P: ¿Qué es AWS Directory Service?

AWS Directory Service es un servicio administrado que proporciona directorios que contienen información acerca de su organización, incluidos usuarios, grupos, equipos y otros recursos. Como solución administrada, AWS Directory Service está diseñado para reducir las tareas de administración, de modo que pueda dedicar más tiempo y recursos a su negocio. No hay necesidad de crear su propia topología de directorios compleja y de alta disponibilidad, porque cada directorio se implementa en varias zonas de disponibilidad y la monitorización detecta y reemplaza automáticamente los controladores de dominio que producen error. Además, la replicación de datos y las snapshots diarias automatizadas están configuradas automáticamente. No es necesario instalar ningún software. Además, AWS se ocupa de todos los parches y actualizaciones de software.

P: ¿Qué puedo hacer con AWS Directory Service?

AWS Directory Service permite configurar y ejecutar Microsoft Active Directory (AD) en la nube de AWS, o conectar los recursos de AWS con una instalación on-premise existente de Active Directory de Microsoft. Una vez creado el directorio, puede usarlo para administrar usuarios y grupos, ofrecer inicio de sesión único para aplicaciones y servicios, crear y aplicar políticas de grupo, incluir instancias Amazon EC2 en dominios y simplificar la implementación y administración de cargas de trabajo de Linux y Microsoft Windows en la nube. AWS Directory Service permite a los usuarios finales utilizar sus actuales credenciales corporativas para obtener acceso a aplicaciones de AWS como Amazon WorkSpaces, Amazon WorkDocs y Amazon WorkMail, así como a cargas de trabajo de Microsoft compatibles con el directorio, como .NET personalizado y aplicaciones basadas en SQL Server. Por último, puede utilizar sus credenciales de empresa existentes para administrar los recursos de AWS mediante el acceso por funciones de AWS Identity and Access Management (IAM) a la consola de administración de AWS, de modo que no necesite crear más infraestructura de identidad federada.

P: ¿Cómo puedo crear un directorio?

Puede utilizar la consola de administración de AWS o la API para crear un directorio. Basta con proporcionar información básica, como un nombre de dominio totalmente cualificado (FQDN) para su directorio, el nombre de usuario y contraseña de la cuenta de administrador y la VPC a la que desea adjuntar el directorio.

P: ¿Puedo incluir una instancia de Amazon EC2 existente en un directorio de AWS Directory Service?

Sí, puede utilizar la consola de administración de AWS o el API para añadir instancias de EC2 existentes que ejecutan Linux o Windows a AWS Microsoft AD.

P: ¿Soporta AWS Directory Service el uso de API?

Las API públicas soportan la creación y administración de directorios. A partir de ahora, puede administrar directorios mediante programación haciendo uso de API públicas. Las API se encuentran disponibles mediante los SDK y la interfaz de línea de comandos (CLI) de AWS. Obtenga más información sobre las API en la documentación de AWS Directory Service.

P: ¿Soporta AWS Directory Service los logs de CloudTrail?

Sí. Las acciones realizadas mediante las API de AWS Directory Service o la consola de administración de AWS se incluyen en los logs de auditoría de CloudTrail.

P: ¿Puedo recibir notificaciones cuando cambie el estado de mi directorio?

Sí. Puede configurar Amazon Simple Notification Service (SNS) para recibir mensajes de texto y de correo electrónico cuando cambie el estado de AWS Directory Service. Amazon SNS usa temas para recopilar y distribuir mensajes a los suscriptores. Cuando AWS Directory Service detecte un cambio en el estado de su directorio, publicará un mensaje en el tema asociado, que luego se enviará a los que están suscritos al tema. Encontrará más información en la documentación.

P: ¿Cuánto cuesta AWS Directory Service?

Consulte la página de precios para obtener más información.

P: ¿Puedo etiquetar mi directorio?

