- Produkte›
- Sicherheit, Identität und Compliance›
- AWS Directory Service
AWS Directory Service – Merkmale
AWS Directory Service für Microsoft Active Directory, auch bekannt als AWS Managed Microsoft Active Directory (AD), ermöglicht es Ihren verzeichnisorientierten Workloads und AWS-Ressourcen, das verwaltete Active Directory (AD) in AWS zu nutzen. AWS Managed Microsoft AD basiert auf aktuellem Microsoft AD und erfordert keine Synchronisierung oder Replikation von Daten aus Ihrem vorhandenen Active Directory in die Cloud. Sie können die standardmäßigen AD-Verwaltungstools verwenden und die Vorteile der integrierten AD-Features wie Gruppenrichtlinien und Single-Sign-On nutzen. Mit AWS Managed Microsoft AD können Sie ganz einfach Instances von Amazon EC2 und Amazon RDS für SQL Server zu Ihrer Domain hinzufügen und AWS-Endbenutzer-Computing-Services, wie Amazon WorkSpaces, mit AD-Benutzern und Gruppen nutzen.
Verfügbarkeit, Skalierbarkeit und Ausfallsicherheit
Mehrere Availability Zones
Da es sich bei Verzeichnissen um eine unternehmenskritische Infrastruktur handelt, wird AWS Managed Microsoft AD in einer hochverfügbaren AWS-Infrastruktur und über mehrere Availability Zones hinweg bereitgestellt. Domain-Controller werden standardmäßig über zwei Availability Zones in einer Region bereitgestellt und mit Ihrer Amazon Virtual Private Cloud (VPC) verbunden. Backups werden automatisch einmal pro Tag erstellt und die Amazon Elastic Block Store (EBS)-Volumes werden verschlüsselt, sodass die Daten im Ruhezustand gesichert sind. Ausgefallene Domain-Controller werden automatisch in derselben Availability Zone mit derselben IP-Adresse ersetzt, und eine Notfallwiederherstellung kann mithilfe des neuesten Backups durchgeführt werden.
Skalierung mit zusätzlichen Domain-Controllern
Wenn Sie Ihr Verzeichnis zum ersten Mal erstellen, stellt AWS Managed Microsoft AD zwei Domain-Controller über mehrere Availability Zones bereit. Dies ist aus Gründen der Hochverfügbarkeit erforderlich. Später können Sie über die AWS-Directory-Service-Konsole zusätzliche Domain-Controller bereitstellen, indem Sie die Gesamtzahl der gewünschten Domain-Controller angeben. AWS Managed Microsoft AD verteilt die zusätzlichen Domain-Controller an die Availability Zones und VPC-Subnetze, in denen Ihr Verzeichnis ausgeführt wird.
Verwaltete AD-Infrastruktur
AWS Managed Microsoft AD wird in einer von AWS verwalteten Infrastruktur ausgeführt, die von Windows Server 2019 unterstützt wird. Wenn Sie diesen Verzeichnistyp auswählen und starten, wird er als hochverfügbares Paar von Domain-Controllern erstellt, das mit Ihrer Virtual Private Cloud (VPC) verbunden ist. Die Domain-Controller werden in verschiedenen Availability Zones in einer Region Ihrer Wahl ausgeführt. Host-Überwachung und -Wiederherstellung, Datenreplikation, Snapshots und Software-Updates werden für Sie gemäß dem Service Level Agreement (SLA) für AWS Directory Service konfiguriert und verwaltet.
Tägliche Snapshots
AWS Managed Microsoft AD bietet integrierte, tägliche, automatisierte Snapshots. Sie können vor wichtigen Anwendungsaktualisierungen auch zusätzliche Snapshots erstellen, um sicherzustellen, dass Sie über die aktuellsten Daten verfügen, falls Sie eine Änderung rückgängig machen müssen.
