Aspectos generales

P: ¿Qué es AWS Directory Service?

AWS Directory Service es un servicio administrado que ofrece directorios que contienen información acerca de su organización, incluidos usuarios, grupos, equipos y otros recursos. Como solución administrada, AWS Directory Service está diseñado para reducir las tareas de administración, de modo que pueda dedicar más tiempo y recursos a su negocio. No hay necesidad de crear su propia topología de directorios compleja y de alta disponibilidad, porque cada directorio se implementa en varias zonas de disponibilidad y la monitorización detecta y reemplaza automáticamente los controladores de dominio que producen error. Además, no es necesario que usted configure la replicación de datos y las instantáneas diarias automatizadas. No es necesario instalar ningún software. Además, AWS se ocupa de todos los parches y actualizaciones de software.

P: ¿Qué puedo hacer con AWS Directory Service?

AWS Directory Service permite configurar y ejecutar Microsoft Active Directory (AD) en la nube de AWS, o conectar los recursos de AWS con una instalación local existente de Active Directory de Microsoft. Una vez creado el directorio, puede usarlo para administrar usuarios y grupos, ofrecer inicio de sesión único para aplicaciones y servicios, crear y aplicar políticas de grupo, incluir instancias de Amazon EC2 en dominios y simplificar la implementación y administración de cargas de trabajo de Linux y Microsoft Windows en la nube. AWS Directory Service permite a los usuarios finales utilizar sus actuales credenciales corporativas para obtener acceso a aplicaciones de AWS como Amazon WorkSpaces, Amazon WorkDocs y Amazon WorkMail, así como a cargas de trabajo de Microsoft compatibles con el directorio, como .NET personalizado y aplicaciones basadas en SQL Server. Por último, puede utilizar sus credenciales de empresa existentes para administrar los recursos de AWS mediante el acceso por funciones de AWS Identity and Access Management (IAM) a la consola de administración de AWS, de modo que no necesite crear más infraestructura de identidad federada.

P: ¿Cómo puedo crear un directorio?

Puede utilizar la consola de administración de AWS o la API para crear un directorio. Basta con proporcionar información básica, como un nombre de dominio totalmente cualificado (FQDN) para su directorio, el nombre de usuario y contraseña de la cuenta de administrador y la VPC a la que desea adjuntar el directorio.

P: ¿Puedo incluir una instancia de Amazon EC2 existente en un directorio de AWS Directory Service?

Sí, puede utilizar la consola de administración de AWS o la API para agregar instancias EC2 existentes que ejecutan Linux o un directorio de AWS Managed Microsoft AD.

P: ¿AWS Directory Service admite el uso de las API?

Las API públicas soportan la creación y administración de directorios. A partir de ahora, puede administrar directorios mediante programación haciendo uso de API públicas. Las API se encuentran disponibles mediante los SDK y la interfaz de línea de comandos (CLI) de AWS. Obtenga más información sobre las API en la documentación de AWS Directory Service.

P: ¿Admite AWS Directory Service los registros de CloudTrail?

Sí. Las acciones realizadas mediante las API de AWS Directory Service o la consola de administración de AWS se incluyen en los registros de auditoría de CloudTrail.

P: ¿Puedo recibir notificaciones cuando cambie el estado de mi directorio?

Sí. Puede configurar Amazon Simple Notification Service (SNS) para recibir mensajes de texto y de correo electrónico cuando cambie el estado de AWS Directory Service. Amazon SNS usa temas para recopilar y distribuir mensajes a los suscriptores. Cuando AWS Directory Service detecte un cambio en el estado de su directorio, publicará un mensaje en el tema asociado, que luego se enviará a los que están suscritos al tema. Consulte la documentación para leer más información.

P: ¿Cuánto cuesta AWS Directory Service?

Consulte la página de precios para obtener más información.

P: ¿Puedo etiquetar mi directorio?

Sí. AWS Directory Service es compatible con el etiquetado de la asignación de costos. Las etiquetas le facilitan la asignación de costos y optimizan los gastos al categorizar y agrupar recursos de AWS. Por ejemplo, puede usar etiquetas para agrupar recursos por administrador, nombre de aplicación, centro de costos o proyecto específico.

P: ¿En qué regiones de AWS se encuentra disponible AWS Directory Service?

Consulte Productos y servicios regionales para obtener más detalles sobre la disponibilidad por región de AWS Directory Service.

P: ¿Qué versiones del protocolo de SMB (Server Message Block) admiten directorios de AWS Managed Microsoft AD?

