F: Was ist AWS Directory Service?

AWS Directory Service ist ein verwaltetes Serviceangebot, das Verzeichnisse bereitstellt, die Informationen über Ihr Unternehmen enthalten, einschließlich Benutzer, Gruppen, Computer und andere Ressourcen. Als verwaltetes Angebot ist AWS Directory Service darauf ausgelegt, Verwaltungsaufgaben zu verringern, sodass Sie mehr Zeit und Ressourcen für Ihre Geschäftsabläufe einsetzen können. Es ist nicht notwendig, eine eigene komplexe, hochverfügbare Verzeichnistopologie zu entwerfen, da jedes Verzeichnis über mehrere Availability Zones hinweg bereitgestellt wird. Die Überwachung erkennt und ersetzt automatisch ausgefallene Domain-Controller. Außerdem werden die Datenreplikation und die automatisierten, täglichen Snapshots für Ihre Anforderungen konfiguriert. Es muss keine Software installiert werden. AWS sorgt für alle Patches und Software-Aktualisierungen.

F: Wozu kann ich AWS Directory Service verwenden?

AWS Directory Service vereinfacht die Einrichtung und Ausführung von Verzeichnissen in der AWS-Cloud sowie die Verbindung der AWS-Ressourcen mit einem bestehenden, lokalen Microsoft Active Directory. Nachdem das Verzeichnis erstellt wurde, können Sie damit Benutzer und Gruppen verwalten, Single Sign-On für Anwendungen und Services bereitstellen, Gruppenrichtlinien erstellen und anwenden, Amazon EC2 Instances einer Domäne hinzufügen und die Bereitstellung und Verwaltung von Cloud-basierten Linux- und Microsoft Windows-Verarbeitungslasten vereinfachen. Mit AWS Directory Service können Ihre Endbenutzer mit ihren bisherigen Unternehmens-Anmeldeinformationen auf AWS-Anwendungen wie Amazon WorkSpaces, Amazon WorkDocs und Amazon WorkMail zugreifen. Dasselbe gilt auch für verzeichnisgesteuerte Microsoft-Verarbeitungslasten wie benutzerdefinierte .NET- und SQL-Server-basierte Anwendungen. Zudem können Sie auch mit ihren bisherigen Unternehmens-Anmeldeinformationen mittels AWS Identity and Access Management-Rollen (IAM) auf die AWS Management Console zugreifen und AWS-Ressourcen verwalten. Es ist also nicht erforderlich, die Identitätsverbund-Infrastruktur auszubauen.

F: Wie erstelle ich ein Verzeichnis?

Zum Erstellen eines Verzeichnisses können Sie die AWS Management Console oder die API verwenden. Sie müssen lediglich ein paar grundlegende Daten – z. B. einen vollqualifizierten Domain-Namen (FQDN, Fully Qualified Domain Name) für Ihr Verzeichnis, den Namen und das Kennwort des Administratorkontos – sowie die VPC angeben, der das Verzeichnis zugeordnet werden soll.

F: Kann ich eine vorhandene Amazon EC2 Instance in ein AWS Directory Service-Verzeichnis einbinden?

Ja, Sie können vorhandene EC2-Instances, die auf Linux oder Windows ausgeführt werden, mithilfe der AWS-Managementkonsole oder der API einem AWS Microsoft AD hinzufügen.

F: Werden APIs für AWS Directory Service unterstützt?

Öffentliche APIs werden für das Erstellen und Verwalten von Verzeichnissen unterstützt. Sie können Verzeichnisse jetzt programmgesteuert mit öffentlichen APIs verwalten. Die APIs sind über die AWS CLI und das AWS SDK verfügbar. Weitere Informationen über die APIs erhalten Sie in der Dokumentation zu AWS Directory Service.

F: Unterstützt AWS Directory Services die CloudTrail-Protokollierung?

Ja. Aktionen, die Sie über die AWS Directory Service APIs oder die Management Console ausführen, sind in den Auditprotokollen von CloudTrail enthalten.

F: Kann ich benachrichtigt werden, wenn sich der Status meines Verzeichnisses ändert?

Ja. Sie können Amazon Simple Notification Service (SNS) so konfigurieren, dass Sie per E-Mail und SMS benachrichtigt werden, wenn sich der Status Ihres AWS Directory Service ändert. Amazon SNS verwendet Themen, um Nachrichten zu sammeln und an Abonnenten zu verteilen. Wenn AWS Directory Service eine Änderung an Status Ihres Verzeichnisses erkennt, wird eine Nachricht an das damit verbundene Thema veröffentlicht. Diese wird wiederum an die Abonnenten des Themas gesendet. Weitere Informationen finden Sie in der Dokumentation.

F: Wie viel kostet AWS Directory Service?

