 线上从属证书颁发机构。
    • 用于访问组策略对象 (GPO)、日志、证书撤销列表和设置文件的 Amazon Simple Storage Service (Amazon S3) 联邦信息处理标准 (FIPS) 端点。
    • 检查及导入新 GPO 的 Lamba 函数。
    • 导入 GPO 并设置 Active Directory 域控制器和证书颁发机构的 AWS Systems Manager Automation。
    • AWS Secrets Manager,用于存储凭证。
    • AWS KMS 客户主密钥,用于 Amazon Elastic Block Store (Amazon EBS) 和 AWS Secrets Manager 加密。
    • 用于 Amazon EC2 实例的加密 Amazon EBS 卷。

    * 用于将此 Quick Start 部署到现有 VPC 中的模板会跳过标有星号的组件,并提示您使用现有 VPC 配置。 

  •  如何部署

  • 要部署 CMMC 就绪型 Microsoft Active Directory,请遵循部署指南中的说明操作。标准部署过程大约需要 1 小时,包括以下步骤:

    1. 如果您还没有 AWS 账户,请在 https://aws.amazon.com 上注册,并登录您的账户。
    2. Quick Start 部署到新的或现有 VPC 中。在创建堆栈之前,从顶部工具栏中选择区域。 
    3. 执行部署后任务。 

    Amazon 可能会跟与 AWS 合作打造此解决方案的 AWS 合作伙伴共享用户部署信息。  

    查看部署指南,了解详细信息
  •  费用和许可证

  • 本 Quick Start 可启动适用于 Microsoft Windows Server 2019 的 Amazon Machine Image (AMI),并包括适用于 Windows Server 操作系统的许可证。该 AMI 通过适用于操作系统的最新 Service Pack 进行定期更新,因此您无需安装任何更新。Windows Server AMI 包括两个 Microsoft Remote Desktop Services 许可证。Windows Server AMI 不需要客户端访问许可证。有关详细信息,请参阅 AWS 上的 Microsoft 许可

    您需要支付在运行此 Quick Start 参考部署期间使用的 AWS 服务和任何第三方许可证所产生的费用。使用此 Quick Start 无需额外付费。

    本 Quick Start 的 AWS CloudFormation 模板包含您可以自定义的配置参数。其中一些设置(如实例类型)会影响部署成本。有关成本估算信息,请参阅您使用的每种 AWS 服务的定价页面。价格可能随时变动。

    提示:部署 Quick Start 后,请创建  AWS 成本和使用情况报告,以跟踪与此 Quick Start 相关的费用。这些报告会将账单指标发送至您账户中的 Amazon Simple Storage Service (Amazon S3) 存储桶。它们根据每个月的使用情况提供成本估算,并在月末汇总数据。有关更多信息,请参阅 什么是 AWS 成本和使用情况报告?