A partir del 31/05/2020, las computadoras cliente pueden usar solo SMB versión 2.0 (SMBv2) o versión más reciente para acceder a los archivos almacenados en los recursos compartidos SYSVOL y NETLOGON de los controladores de dominio para sus directorios de AWS Managed Microsoft AD. Sin embargo, AWS recomienda que los clientes usen solo SMBv2 o versión más reciente en todos los servicios de archivos basados en SMB.

AWS Managed Microsoft AD

P: ¿Cómo puedo crear un directorio de AWS Managed Microsoft AD?

Puede lanzar la consola de AWS Directory Service desde la consola de administración de AWS para crear un directorio de AWS Managed Microsoft AD. También puede usar el SDK o la CLI de AWS.

P: ¿Cómo se implementan los directorios de AWS Managed Microsoft AD?

De forma predeterminada, los directorios de AWS Managed Microsoft AD se implementan en dos zonas de disponibilidad de una región y se conectan a su Amazon Virtual Private Cloud (VPC). Se realizan copias de seguridad automáticas una vez al día y los volúmenes Amazon Elastic Block Store (EBS) se cifran para garantizar la seguridad de los datos en reposo. Los controladores de dominio que producen errores se reemplazan automáticamente en la misma zona de disponibilidad usando la misma dirección IP y es posible realizar una recuperación de desastres completa a partir de la copia de seguridad más reciente.

P: ¿Puedo configurar los parámetros de almacenamiento, CPU o memoria de mi directorio de AWS Managed Microsoft AD?

No. En estos momentos no existe esta funcionalidad.

P: ¿Cómo administro los usuarios y grupos de AWS Managed Microsoft AD?

Puede utilizar las herramientas existentes de Active Directory, que se ejecutan en equipos con Windows que se incluyen en el dominio de AWS Managed Microsoft AD, para administrar usuarios y grupos en directorios de AWS Managed Microsoft AD. No se necesitan herramientas, políticas ni cambios de comportamiento especiales.

P: ¿En qué se diferencian mis permisos administrativos de AWS Managed Microsoft AD de la ejecución de Active Directory en mis propias instancias con Windows de Amazon EC2?

Para proporcionar una experiencia de servicio administrado, AWS Managed Microsoft AD debe cancelar el permiso para que los clientes realicen operaciones que interferirían con la administración del servicio. Por lo tanto, AWS no proporciona acceso de Windows PowerShell a instancias de directorio y restringe el acceso a objetos, funciones y grupos de directorio que requieren privilegios elevados. AWS Managed Microsoft AD no admite el acceso a hosts directo a controladores de dominio mediante Telnet, Secure Shell (SSH) o Windows Remote Desktop Connection. Cuando crea un directorio de AWS Managed Microsoft AD, se le asigna una unidad organizativa (OU) y una cuenta administrativa con derechos de administración delegada para la OU. Puede crear cuentas de usuario, grupos y políticas en la OU con las herramientas de administración de servidor remoto estándar, como los usuarios y grupos de Active Directory.

P: ¿Puedo usar el servidor de directivas de redes (NPS) de Microsoft con AWS Managed Microsoft AD?

Sí. La cuenta administrativa creada cuando se configura AWS Managed Microsoft AD dispone de derechos de administración delegada sobre el grupo de seguridad del servicio de acceso remoto (RAS) y el servicio de autenticación de Internet (IAS). De ese modo, puede registrar NPS con AWS Managed Microsoft AD y administrar las políticas de acceso a la red de las cuentas de su dominio.

P: ¿AWS Managed Microsoft AD admite las extensiones de esquema?

Sí. AWS Managed Microsoft AD admite las extensiones de esquema que envía al servicio con formato de archivo de formato de intercambio de datos (LDIF) LDAP. Puede ampliar, pero no modificar, el esquema principal de Active Directory.

P: ¿Qué aplicaciones son compatibles con AWS Managed Microsoft AD?

Amazon Chime
Amazon Connect
Amazon EC2
Amazon RDS para SQL Server
Amazon QuickSight
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
Consola de administración de AWS
Servicios federados de Active Directory (AD FS)
Servidor de aplicaciones (.NET)
Azure Active Directory (AD) Connect
Entidad de certificación de empresa
Administrador de licencias de escritorio remoto
SharePoint Server
SQL Server

Es posible que no se admitan todas las configuraciones de estas aplicaciones.

P: ¿Puedo migrar mi Microsoft Active Directory local existente a AWS Microsoft AD?

AWS no proporciona herramientas de migración para migrar una instancia de Active Directory autoadministrada a AWS Managed Microsoft AD. Debe establecer una estrategia para realizar la migración, incluidos restablecimientos de contraseñas, e implementar los planes usando herramientas de administración de servidor remoto.

P: ¿Puedo configurar confianzas y reenviadores condicionales en la consola de Directory Service?