Auf der Seite mit den Preisen finden Sie weitere Informationen.

F: Kann ich mein Verzeichnis markieren?

Ja. AWS Directory Service unterstützt die Kostenzuordnungsmarkierung. Mit Tags bzw. Markierungen können Sie Kosten einfacher zuordnen und Ausgaben durch Kategorisieren und Gruppieren von AWS-Ressourcen optimieren. Sie können Tags beispielsweise verwenden, um Ressourcen nach Administrator, Anwendungsname, Kostenstelle oder einem speziellen Projekt zu gruppieren.

F: In welchen AWS-Regionen ist AWS Directory Service verfügbar?

Weitere Informationen über die Verfügbarkeit von AWS Directory Services nach Regionen finden Sie unter Regionale Produkte und Services.

F: Wie erstelle ich ein AWS Microsoft AD-Verzeichnis?

Sie können zum Erstellen eines AWS Microsoft AD-Verzeichnisses die AWS Directory Service-Konsole über die AWS-Managementkonsole starten. Alternativ ist dies auch mithilfe des AWS SDK oder der AWS CLI möglich.

F: Wie werden AWS Microsoft AD-Verzeichnisse bereitgestellt?

AWS Microsoft AD-Verzeichnisse werden standardmäßig über zwei Availability Zones in einer Region bereitgestellt und mit Ihrer Amazon Virtual Private Cloud (VPC) verbunden. Einmal täglich wird automatisch eine Sicherungen erstellt. Die Amazon Elastic Block Store (EBS)-Volumes werden zum Schutz Ihrer gespeicherten Daten verschlüsselt. Wenn Domänen-Controller ausfallen, werden sie automatisch in derselben Availability Zone unter Verwendung derselben IP-Adresse ersetzt. Mithilfe der letzten Sicherung kann eine vollständige Notfallwiederherstellung durchgeführt werden.

F: Kann ich Speicher, CPU oder Speicherparameter meines AWS Microsoft AD-Verzeichnisses konfigurieren?

Nein. Diese Funktion wird derzeit nicht unterstützt.

F: Wie verwalte ich Benutzer und Gruppen für AWS Microsoft AD?

Sie können Benutzer und Gruppen in AWS Microsoft AD-Verzeichnissen mit Ihren vorhandenen Active Directory-Tools ausführen. Voraussetzung ist, dass diese auf Windows-Computern ausgeführt werden, die mit der AWS Microsoft AD-Domäne verbunden sind. Es sind keine speziellen Tools, Richtlinien oder Änderungen an Funktionsweisen erforderlich.

F: Inwiefern unterscheiden sich meine Administratorrechte hinsichtlich AWS Microsoft AD und dem Ausführen von Active Directory in meinen eigenen Amazon EC2 Windows-Instances?

Um verwaltete Services anbieten zu können, muss AWS Microsoft AD Prozesse von Kunden unterbinden, die zu einem Konflikt mit der Service-Verwaltung führen könnten. AWS bietet daher keinen Windows PowerShell-Zugriff auf Verzeichnis-Instances und beschränkt den Zugriff auf Verzeichnisobjekte, Rollen und Gruppen, die höhere Berechtigungen erfordern. AWS Microsoft AD lässt keinen direkten Hostzugriff auf Domain-Controller über Telnet, Secure Shell (SSH) oder Windows Remote Desktop Connection zu. Wenn Sie ein AWS Microsoft AD-Verzeichnis erstellen, werden Ihnen eine Organisationseinheit (OU) und ein Verwaltungskonto mit delegierten Administratorrechten für die OU zugewiesen. Sie können Benutzerkonten, Gruppen und Richtlinien innerhalb der Organisationseinheit mithilfe standardmäßiger Remoteserver-Verwaltungstools wie „Active Directory-Benutzer und -Gruppen“ erstellen.

F: Kann ich Microsoft Network Policy Server (NPS) mit AWS Microsoft AD verwenden?

Ja. Das für Sie bei der Einrichtung von AWS Microsoft AD erstellte Administratorkonto verfügt über delegierte Verwaltungsrechte über die Sicherheitsgruppe für den Remotezugriffsdienst (Remote Access Service, RAS) und den Internetauthentifizierungsdienst (Internet Authentication Service, IAS). Auf diese Weise können Sie NPS bei AWS Microsoft AD registrieren und Netzwerkzugriffsrichtlinien für Konten in Ihrer Domain verwalten.

F: Unterstützt AWS Microsoft AD Schemaerweiterungen?

Ja. AWS Microsoft AD unterstützt Schemaerweiterungen, die Sie in Form einer LDAP Data Interchange Format (LDIF)-Datei an den Service übermitteln. Sie können das Active Directory-Hauptschema erweitern aber nicht ändern.

F: Welche Anwendungen sind mit AWS Microsoft AD kompatibel?