Sí. AWS Directory Service es compatible con el etiquetado de la asignación de costos. Las etiquetas le facilitan la asignación de costos y optimizan los gastos al categorizar y agrupar recursos de AWS. Por ejemplo, puede usar etiquetas para agrupar recursos por administrador, nombre de aplicación, centro de costos o proyecto específico.

P: ¿En qué regiones de AWS se encuentra disponible AWS Directory Service?

Consulte Productos y servicios regionales para obtener más información sobre la disponibilidad por región de AWS Directory Service

P: ¿Cómo puedo crear un directorio de AWS Microsoft AD?

Puede lanzar la consola de AWS Directory Service desde la consola de administración de AWS para crear un directorio de AWS Microsoft AD. También puede usar el SDK o la CLI de AWS.

P: ¿Cómo se implementan los directorios de AWS Microsoft AD?

De forma predeterminada, los directorios de AWS Microsoft AD se implementan en dos zonas de disponibilidad de una región y se conectan a su Amazon Virtual Private Cloud (VPC). Se realizan backups automáticos una vez al día y los volúmenes Amazon Elastic Block Store (EBS) se cifran para garantizar la seguridad de los datos en reposo. Los controladores de dominio que producen errores se reemplazan automáticamente en la misma zona de disponibilidad usando la misma dirección IP y es posible realizar una recuperación de desastres completa a partir del backup más reciente.

P: ¿Puedo configurar los parámetros de almacenamiento, CPU y memoria de mi directorio de AWS Microsoft AD?

No. En estos momentos no existe esta funcionalidad.

P: ¿Cómo administro los usuarios y grupos de AWS Microsoft AD?

Puede utilizar las herramientas existentes de Active Directory, que se ejecutan en equipos con Windows que se incluyen en el dominio de AWS Microsoft AD, para administrar usuarios y grupos en directorios de AWS Microsoft AD. No se necesitan herramientas, políticas ni cambios de comportamiento especiales.

P: ¿En qué se diferencian mis permisos administrativos de AWS Microsoft AD de la ejecución de Active Directory en mis propias instancias con Windows de Amazon EC2?

Para proporcionar una experiencia de servicio administrado, AWS Microsoft AD debe cancelar el permiso para que los clientes realicen operaciones que interferirían con la administración del servicio. Por lo tanto, AWS no proporciona acceso de Windows PowerShell a instancias de directorio y restringe el acceso a objetos, funciones y grupos de directorio que requieren privilegios elevados. AWS Microsoft AD no admite el acceso a hosts directo a controladores de dominio mediante Telnet, Secure Shell (SSH) o Windows Remote Desktop Connection. Cuando crea un directorio de AWS Microsoft AD, se le asigna una unidad organizativa (OU) y una cuenta administrativa con derechos de administración delegada para la OU. Puede crear cuentas de usuario, grupos y políticas en la OU con las herramientas de administración de servidor remoto estándar, como los usuarios y grupos de Active Directory.

P: ¿Puedo usar el servidor de directivas de redes (NPS) de Microsoft con AWS Microsoft AD?

Sí. La cuenta administrativa creada cuando se configura AWS Microsoft AD dispone de derechos de administración delegada sobre el grupo de seguridad del servicio de acceso remoto (RAS) y el servicio de autenticación de Internet (IAS). De ese modo, puede registrar NPS con AWS Microsoft AD y administrar las políticas de acceso a la red de las cuentas de su dominio.

P: ¿AWS Microsoft AD admite las extensiones de esquema?

Sí. AWS Microsoft AD admite las extensiones de esquema que envía al servicio con formato de archivo de formato de intercambio de datos (LDIF) LDAP. Puede ampliar, pero no modificar, el esquema principal de Active Directory.

P: ¿Qué aplicaciones son compatibles con AWS Microsoft AD?