Sí. Puede configurar relaciones de confianza y reenviadores condicionales para AWS Managed Microsoft AD con la consola de Directory Service o el API

P: ¿Puedo agregar manualmente controladores de dominio adicionales a mi AWS Managed Microsoft AD?

Sí. Puede añadir controladores de dominio adicionales a su dominio administrado con el API o la consola de AWS Directory Service. No se admite la conversión manual de instancias de Amazon EC2 a controladores de dominio. 

P: ¿Puedo usar Microsoft Office 365 con cuentas de usuario administradas en AWS Managed Microsoft AD?

Sí. Puede sincronizar identidades desde AWS Managed Microsoft AD a Azure AD con Azure AD Connect y usar los servicios federados de Microsoft Active Directory (AD FS) para Windows 2016 con AWS Managed Microsoft AD para autenticar usuarios de Office 365. Para obtener instrucciones paso a paso, consulte el documento How to Enable Your Users to Access Office 365 with AWS Microsoft Active Directory Credentials (Cómo permitir que sus usuarios accedan a Office 365 con las credenciales de AWS Microsoft Active Directory). 

P: ¿Puedo usar la autenticación basada en lenguaje de marcado de aserción de seguridad (SAML) 2.0 con aplicaciones de la nube que usen AWS Managed Microsoft AD?

Sí. Puede usar los servicios federados de Microsoft Active Directory (AD FS) para Windows 2016 con su dominio administrado de AWS Managed Microsoft AD para autenticar usuarios en aplicaciones en la nube compatibles con SAML. 

P: ¿Puedo cifrar la comunicación entre mis aplicaciones y AWS Managed Microsoft AD con LDAPS?

Sí. AWS Managed Microsoft AD es compatible con el protocolo ligero de acceso a directorios (LDAP) a través de la capa de conexión segura (SSL)/Transport Layer Security (TLS), también conocida como LDAPS, en los roles de cliente y servidor. Cuando funciona como servidor, AWS Managed Microsoft AD admite LDAPS a través de los puertos 636 (SSL) y 389 (TLS). Es posible activar la comunicación LDAPS del lado del servidor mediante la instalación de un certificado en sus controladores de dominio de AWS Managed Microsoft AD desde una entidad de certificación (CA) de servicios de certificados de Active Directory basados en AWS. Si desea leer más información, consulte Cómo habilitar las comunicaciones LDAP (LDAPS)

P: ¿Puedo cifrar comunicaciones de LDAP entre aplicaciones de AWS y mi AD autoadministrado con AWS Managed Microsoft AD?

Sí. AWS Managed Microsoft AD es compatible con el protocolo ligero de acceso a directorios (LDAP) a través de la capa de conexión segura (SSL)/Transport Layer Security (TLS), también conocida como LDAPS, en los roles de cliente y servidor. Cuando funciona como cliente, AWS Managed Microsoft AD admite LDAPS a través de los puertos 636 (SSL). Para habilitar la comunicación LDAPS del lado del cliente, debe registrar certificados de autoridades de certificación (CA) de su emisor de certificados de servidor en AWS. Si desea leer más información, consulte Cómo habilitar las comunicaciones LDAP (LDAPS)

P: ¿De qué manera AWS Managed Microsoft AD aborda Microsoft advisory ADV190023, que describe los cambios en las configuraciones predeterminadas de seguridad del LDAP en los controladores de dominio AD?

AWS Managed Microsoft AD admite tanto la firma LDAP como LDAP sobre SSL/TLS (LDAPS) cuando actúan como clientes LDAP que se comunican con Active Directory autoadministrado. La firma LDAP no requiere ninguna acción de parte del cliente para su activación y ofrece integridad de datos. LDAPS requiere configuración de parte del cliente y ofrece integridad de datos y confidencialidad. Para obtener más información, consulte esta publicación del foro de AWS

P: ¿Cuántos usuarios, grupos, equipos y objetos en total admite AWS Managed Microsoft AD?

AWS Managed Microsoft AD (edición Standard) incluye 1 GB de almacenamiento de objetos de directorio. Esta capacidad puede admitir hasta 5000 usuarios o 30 000 objetos de directorio, incluidos usuarios, grupos y equipos. AWS Managed Microsoft AD (edición Enterprise) incluye 17 GB de almacenamiento de objetos de directorio, que puede admitir hasta 100 000 usuarios o 500 000 objetos. 

P: ¿Puedo usar AWS Managed Microsoft AD como directorio principal?