Globales Workload-Management
Regionsübergreifende Replikation
Mit der regionsübergreifenden Replikation können Sie ein einzelnes Verzeichnis für AWS Managed Microsoft AD in mehreren AWS-Regionen bereitstellen und verwenden. Dadurch wird die globale Bereitstellung und Verwaltung Ihrer Microsoft-Windows- und Linux-Workloads einfacher und kostengünstiger für Sie. Mit der automatisierten regionsübergreifenden Replikationsfunktion erhalten Sie eine höhere Ausfallsicherheit, während Ihre Anwendungen für eine optimale Leistung ein lokales Verzeichnis verwenden.
Verzeichnis für mehreren AWS-Konten freigeben
AWS Managed Microsoft AD lässt sich gut in AWS Organizations integrieren, um eine nahtlose Verzeichnisfreigabe über mehrere AWS-Konten hinweg zu ermöglichen. Sie können ein einzelnes Verzeichnis für andere vertrauenswürdige AWS-Konten innerhalb derselben Organisation oder das Verzeichnis für andere AWS-Konten außerhalb Ihrer Organisation freigeben. Sie können Ihr Verzeichnis auch freigeben, wenn Ihr AWS-Konto derzeit kein Mitglied einer Organisation ist.
Systemeigene Features für Windows 2019 AD
Nahtlose Domain-Integration
AWS Managed Microsoft AD ermöglicht es Ihnen, nahtlose Domain-Verknüpfungen für neue und bestehende Instances von Amazon EC2 für Windows Server und Amazon EC2 für Linux zu verwenden. Bei neuen Amazon-EC2-Instances können Sie beim Start der Instance mithilfe der AWS-Managementkonsole die gewünschte Domain festlegen. Vorhandene EC2-Instances lassen sich mit dem EC2Config-Service nahtlos in Domains integrieren. Amazon-EC2-Instances können auch von jedem AWS-Konto und jeder Amazon VPC innerhalb einer Region aus mit einem einzelnen freigegebenen Verzeichnis verknüpft werden.
Gruppenbasierte Richtlinien
Mit AWS Managed Microsoft AD können Sie Benutzer und Geräte mithilfe nativer Gruppenrichtlinienobjekte (GPOs) von Microsoft Active Directory verwalten. Verwenden Sie zum Erstellen der Gruppenrichtlinienobjekte vorhandene Tools wie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC).
Schemaerweiterung
Sie können Ihr Schema für AWS Managed Microsoft AD erweitern, indem Sie neue Objektklassen und Attribute hinzufügen. Sie können Schemaerweiterungen auch verwenden, um die Unterstützung für Anwendungen zu aktivieren, die auf bestimmten Active-Directory-Objektklassen und -Attributen basieren. Dies kann besonders nützlich sein, wenn Sie Unternehmensanwendungen, die von AWS Managed Microsoft AD abhängig sind, in die AWS Cloud migrieren müssen. (Quelle)
Gruppenverwaltete Service-Konten
Administratoren können Service-Konten mithilfe einer Methode verwalten, die als Group Managed Service Accounts (gMSAs) bezeichnet wird. Mithilfe von gMSAs müssen Service-Administratoren die Kennwortsynchronisierung zwischen Service-Instances nicht mehr manuell verwalten. Stattdessen könnte ein Administrator einfach ein gMSA in Active Directory erstellen und dann mehrere Service-Instances für die Verwendung dieses einzelnen gMSA konfigurieren. Um Benutzern in AWS Managed Microsoft AD Berechtigungen zum Erstellen eines gMSA zu gewähren, müssen Sie deren Konten als Mitglied der Sicherheitsgruppe AWS Delegated Managed Service Account Administrators hinzufügen. Standardmäßig ist das Admin-Konto Mitglied dieser Gruppe.
Unterstützung von Vertrauensstellungen
Sie können AWS Managed Microsoft AD mithilfe von AD-Vertrauensbeziehungen in Ihr vorhandenes AD integrieren. Durch die Verwendung von Vertrauensstellungen können Sie Ihr vorhandenes Active Directory verwenden, um zu steuern, welche AD-Benutzer auf Ihre AWS-Ressourcen zugreifen können.
