AWS Directory Service – Merkmale
Übersicht
AWS Directory Service bietet Unternehmen einen nahtlosen Weg, ihre Active-Directory-abhängigen Workloads in die Cloud zu migrieren. Durch die Bereitstellung eines vollständig verwalteten, nativen Active Directory auf Basis von Windows Server ermöglicht der Service IT-Teams, ihre vorhandenen AD-Kenntnisse und -Anwendungen zu nutzen und gleichzeitig von verbesserter Sicherheit, Zuverlässigkeit und Skalierbarkeit zu profitieren. Unternehmen können ihre AD-Umgebung problemlos in Cloud-gehostete Dienste wie Amazon RDS, FSx und EC2 integrieren und so ein konsistentes AD-Management in allen Umgebungen ermöglichen.
Die robusten Sicherheits-Funktionen des Services, einschließlich umfassender Verschlüsselung und Compliance mit Branchenstandards, schützen vertrauliche Daten. Darüber hinaus stellt AWS Directory Service mit Bereitstellungen in mehreren Regionen und autonomer Verwaltung sicher, dass Ihre kritischen Verzeichnisdienste auch bei Störungen hochverfügbar bleiben. Ganz gleich, ob Sie IT-Entscheidungsträger, Architekt oder CIO sind, AWS Directory Service optimiert Ihre Cloud-Transformation und ermöglicht es Ihnen, Ihre AD-Infrastruktur zu modernisieren und Ihre Mitarbeiter durch sicheres, skalierbares Identitäts-Management zu unterstützen.
Verfügbarkeit, Skalierbarkeit und Ausfallsicherheit
Alles öffnen
Da es sich bei Verzeichnissen um eine unternehmenskritische Infrastruktur handelt, wird AWS Managed Microsoft AD in einer hochverfügbaren AWS-Infrastruktur und über mehrere Availability Zones hinweg bereitgestellt. Domain-Controller werden standardmäßig in zwei Availability Zones in einer Region bereitgestellt und mit Ihrer Amazon Virtual Private Cloud (VPC) verbunden. Backups werden automatisch einmal pro Tag erstellt und die Amazon Elastic Block Store (EBS)-Volumes werden verschlüsselt, sodass die Daten im Ruhezustand gesichert sind. Ausgefallene Domain-Controller werden automatisch in derselben Availability Zone mit derselben IP-Adresse ersetzt, und eine Notfallwiederherstellung kann mithilfe des neuesten Backups durchgeführt werden.
Wenn Sie Ihr Verzeichnis zum ersten Mal erstellen, stellt AWS Managed Microsoft AD zwei Domain-Controller über mehrere Availability Zones bereit. Dies ist aus Gründen der Hochverfügbarkeit erforderlich. Später können Sie zusätzliche Domänencontroller über die AWS Directory Service-Konsole bereitstellen, indem Sie die Gesamtzahl der gewünschten Domänencontroller angeben. AWS Managed Microsoft AD verteilt die zusätzlichen Domain-Controller an die Availability Zones und VPC-Subnetze, in denen Ihr Verzeichnis ausgeführt wird.
AWS Managed Microsoft AD läuft auf einer von AWS verwalteten Infrastruktur, die auf Windows Server 2019 basiert. Wenn Sie diesen Verzeichnistyp auswählen und starten, wird er als hochverfügbares Paar von Domain-Controllern erstellt, das mit Ihrer Virtual Private Cloud (VPC) verbunden ist. Die Domain-Controller werden in verschiedenen Availability Zones in einer Region Ihrer Wahl ausgeführt. Host-Überwachung und -Wiederherstellung, Datenreplikation, Snapshots und Software-Updates werden für Sie gemäß dem Service Level Agreement (SLA) für AWS Directory Service konfiguriert und verwaltet.
AWS Managed Microsoft AD bietet integrierte, tägliche, automatisierte Snapshots. Sie können auch vor wichtigen Anwendungsupdates zusätzliche Snapshots erstellen, um sicherzustellen, dass Sie über die neuesten Daten verfügen, falls Sie eine Änderung rückgängig machen müssen.