Las siguientes aplicaciones son compatibles con AWS Microsoft AD:

  • Amazon Chime
  • Amazon Connect
  • Amazon EC2
  • Amazon RDS para SQL Server
  • Amazon QuickSight
  • Amazon WorkDocs
  • Amazon WorkMail
  • Amazon WorkSpaces
  • Consola de administración de AWS
  • Servicios de federación de Active Directory (AD FS)
  • Servidor de aplicaciones (.NET)
  • Azure Active Directory (AD) Connect
  • Entidad de certificación de empresa
  • Administrador de licencias de escritorio remoto
  • SharePoint Server
  • SQL Server  

Es posible que no se admitan todas las configuraciones de estas aplicaciones.

P: ¿Puedo migrar mi Microsoft Active Directory on-premise existente a AWS Microsoft AD?

AWS no proporciona herramientas de migración para migrar una instancia de Active Directory autoadministrada a AWS Microsoft AD. Debe establecer una estrategia para realizar la migración, incluidos restablecimientos de contraseñas, e implementar los planes usando herramientas de administración de servidor remoto.

P: ¿Puedo configurar confianzas y reenviadores condicionales en la consola de Directory Service?

Sí. Puede configurar confianzas y reenviadores condicionales para AWS Microsoft AD con la consola de Directory Service o el API.

P: ¿Puedo agregar manualmente controladores de dominio adicionales a mi AWS Microsoft AD?

Sí. Puede añadir controladores de dominio adicionales a su dominio administrado con el API o la consola de AWS Directory Service. No se admite la conversión manual de instancias de Amazon EC2 a controladores de dominio.

P: ¿Puedo usar Microsoft Office 365 con cuentas de usuario administradas en AWS Microsoft AD?

Sí. Puede sincronizar identidades desde AWS Microsoft AD a Azure AD con Azure AD Connect y usar los servicios federados de Microsoft Active Directory (AD FS) para Windows 2016 con AWS Microsoft AD para autenticar usuarios de Office 365. Para obtener instrucciones paso a paso, consulte How to Enable Your Users to Access Office 365 with AWS Microsoft Active Directory Credentials.  

P: ¿Puedo usar la autenticación basada en lenguaje de marcado de aserción de seguridad (SAML) 2.0 con aplicaciones de la nube que usen AWS Microsoft AD?

Sí. Puede usar los servicios federados de Microsoft Active Directory (AD FS) para Windows 2016 con su dominio administrado de AWS Microsoft AD para autenticar usuarios en aplicaciones en la nube compatibles con SAML.

P: ¿Puedo cifrar la comunicación entre mis aplicaciones y AWS Microsoft AD con LDAPS?

Sí. AWS Microsoft AD es compatible con el protocolo ligero de acceso a directorios (LDAP) a través de la capa de conexión segura (SSL) en el puerto 636, y LDAP a través de Transport Layer Security (TLS) en el puerto 389, también conocida como LDAPS. Es posible activar ambos tipos de comunicación LDAPS mediante la instalación de un certificado en sus controladores de dominio de AWS Microsoft AD desde una entidad de certificación (CA) de Microsoft. Para obtener más información, consulte How to Enable LDAPS for Your AWS Microsoft AD Directory.

P: ¿Cuántos usuarios, grupos, equipos y objetos en total admite AWS Microsoft AD?

AWS Microsoft AD (edición Standard) incluye 1 GB de almacenamiento de objetos de directorio. Esta capacidad puede admitir hasta 5 000 usuarios o 30 000 objetos de directorio, incluidos usuarios, grupos y equipos. AWS Microsoft AD (edición Enterprise) incluye 17 GB de almacenamiento de objetos de directorio, que puede admitir hasta 100 000 usuarios o 500 000 objetos.

P: ¿Puedo usar AWS Microsoft AD como directorio principal?

Sí. Puede usarlo como directorio principal para administrar usuarios, grupos, equipos y objetos de política de grupos (GPO) en la nube. Puede administrar el acceso y suministrar inicio de sesión único (SSO) a servicios y aplicaciones de AWS, y a aplicaciones de terceros compatibles con directorios que se ejecuten en instancias de Amazon EC2 en la nube de AWS. Además, puede usar Azure AD Connect y AD FS para admitir SSO en aplicaciones de la nube, incluido Office 365.

