Generales

¿Qué es AWS Directory Service?

AWS Directory Service es un servicio administrado que proporciona directorios que contienen información acerca de su organización, incluidos usuarios, grupos, equipos y otros recursos. Como solución administrada, AWS Directory Service está diseñado para reducir las tareas de administración, de modo que pueda dedicar más tiempo y recursos a su negocio. No hay necesidad de crear su propia topología de directorios compleja y de alta disponibilidad, porque cada directorio se implementa en varias zonas de disponibilidad y la monitorización detecta y reemplaza automáticamente los controladores de dominio que producen error. Además, no es necesario que usted configure la replicación de datos y las instantáneas diarias automatizadas. No es necesario instalar ningún software. Además, AWS se ocupa de todos los parches y actualizaciones de software.

¿Qué puedo hacer con AWS Directory Service?

AWS Directory Service permite configurar y ejecutar Microsoft Active Directory (AD) en la nube de AWS, o conectar los recursos de AWS con una instalación local existente de Active Directory de Microsoft. Una vez creado el directorio, puede usarlo para administrar usuarios y grupos, ofrecer inicio de sesión único para aplicaciones y servicios, crear y aplicar políticas de grupo, incluir instancias de Amazon EC2 en dominios y simplificar la implementación y administración de cargas de trabajo de Linux y Microsoft Windows en la nube. AWS Directory Service permite a los usuarios finales utilizar sus actuales credenciales corporativas para obtener acceso a aplicaciones de AWS como Amazon WorkSpaces, Amazon WorkDocs y Amazon WorkMail, así como a cargas de trabajo de Microsoft compatibles con el directorio, como .NET personalizado y aplicaciones basadas en SQL Server. Por último, puede utilizar sus credenciales de empresa existentes para administrar los recursos de AWS mediante el acceso por funciones de AWS Identity and Access Management (IAM) a la consola de administración de AWS, de modo que no necesite crear más infraestructura de identidad federada.

¿Cómo puedo crear un directorio?

Puede utilizar la consola de administración de AWS o la API para crear un directorio. Basta con proporcionar información básica, como un nombre de dominio totalmente cualificado (FQDN) para su directorio, el nombre de usuario y contraseña de la cuenta de administrador y la VPC a la que desea adjuntar el directorio.

¿Puedo incluir una instancia de Amazon EC2 existente en un directorio de AWS Directory Service?

Sí, puede utilizar la consola de administración de AWS o el API para añadir instancias de EC2 existentes que ejecutan Linux o AWS Managed Microsoft AD.

¿AWS Directory Service admite el uso de API?

Las API públicas soportan la creación y administración de directorios. A partir de ahora, puede administrar directorios mediante programación haciendo uso de API públicas. Las API se encuentran disponibles mediante los SDK y la interfaz de línea de comandos (CLI) de AWS. Obtenga más información sobre las API en la documentación de AWS Directory Service.

¿AWS Directory Service admite los registros de CloudTrail?

Sí. Las acciones realizadas mediante las API de AWS Directory Service o la consola de administración de AWS se incluyen en los registros de auditoría de CloudTrail.

¿Puedo recibir notificaciones cuando cambie el estado de mi directorio?

Sí. Puede configurar Amazon Simple Notification Service (SNS) para recibir mensajes de texto y de correo electrónico cuando cambie el estado de AWS Directory Service. Amazon SNS usa temas para recopilar y distribuir mensajes a los suscriptores. Cuando AWS Directory Service detecte un cambio en el estado de su directorio, publicará un mensaje en el tema asociado, que luego se enviará a los que están suscritos al tema. Consulte la documentación para leer más información.

¿Cuánto cuesta AWS Directory Service?

Consulte la página de precios para obtener más información.

¿Puedo etiquetar mi directorio?

Sí. AWS Directory Service es compatible con el etiquetado de la asignación de costos. Las etiquetas le facilitan la asignación de costos y optimizan los gastos al categorizar y agrupar recursos de AWS. Por ejemplo, puede usar etiquetas para agrupar recursos por administrador, nombre de aplicación, centro de costos o proyecto específico.

¿En qué regiones de AWS se encuentra disponible AWS Directory Service?

Consulte Productos y servicios regionales para obtener más información sobre la disponibilidad por región de AWS Directory Service

AWS Managed Microsoft AD

¿Cómo puedo crear un directorio de AWS Managed Microsoft AD?

Puede lanzar la consola de AWS Directory Service desde la consola de administración de AWS para crear un directorio de AWS Managed Microsoft AD. También puede usar el SDK o la CLI de AWS.

¿Cómo se implementan los directorios de AWS Managed Microsoft AD?

De forma predeterminada, los directorios de AWS Managed Microsoft AD se implementan en dos zonas de disponibilidad de una región y se conectan a su Amazon Virtual Private Cloud (VPC). Se realizan copias de seguridad automáticas una vez al día y los volúmenes Amazon Elastic Block Store (EBS) se cifran para garantizar la seguridad de los datos en reposo. Los controladores de dominio que producen errores se reemplazan automáticamente en la misma zona de disponibilidad usando la misma dirección IP y es posible realizar una recuperación de desastres completa a partir de la copia de seguridad más reciente.