Globales Workload-Management
Alles öffnen
Die Replikation in mehreren Regionen ermöglicht es Ihnen, ein einziges von AWS verwaltetes Microsoft AD-Verzeichnis in mehreren AWS-Regionen bereitzustellen und zu verwenden. Dadurch wird die globale Bereitstellung und Verwaltung Ihrer Microsoft-Windows- und Linux-Workloads einfacher und kostengünstiger für Sie. Mit der automatisierten regionsübergreifenden Replikationsfunktion erhalten Sie eine höhere Ausfallsicherheit, während Ihre Anwendungen für eine optimale Leistung ein lokales Verzeichnis verwenden.
AWS Managed Microsoft AD lässt sich eng mit AWS Organizations integrieren, um eine nahtlose gemeinsame Nutzung von Verzeichnissen über mehrere AWS-Konten hinweg zu ermöglichen. Sie können ein einzelnes Verzeichnis für andere vertrauenswürdige AWS-Konten innerhalb derselben Organisation oder das Verzeichnis für andere AWS-Konten außerhalb Ihrer Organisation freigeben. Sie können Ihr Verzeichnis auch freigeben, wenn Ihr AWS-Konto derzeit kein Mitglied einer Organisation ist.
Systemeigene Features für Windows 2019 AD
Alles öffnen
Mit AWS Managed Microsoft AD können Sie den nahtlosen Domänenbeitritt für neue und bestehende Amazon EC2 für Windows Server- und Amazon EC2 für Linux-Instances verwenden. Bei neuen Amazon-EC2-Instances können Sie beim Start der Instance mithilfe der AWS-Managementkonsole die gewünschte Domain festlegen. Vorhandene EC2-Instances lassen sich mit dem EC2Config-Service nahtlos in Domains integrieren. Amazon-EC2-Instances können auch von jedem AWS-Konto und jeder Amazon VPC innerhalb einer Region aus mit einem einzelnen freigegebenen Verzeichnis verknüpft werden.
Mit AWS Managed Microsoft AD können Sie Benutzer und Geräte mithilfe systemeigener Microsoft Active Directory-Gruppenrichtlinienobjekte (GPOs) verwalten. Verwenden Sie zum Erstellen der Gruppenrichtlinienobjekte vorhandene Tools wie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC).
Sie können Ihr Schema für AWS Managed Microsoft AD erweitern, indem Sie neue Objektklassen und Attribute hinzufügen. Sie können Schemaerweiterungen auch verwenden, um die Unterstützung für Anwendungen zu aktivieren, die auf bestimmten Active Directory-Objektklassen und -Attributen basieren. Dies kann besonders nützlich sein, wenn Sie Unternehmensanwendungen, die von AWS Managed Microsoft AD abhängig sind, in die AWS Cloud migrieren müssen. (Quelle)
Administratoren können Dienstkonten mithilfe einer Methode namens Group Managed Service Accounts (GMSAs) verwalten. Mithilfe von gMSAs müssen Service-Administratoren die Kennwortsynchronisierung zwischen Service-Instances nicht mehr manuell verwalten. Stattdessen könnte ein Administrator einfach ein gMSA in Active Directory erstellen und dann mehrere Service-Instances für die Verwendung dieses einzelnen gMSA konfigurieren. Um Benutzern in AWS Managed Microsoft AD Berechtigungen zum Erstellen eines gMSA zu gewähren, müssen Sie deren Konten als Mitglied der Sicherheitsgruppe AWS Delegated Managed Service Account Administrators hinzufügen. Standardmäßig ist das Admin-Konto Mitglied dieser Gruppe.
Sie können AWS Managed Microsoft AD mithilfe von AD-Vertrauensbeziehungen in Ihr vorhandenes AD integrieren. Mithilfe von Trusts können Sie Ihr vorhandenes Active Directory verwenden, um zu kontrollieren, welche AD-Benutzer auf Ihre AWS-Ressourcen zugreifen können.
AWS Managed Microsoft AD verwendet die gleiche Kerberos-basierte Authentifizierung wie Ihr vorhandenes On-Premises-AD. Durch die Integration Ihrer AWS-Ressourcen in AWS Managed Microsoft AD können sich Ihre AD-Benutzer mit SSO mit einem einzigen Satz von Anmeldeinformationen bei AWS-Anwendungen und -Ressourcen anmelden.