Single Sign-On
AWS Managed Microsoft AD verwendet die gleiche Kerberos-basierte Authentifizierung wie Ihr vorhandenes On-Premises-AD. Durch die Integration Ihrer AWS-Ressourcen mit AWS Managed Microsoft AD können sich Ihre AD-Benutzer mit einem einzigen Satz von Anmeldeinformationen durch SSO bei AWS-Anwendungen und -Ressourcen anmelden.
Sicherheit und Compliance
Sicherheitseinstellungen für Verzeichnisse
Sie können fein abgestufte Verzeichniseinstellungen für Ihr AWS Managed Microsoft AD festlegen, um Ihre Compliance- und Sicherheitsanforderungen zu erfüllen, ohne Ihren betrieblichen Workload zu erhöhen. In den Verzeichniseinstellungen können Sie die Konfiguration des sicheren Kanals für die in Ihrem Verzeichnis verwendeten Protokolle und Verschlüsselungen aktualisieren. Sie haben beispielsweise die Flexibilität, einzelne Legacy-Verschlüsselungen wie RC4 oder DES und Protokolle wie SSL 2.0/3.0 und TLS 1.0/1.1 zu deaktivieren. AWS Managed Microsoft AD stellt anschließend die Konfiguration auf allen Domain-Controllern in Ihrem Verzeichnis bereit, verwaltet Neustarts von Domain-Controllern und behält diese Konfiguration bei, während Sie skalieren oder zusätzliche AWS-Regionen bereitstellen. Alle verfügbaren Einstellungen finden Sie in der Liste der Sicherheitseinstellungen für Verzeichnisse.
Serverseitiges LDAPS
Serverseitiges LDAPS verschlüsselt die LDAP-Kommunikation zwischen Ihren kommerziellen oder selbst entwickelten LDAP-fähigen Anwendungen (die als LDAP-Clients fungieren) und AWS Managed Microsoft AD (die als LDAP-Server fungieren). Weitere Informationen finden Sie unter Serverseitiges LDAPS mit AWS Managed Microsoft AD aktivieren.
Clientseitiges LDAPS
Clientseitiges LDAPS verschlüsselt die LDAP-Kommunikation zwischen AWS-Anwendungen wie WorkSpaces (die als LDAP-Clients fungieren) und Ihrem selbstverwalteten Active Directory (das als LDAP-Server fungiert). Weitere Informationen finden Sie unter Clientseitiges LDAPS mit AWS Managed Microsoft AD aktivieren.
AWS-Konnektor für Private CA für Active Directory (AD)
Die Integration von AWS Managed Microsoft AD und AD Connector mit der AWS Private Certificate Authority (AWS Private CA)-Connector für AD ermöglicht die Registrierung von Objekten, die in die AD-Domain eingebunden sind, einschließlich Benutzern, Gruppen und Rechner, mit Zertifikaten, die von AWS Private CA ausgestellt wurden. Sie können AWS Private CA als Ersatz für Ihre selbstverwalteten Unternehmens-CAs verwenden, ohne dass Sie lokale Agenten oder Proxy-Server bereitstellen, patchen oder aktualisieren müssen. Sie können die AWS-Private CA-Integration in Ihr Verzeichnis mit nur wenigen Klicks oder programmgesteuert über die API einrichten.
FedRAMP, HIPAA, PCI-berechtigt und mehr
Sie können AWS Managed Microsoft AD verwenden, um AD-fähige Cloud-Anwendungen zu erstellen und auszuführen, die dem Federal Risk and Authorization Management Program (FedRAMP) in den USA unterliegen. Health Insurance Portability and Accountability Act (HIPAA) und Compliance-Programme zum Payment Card Industry Data Security Standard (PCI DSS). AWS Managed Microsoft AD reduziert den Aufwand für die Bereitstellung einer konformen AD-Infrastruktur für Ihre Cloud-Anwendungen, da Sie Ihre eigenen HIPAA-Risikomanagementprogramme, PCI DSS oder FedRAMP-Compliance-Zertifizierung verwalten. Hier finden Sie die vollständige Liste der Compliance-Programme, für die AWS Managed AD berechtigt ist.