Die folgenden Anwendungen sind mit AWS Microsoft AD kompatibel:

  • Amazon Chime
  • Amazon Connect
  • Amazon EC2
  • Amazon RDS für SQL Server
  • Amazon QuickSight
  • Amazon WorkDocs
  • Amazon WorkMail
  • Amazon WorkSpaces
  • AWS-Managementkonsole
  • Active Directory Federation Services (AD FS)
  • Application Server (.NET)
  • Azure Active Directory (AD) Connect
  • Enterprise Certificate Authority
  • Remote Desktop Licensing Manager
  • SharePoint Server
  • SQL Server  

Beachten Sie, dass ggf. nicht alle Konfigurationen dieser Anwendungen unterstützt werden.

F: Kann ich mein vorhandenes, lokales Microsoft Active Directory nach AWS Microsoft AD migrieren?

AWS bietet keine Tools für die Migration von selbstverwalteten Active Directory-Verzeichnissen zu AWS Microsoft AD. Sie müssen in diesem Fall eine Migrationsstrategie (einschließlich Passwortzurücksetzung) entwickeln und die Pläne mithilfe von Remoteserver-Verwaltungstools implementieren.

F: Kann ich bedingte Weiterleitungen und Vertrauensstellungen in der Directory Service-Konsole konfigurieren?

Ja. Sie können bedingte Weiterleitungen und Vertrauensstellungen für AWS Microsoft AD sowohl in der Directory Service-Konsole als auch in der API konfigurieren.

F: Kann ich manuell zusätzliche Domain-Controller zu meiner AWS Microsoft AD hinzufügen?

Ja. Mit der AWS Directory Service-Konsole oder API können Sie zusätzliche Domain-Controller zu Ihrer verwalteten Domain hinzufügen. Beachten Sie, dass die manuelle Weiterleitung von Amazon EC2-Instances an Domain-Controller nicht unterstützt wird.

F: Kann ich Microsoft Office 365 mit Benutzerkonten verwenden, die in AWS Microsoft AD verwaltet werden?

Ja. Sie können Identitäten aus AWS Microsoft AD mithilfe von Azure AD Connect mit Azure AD synchronisieren und Microsoft Active Directory Federation Services (AD FS) für Windows 2016 mit AWS Microsoft AD verwenden, um Office 365-Benutzer zu authentifizieren. Eine Schritt-für-Schritt-Anleitung finden Sie unter So ermöglichen Sie Ihren Anwendern Zugriff auf Office 365 mit AWS Microsoft Active Directory-Anmeldeinformationen.  

F: Kann ich eine auf Security Assertion Markup Language (SAML) 2.0 basierende Authentifizierung bei Cloud-Anwendungen nutzen, die AWS Microsoft AD verwenden?

Ja. Sie können Microsoft Active Directory Federation Services (AD FS) für Windows 2016 mit Ihrer verwalteten AWS Microsoft AD-Domäne nutzen, um Benutzer bei Cloud-Anwendungen zu authentifizieren, die SAML unterstützen.

F: Kann ich die Kommunikation zwischen meinen Anwendungen und AWS Microsoft AD mit LDAPS verschlüsseln?

Ja. AWS Microsoft AD unterstützt Lightweight Directory Access Protocol (LDAP) über Secure Socket Layer (SSL) an Port 636 sowie LDAP über Transport Layer Security (TLS) an Port 389, auch bekannt als LDAPS. Sie aktivieren beide Arten von LDAPS-Kommunikation, indem Sie ein Zertifikat von einer Microsoft Certificate Authority (CA) auf Ihrem AWS Microsoft AD-Domain-Controller installieren. Weitere Informationen finden Sie unter So aktivieren Sie LDAPS für Ihr AWS Microsoft AD-Verzeichnis.

F: Wie viele Benutzer, Gruppen, Computer und welche Gesamtzahl von Objekten unterstützt AWS Microsoft AD?

AWS Microsoft AD (Standard Edition) beinhaltet 1 GB Speicherplatz für Verzeichnisobjekte. Diese Kapazität reicht für bis zu 5 000 Benutzer oder 30 000 Verzeichnisobjekte, darunter Benutzer, Gruppen und Computer. AWS Microsoft AD (Enterprise Edition) beinhaltet 17 GB Speicherplatz für Verzeichnisobjekte. Dadurch werden bis zu 100 000 Benutzer oder 500 000 Objekte unterstützt.

F: Kann ich AWS Microsoft AD als primäres Verzeichnis verwenden?