Sicherheit und Compliance
Alles öffnen
Sie können fein abgestufte Verzeichniseinstellungen für Ihr AWS Managed Microsoft AD festlegen, um Ihre Compliance- und Sicherheitsanforderungen zu erfüllen, ohne Ihren betrieblichen Workload zu erhöhen. In den Verzeichniseinstellungen können Sie die Konfiguration des sicheren Kanals für die in Ihrem Verzeichnis verwendeten Protokolle und Verschlüsselungen aktualisieren. Sie haben beispielsweise die Flexibilität, einzelne Legacy-Verschlüsselungen wie RC4 oder DES und Protokolle wie SSL 2.0/3.0 und TLS 1.0/1.1 zu deaktivieren. AWS Managed Microsoft AD stellt anschließend die Konfiguration auf allen Domain-Controllern in Ihrem Verzeichnis bereit, verwaltet Neustarts von Domain-Controllern und behält diese Konfiguration bei, während Sie skalieren oder zusätzliche AWS-Regionen bereitstellen. Alle verfügbaren Einstellungen finden Sie in der Liste der Verzeichnissicherheitseinstellungen.
Serverseitiges LDAPS verschlüsselt die LDAP-Kommunikation zwischen Ihren kommerziellen oder selbst entwickelten LDAP-fähigen Anwendungen (die als LDAP-Clients fungieren) und AWS Managed Microsoft AD (die als LDAP-Server fungieren). Weitere Informationen finden Sie unter Serverseitiges LDAPS mithilfe von AWS Managed Microsoft AD aktivieren.
Clientseitiges LDAPS verschlüsselt die LDAP-Kommunikation zwischen AWS-Anwendungen wie WorkSpaces (die als LDAP-Clients fungieren) und Ihrem selbstverwalteten Active Directory (das als LDAP-Server fungiert). Weitere Informationen finden Sie unter Aktivieren von clientseitigem LDAPS mithilfe von AWS Managed Microsoft AD.
Die Integration von AWS Managed Microsoft AD und AD Connector mit dem AWS Private Certificate Authority (AWS Private CA) Connector for AD ermöglicht es Ihnen, mit einer AD-Domäne verbundene Objekte, einschließlich Benutzer, Gruppen und Maschinen, mit Zertifikaten zu registrieren, die von AWS Private CA ausgestellt wurden. Sie können AWS Private CA als Ersatz für Ihre selbstverwalteten Unternehmens-CAs verwenden, ohne dass Sie lokale Agenten oder Proxy-Server bereitstellen, patchen oder aktualisieren müssen. Sie können die AWS-Private CA-Integration in Ihr Verzeichnis mit nur wenigen Klicks oder programmgesteuert über die API einrichten.
Sie können AWS Managed Microsoft AD verwenden, um AD-fähige Cloud-Anwendungen zu erstellen und auszuführen, die dem Federal Risk and Authorization Management Program (FedRAMP) in den USA unterliegen. Compliance-Programme zum Health Insurance Portability and Accountability Act (HIPAA) und zum Payment Card Industry Data Security Standard (PCI DSS). AWS Managed Microsoft AD reduziert den Aufwand für die Bereitstellung einer konformen AD-Infrastruktur für Ihre Cloud-Anwendungen, da Sie Ihre eigenen HIPAA-Risikomanagementprogramme, PCI DSS oder FedRAMP-Compliance-Zertifizierung verwalten. Sehen Sie sich die vollständige Liste der Compliance-Programme an, für die AWS Managed AD in Frage kommt.
Überwachung, Protokollierung und Beobachtbarkeit
Alles öffnen
Mit Amazon Simple Notification Service (Amazon SNS) können Sie E-Mail- oder Textnachrichten (SMS) erhalten, wenn sich der Status Ihres Verzeichnisses ändert. Sie werden benachrichtigt, wenn Ihr Verzeichnis vom Status Aktiv in den Status Beeinträchtigt oder Inoperabel wechselt. Sie erhalten außerdem eine Benachrichtigung, wenn das Verzeichnis wieder in den aktiven Status wechselt.