P: ¿Puedo usar AWS Microsoft AD como bosque de recursos?

Sí. Puede usar AWS Microsoft AD como bosque de recursos que contenga principalmente grupos y equipos con relaciones de confianza con su directorio on-premise. Esto permite a sus usuarios acceder a recursos y aplicaciones de AWS con sus propias credenciales de AD on-premise.

P: ¿Qué es la inclusión sencilla en un dominio?

La inclusión sencilla en un dominio es una característica que permite conectar fácilmente a un dominio sus instancias Amazon EC2 para Windows Server en el momento del lanzamiento, y desde la consola de administración de AWS. Puede incluir instancias a AWS Microsoft AD que se lancen en la nube de AWS.

P: ¿Cómo puedo incorporar de forma sencilla una instancia en un dominio?

Al crear y lanzar una instancia EC2 para Windows desde la consola de administración de AWS, tiene la opción de seleccionar en qué dominio se incluirá la instancia. Para obtener más información, consulte la documentación.

P: ¿Puedo incluir de forma sencilla instancias EC2 para Windows Server existentes en un dominio?

No puede usar la característica de incorporación de dominio sencilla desde la consola de administración de AWS para instancias EC2 para Windows Server existentes, pero puede incorporar instancias existentes en un dominio con la API de EC2 o mediante el uso de PowerShell en la instancia. Para obtener más información, consulte la documentación.

P: ¿Cómo posibilita AWS Directory Service el inicio de sesión único (SSO) a la consola de administración de AWS?

AWS Directory Service permite asignar en la nube de AWS funciones de IAM a usuarios y grupos de AWS Microsoft AD o de un AD sencillo, así como a usuarios y grupos de un Active Directory de Microsoft on-premise existente (por medio de un conector de AD). Estas funciones controlarán el acceso de los usuarios a los servicios de AWS en función de las políticas de IAM que tengan asignadas. AWS Directory Service proporcionará una dirección URL específica para clientes para la consola de administración de AWS que los usuarios pueden utilizar para iniciar sesión con sus credenciales corporativas existentes. Consulte nuestra documentación para obtener más información sobre esta característica.

P: ¿Puedo usar AWS Microsoft AD para cargas de trabajo de la nube de AWS que deban cumplir con estándares de conformidad?

Sí. AWS Microsoft AD implementó los controles necesarios para permitirle cumplir los requisitos de la Ley de Transferibilidad y Responsabilidad del Seguro Sanitario (HIPAA) de EE.UU. y está incluido como servicio dentro del alcance en la declaración del resumen de responsabilidades y conformidad del estándar de seguridad de datos para el sector de las tarjetas de pago (DSS de PCI).  

P: ¿Cómo puedo acceder a los informes de conformidad y seguridad?

Para poder acceder a una lista completa de documentos relacionados con conformidad y seguridad en la nube de AWS, consulte AWS Artifact.

P: ¿Qué es el modelo de responsabilidad compartida de AWS?

La seguridad, incluido el cumplimiento de la HIPAA y del DSS de PCI, es una responsabilidad compartida entre AWS y usted. Por ejemplo, configurar sus políticas de contraseña para AWS Microsoft AD para cumplir los requisitos del DSS de PCI al utilizar AWS Microsoft AD es su responsabilidad. Para obtener más información acerca de las acciones que debe tomar para cumplir los requisitos de conformidad de HIPAA y del DSS de PCI, consulte la documentación de conformidad para AWS Microsoft AD, lea el documento técnico Diseño de arquitecturas para la conformidad y la seguridad de HIPAA en Amazon Web Services, y consulte Conformidad en la nube de AWSConformidad con HIPAAConformidad con el DSS de PCI.


Si tiene preguntas acerca del conector AD o AD sencillo, consulte AWS Directory Service, otras opciones de directorio.