Sí. Puede usarlo como directorio principal para administrar usuarios, grupos, equipos y objetos de política de grupos (GPO) en la nube. Puede administrar el acceso y suministrar inicio de sesión único (SSO) a servicios y aplicaciones de AWS, y a aplicaciones de terceros compatibles con directorios que se ejecuten en instancias de Amazon EC2 en la nube de AWS. Además, puede usar Azure AD Connect y AD FS para admitir SSO en aplicaciones de la nube, incluido Office 365. 

P: ¿Puedo usar AWS Managed Microsoft AD como bosque de recursos?

Sí. Puede usar AWS Managed Microsoft AD como bosque de recursos que contenga principalmente grupos y equipos con relaciones de confianza con su directorio local. Esto permite a sus usuarios acceder a recursos y aplicaciones de AWS con sus propias credenciales de AD locales. 

Integración sencilla en un dominio

P: ¿Qué es la inclusión sencilla en un dominio?

La integración sencilla en un dominio es una característica que permite conectar fácilmente a un dominio sus instancias Amazon EC2 para Windows Server en el momento del lanzamiento y desde la consola de administración de AWS. Puede incluir instancias a AWS Managed Microsoft AD que se lancen en la nube de AWS. 

P: ¿Cómo puedo incorporar de forma sencilla una instancia en un dominio?

Cuando crea y lanza una instancia EC2 para Windows desde la consola de administración de AWS, tiene la opción de seleccionar en qué dominio se incluirá la instancia. Para más información, consulte la documentación.

P: ¿Puedo incluir de forma sencilla instancias EC2 para Windows Server existentes en un dominio?

No puede usar la característica de integración sencilla de un dominio desde la consola de administración de AWS para instancias EC2 para Windows Server existentes, pero puede incorporar instancias existentes en un dominio con la API de EC2 o mediante el uso de PowerShell en la instancia. Para más información, consulte la documentación.

Integración de IAM

P: ¿Cómo posibilita AWS Directory Service el inicio de sesión único (SSO) a la consola de administración de AWS?

AWS Directory Service permite asignar en la nube de AWS roles de IAM a usuarios y grupos de AWS Managed Microsoft AD o de un Simple AD, así como a usuarios y grupos de un Active Directory de Microsoft local existente por medio de un AD Connector. Estas funciones controlarán el acceso de los usuarios a los servicios de AWS en función de las políticas de IAM que tengan asignadas. AWS Directory Service proporcionará una dirección URL específica para clientes para la consola de administración de AWS que los usuarios pueden utilizar para iniciar sesión con sus credenciales corporativas existentes. Consulte nuestra documentación para obtener más información sobre esta característica. 

Conformidad

P: ¿Puedo usar AWS Managed Microsoft AD para cargas de trabajo de la nube de AWS que deban cumplir con estándares de conformidad?

Sí. AWS Managed Microsoft AD ha implementado los controles necesarios para permitir que cumpla con los requisitos de la Ley de Transferibilidad y Responsabilidad del Seguro Sanitario (HIPAA) de EE.UU. y está incluido como servicio dentro del alcance en la declaración del resumen de responsabilidades y conformidad del estándar de seguridad de datos para el sector de las tarjetas de pago (DSS de PCI)

P: ¿Cómo puedo acceder a los informes de conformidad y seguridad?

Para poder acceder a una lista completa de documentos relacionados con conformidad y seguridad en la nube de AWS, consulte AWS Artifact.

P: ¿Qué es el modelo de responsabilidad compartida de AWS?

La seguridad, incluso la conformidad con la HIPAA y el DSS de PCI, es una responsabilidad compartida entre AWS y usted. Por ejemplo, es su responsabilidad configurar sus políticas de contraseña para AWS Managed Microsoft AD para cumplir los requisitos del DSS de PCI cuando utiliza AWS Managed Microsoft AD. Para obtener más información acerca de las acciones que debe tomar para cumplir los requisitos de conformidad de HIPAA y del DSS de PCI, consulte la documentación de conformidad para AWS Managed Microsoft AD, lea el documento técnico Diseño de arquitecturas para la conformidad y la seguridad de HIPAA en Amazon Web Services y consulte Conformidad en la nube de AWSConformidad con HIPAAConformidad con el DSS de PCI. 


Si tiene preguntas acerca del AD Connector o Simple AD, consulte AWS Directory Service, otras opciones de directorio.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Más información sobre los precios de Directory Service

Vea ejemplos de precios y calcule costos.

Más información 
Regístrese para abrir una cuenta de AWS
Regístrese para obtener una cuenta gratuita

Obtenga acceso instantáneo a la capa gratuita de AWS. 

Regístrese 
Comience a crear con Directory Service
Comience a crear en la consola

Comience a crear con AWS Directory Service en la consola de AWS.

Iniciar sesión