AWS Directory Service ist in Amazon CloudWatch integriert, um Ihnen wichtige Leistungskennzahlen für jeden Domain-Controller in Ihrem Verzeichnis zur Verfügung zu stellen. Dies bedeutet, dass Sie Leistungsindikatoren für Domain-Controller wie z. B. die CPU- und Arbeitsspeicherauslastung überwachen können. Sie können auch Alarme konfigurieren und automatische Aktionen initiieren, um auf Zeiten mit hoher Auslastung zu reagieren.
Verwenden Sie entweder die AWS Directory Service-Konsole oder APIs, um Domänencontroller-Sicherheitsereignisprotokolle an Amazon CloudWatch Logs weiterzuleiten. Dadurch können Sie Ihre Richtlinien zur Sicherheitsüberwachung, Überprüfung und Aufbewahrung von Protokollen einhalten, indem Transparenz über die Sicherheitsereignisse in Ihrem Verzeichnis geschaffen wird. Sie können auch Sicherheitsereignisprotokolle aus Ihrem Verzeichnis an Amazon CloudWatch Logs im Amazon Web Services (AWS) -Konto Ihrer Wahl weiterleiten und Ereignisse mithilfe von AWS-Services oder Drittanbieteranwendungen wie Splunk, einem Advanced Technology Partner Partner des AWS Partner Network (APN) mit der AWS-Sicherheitskompetenz, zentral überwachen.
Migration von AD-abhängigen Workloads und AWS-Anwendungsintegration
Alles öffnenMit AWS Managed Microsoft AD (Hybrid Edition) können Sie Ihre bestehende AD-Domain auf AWS erweitern und so ein einheitliches Verzeichniserlebnis in Ihren AD-Umgebungen schaffen. Diese Lösung ermöglicht eine reibungslose Integration zwischen Ihren lokalen und Cloud-Ressourcen und gewährleistet so ein konsistentes Identitätsmanagement in Ihrer gesamten Infrastruktur.
Für Unternehmen, die einen dedizierten Cloud-Verzeichnisdienst suchen, erstellen unsere Standard- und Enterprise-Editionen eine neue AD-Domain in AWS mit der Möglichkeit, sichere Vertrauensbeziehungen zu Ihrer bestehenden AD-Infrastruktur aufzubauen. Dies bietet Ihnen die Flexibilität, separate Verzeichnisdienste zu verwalten und gleichzeitig eine nahtlose Interaktion zwischen Umgebungen sicherzustellen. AD Connector bietet zwar einen Proxy-Service, der AWS-Services mit Ihrem vorhandenen AD verbindet, ohne Verzeichnisdaten in der Cloud zu speichern. Dies ist eine einfache, kostengünstige Lösung, mit der Sie Ihre vorhandenen AD-Investitionen optimal nutzen und gleichzeitig die Vorteile der AWS-Services nutzen können.
Sie können Ihren On-Premises-AD-Benutzern Zugang zur Anmeldung bei der AWS-Managementkonsole und AWS CLI mit ihren vorhandenen AD-Anmeldeinformationen mit AWS Identity Center (Nachfolger von AWS SSO) gewähren, indem Sie AWS Managed Microsoft AD als Identitätsquelle auswählen. Dies ermöglicht es Ihren Benutzern, bei der Anmeldung eine der ihnen zugewiesenen Rollen zu übernehmen und entsprechend den für die Rolle definierten Berechtigungen auf die Ressourcen zuzugreifen und entsprechende Maßnahmen zu ergreifen. Eine alternative Option ist die Verwendung von AWS Managed Microsoft AD, um Ihren Benutzern die Übernahme einer AWS Identity and Access Management (IAM) -Rolle zu ermöglichen.
Mit AWS Managed Microsoft AD können Sie ein einziges Verzeichnis für Ihre verzeichnisorientierten Workloads in AWS-Ressourcen wie Amazon EC2-Instances, Amazon RDS für SQL Server-Instances und AWS-Endbenutzer-Computing-Services wie Amazon WorkSpaces verwenden. Durch die Freigabe eines Verzeichnisses können Ihre Workloads mit Verzeichnisfunktion Amazon-EC2-Instances über mehrere AWS-Konten und Amazon VPCs innerhalb einer Region verwalten. Sie können dadurch auch die Komplexität der Replikation und Synchronisierung von Daten in mehreren Verzeichnissen vermeiden.