Ja. Sie können es als primäres Verzeichnis verwenden, um Benutzer, Gruppen, Computer und Group Policy-Objekte (GPOs) in der Cloud zu verwalten. Sie können den Zugriff auf AWS-Anwendungen und -Services sowie auf verzeichnisgesteuerte Anwendungen, die auf Amazon EC2-Instances in der AWS Cloud ausgeführt werden, verwalten und Single Sign-on (SSO, einmaliges Anmelden) ermöglichen. Außerdem können Sie Azure AD Connect und AD FS verwenden, um SSO bei Cloud-Anwendungen, einschließlich Office 365, zu ermöglichen.

F: Kann ich AWS Microsoft AD als Ressourcengesamtstruktur verwenden?

Ja. Sie können AWS Microsoft AD als Ressourcengesamtstruktur verwenden, die hauptsächlich Computer und Gruppen mit Vertrauensbeziehungen zu Ihrem lokalen Verzeichnis enthält. Dadurch können die Benutzer mit den Anmeldeinformationen für ihr lokales AD auf AWS-Anwendungen und -Ressourcen zugreifen.

F: Was bedeutet „nahtlose Integration in Domänen“?

Bei der nahtlosen Integration in Domänen können Sie Ihre Amazon EC2 for Windows-Instances während des Starts und von der AWS Management Console aus nahtlos in eine Domäne integrieren. Sie haben die Möglichkeit, in der AWS Cloud gestartete Instances in AWS Microsoft AD zu integrieren.

F: Wie integriere ich eine Instance nahtlos in eine Domäne?

Wenn Sie eine EC2 for Windows-Instance aus der AWS Management Console erstellen und starten, können Sie auswählen, in welche Domain Ihre Instance eingebunden werden soll. Weitere Informationen finden Sie in der Dokumentation.

F: Kann ich bestehende EC2 for Windows Server-Instances nahtlos mit einer Domain verknüpfen?

Sie können die Funktion zur problemlosen Domainverknüpfung nicht von der AWS Management Console aus für bestehende EC2 for Windows Server-Instances nutzen, aber es ist möglich, durch die Verwendung von PowerShell in der Instance oder mithilfe der EC2 API-Tools bestehende Instances in eine Domain einzubinden. Weitere Informationen finden Sie in der Dokumentation.

F: Wie aktiviert AWS Directory Service Single Sign-On (SSO, einmaliges Anmelden) für die AWS Management Console?

Sie können mit AWS Directory Service Benutzern und Gruppen von AWS Microsoft AD oder Simple AD in der AWS Cloud IAM-Rollen zuweisen sowie mit AD Connector auch Benutzern und Gruppen eines bestehenden lokalen Microsoft Active Directory. Diese Rollen steuern den Benutzerzugriff auf AWS-Services basierend auf IAM-Richtlinien, die den Rollen zugewiesen sind. AWS Directory Service stellt eine kundenspezifische URL für die AWS-Managementkonsole zur Verfügung, über die Benutzer sich mit ihren bisherigen Unternehmens-Anmeldeinformationen anmelden können. In unserer Dokumentation finden Sie weitere Informationen zu dieser Funktion.

F: Kann ich AWS Microsoft AD für AWS Cloud-Arbeitslasten verwenden, die Compliance-Standards unterliegen?

Ja. AWS Microsoft AD hat die Kontrollen implementiert, die Sie benötigen, um die Vorgaben des US-amerikanischen Health Insurance Portability and Accountability Act (HIPAA) zu erfüllen. Außerdem fällt der Service in den Geltungsbereich der Attestation of Compliance und der Responsibility Summary für den Payment Card Industry Data Security Standard (PCI DSS).  

F: Wie kann ich auf Compliance- und Sicherheitsberichte zugreifen?

Informationen zum Zugriff auf eine umfangreiche Liste von Dokumenten im Zusammenhang mit Compliance und Sicherheit in der AWS Cloud finden Sie unter AWS Artifact

F: Was versteht man unter dem AWS Shared Responsibility-Modell?

Sicherheit, einschließlich HIPAA- und PCI DSS-Compliance, liegt in der gemeinsamen Verantwortung (Shared Responsibility) von AWS und Ihnen. So sind Sie beispielsweise dafür verantwortlich, Ihre AWS Microsoft AD-Passwortrichtlinien so zu konfigurieren, dass sie den PCI DSS-Vorgaben entsprechen, wenn Sie AWS Microsoft AD verwenden. Weitere Informationen dazu, was Sie tun müssen, um die HIPAA- und PCI DSS-Compliance-Vorgaben zu erfüllen, finden Sie in der Compliance-Dokumentation für AWS Microsoft AD. Oder lesen Sie das Whitepaper zur Architektur für HIPPA-Sicherheit und -Compliance in den Amazon Web Services sowie AWS Cloud-ComplianceHIPAA-Compliance und PCI-DSS Compliance.


Antworten auf Fragen zu AD Connector oder Simple AD erhalten Sie unter den weiteren Verzeichnisoptionen für AWS Directory Service.