Überwachung, Protokollierung und Beobachtbarkeit
Überwachung des Verzeichnisstatus
Mithilfe des Amazon Simple Notification Service (Amazon SNS) können Sie E-Mail- oder Textnachrichten (SMS) erhalten, wenn sich der Status Ihres Verzeichnisses ändert. Sie werden benachrichtigt, wenn Ihr Verzeichnis vom Status Aktiv in den Status Beeinträchtigt oder Nicht funktionsfähig wechselt. Sie erhalten außerdem eine Benachrichtigung, wenn das Verzeichnis wieder in den aktiven Status wechselt.
Metriken des Domain-Controllers
AWS Directory Service lässt sich in Amazon CloudWatch integrieren, um Ihnen wichtige Leistungsmetriken für jeden Domain-Controller in Ihrem Verzeichnis bereitzustellen. Dies bedeutet, dass Sie Leistungsindikatoren für Domain-Controller wie z. B. die CPU- und Arbeitsspeicherauslastung überwachen können. Sie können auch Alarme konfigurieren und automatische Aktionen initiieren, um auf Zeiten mit hoher Auslastung zu reagieren.
Protokolle in Amazon CloudWatch und mehr überwachen
Verwenden Sie entweder die AWS-Directory-Service-Konsole oder APIs, um Sicherheitsereignisprotokolle des Domain-Controllers an Amazon CloudWatch Logs weiterzuleiten. Dadurch können Sie Ihre Richtlinien zur Sicherheitsüberwachung, Überprüfung und Aufbewahrung von Protokollen einhalten, indem Transparenz über die Sicherheitsereignisse in Ihrem Verzeichnis geschaffen wird. Sie können auch Protokolle von Sicherheitsereignissen aus Ihrem Verzeichnis an Amazon CloudWatch Logs in dem Amazon Web Services (AWS)-Konto Ihrer Wahl weiterleiten und Ereignisse mithilfe von AWS-Services oder Anwendungen von Drittanbietern wie Splunk, einem Advanced Technology Partner des AWS-Partnernetzwerk (APN) mit der AWS Security Competency, zentral überwachen.
AWS-Anwendungsintegration
Verbundzugriff auf das AWS-Konto und die AWS-Anwendungen
Sie können Ihren On-Premises-AD-Benutzern Zugang zur Anmeldung bei der AWS-Managementkonsole und AWS CLI mit ihren vorhandenen AD-Anmeldeinformationen mit AWS Identity Center (Nachfolger von AWS SSO) gewähren, indem Sie AWS Managed Microsoft AD als Identitätsquelle auswählen. Dies ermöglicht es Ihren Benutzern, bei der Anmeldung eine der ihnen zugewiesenen Rollen zu übernehmen und entsprechend den für die Rolle definierten Berechtigungen auf die Ressourcen zuzugreifen und entsprechende Maßnahmen zu ergreifen. Eine Alternative ist die Verwendung von AWS Managed Microsoft AD, damit Ihre Benutzer eine AWS Identity und Access Management(IAM)-Rolle übernehmen können.
Nahtlose Verzeichnisintegration mit AWS-Anwendungen
AWS Managed Microsoft AD ermöglicht es Ihnen, ein einziges Verzeichnis für Ihre verzeichnisorientierten Workloads in AWS-Ressourcen wie Instances zu Amazon EC2, Instances zu Amazon RDS für SQL Server sowie Services zu AWS End User Computing wie Amazon WorkSpaces zu verwenden. Durch die Freigabe eines Verzeichnisses können Ihre Workloads mit Verzeichnisfunktion Amazon-EC2-Instances über mehrere AWS-Konten und Amazon VPCs innerhalb einer Region verwalten. Sie können dadurch auch die Komplexität der Replikation und Synchronisierung von Daten in mehreren Verzeichnissen vermeiden.