¿Puedo configurar los parámetros de almacenamiento, CPU y memoria de mi directorio de AWS Managed Microsoft AD?

No. En estos momentos no existe esta funcionalidad.

¿Cómo administro los usuarios y grupos de AWS Managed Microsoft AD?

Puede utilizar las herramientas existentes de Active Directory, que se ejecutan en equipos con Windows que se incluyen en el dominio de AWS Managed Microsoft AD, para administrar usuarios y grupos en directorios de AWS Managed Microsoft AD. No se necesitan herramientas, políticas ni cambios de comportamiento especiales.

¿En qué se diferencian mis permisos administrativos de AWS Managed Microsoft AD de la ejecución de Active Directory en mis propias instancias con Windows de Amazon EC2?

Para proporcionar una experiencia de servicio administrado, AWS Managed Microsoft AD debe cancelar el permiso para que los clientes realicen operaciones que interferirían con la administración del servicio. Por lo tanto, AWS no proporciona acceso de Windows PowerShell a instancias de directorio y restringe el acceso a objetos, funciones y grupos de directorio que requieren privilegios elevados. AWS Managed Microsoft AD no admite el acceso a hosts directo a controladores de dominio mediante Telnet, Secure Shell (SSH) o Windows Remote Desktop Connection. Cuando crea un directorio de AWS Managed Microsoft AD, se le asigna una unidad organizativa (OU) y una cuenta administrativa con derechos de administración delegada para la OU. Puede crear cuentas de usuario, grupos y políticas en la OU con las herramientas de administración de servidor remoto estándar, como los usuarios y grupos de Active Directory.

¿Puedo usar el servidor de directivas de redes (NPS) de Microsoft con AWS Managed Microsoft AD?

Sí. La cuenta administrativa creada cuando se configura AWS Managed Microsoft AD dispone de derechos de administración delegada sobre el grupo de seguridad del servicio de acceso remoto (RAS) y el servicio de autenticación de Internet (IAS). De ese modo, puede registrar NPS con AWS Managed Microsoft AD y administrar las políticas de acceso a la red de las cuentas de su dominio.

¿AWS Managed Microsoft AD admite las extensiones de esquema?

Sí. AWS Managed Microsoft AD admite las extensiones de esquema que envía al servicio con formato de archivo de formato de intercambio de datos (LDIF) LDAP. Puede ampliar, pero no modificar, el esquema principal de Active Directory.

¿Qué aplicaciones son compatibles con AWS Managed Microsoft AD?

Las siguientes aplicaciones son compatibles con AWS Managed Microsoft AD:

  • Amazon Chime
  • Amazon Connect
  • Amazon EC2
  • Amazon RDS para SQL Server
  • Amazon QuickSight
  • Amazon WorkDocs
  • Amazon WorkMail
  • Amazon WorkSpaces
  • Consola de administración de AWS
  • Servicios federados de Active Directory (AD FS)
  • Servidor de aplicaciones (.NET)
  • Azure Active Directory (AD) Connect
  • Entidad de certificación de empresa
  • Administrador de licencias de escritorio remoto
  • SharePoint Server
  • SQL Server

Es posible que no se admitan todas las configuraciones de estas aplicaciones.

¿Puedo migrar mi Microsoft Active Directory local existente a AWS Managed Microsoft AD?

AWS no proporciona herramientas de migración para migrar una instancia de Active Directory autoadministrada a AWS Managed Microsoft AD. Debe establecer una estrategia para realizar la migración, incluidos restablecimientos de contraseñas, e implementar los planes usando herramientas de administración de servidor remoto.

¿Puedo configurar reenviadores y relaciones de confianza condicionales en la consola del servicio de directorio?

Sí. Puede configurar confianzas y reenviadores condicionales para AWS Managed Microsoft AD con la consola de Directory Service o el API.

¿Puedo agregar manualmente controladores de dominio adicionales a mi AWS Managed Microsoft AD?

Sí. Puede añadir controladores de dominio adicionales a su dominio administrado con el API o la consola de AWS Directory Service. No se admite la conversión manual de instancias de Amazon EC2 a controladores de dominio.

¿Puedo usar Microsoft Office 365 con cuentas de usuario administradas en AWS Managed Microsoft AD?

Sí. Puede sincronizar identidades desde AWS Managed Microsoft AD a Azure AD con Azure AD Connect y usar los servicios federados de Microsoft Active Directory (AD FS) para Windows 2016 conAWS Managed Microsoft AD para autenticar usuarios de Office 365. Para obtener instrucciones paso a paso, consulte el documento How to Enable Your Users to Access Office 365 with AWS Microsoft Active Directory Credentials.

¿Puedo usar la autenticación basada en lenguaje de marcado de aserción de seguridad (SAML) 2.0 con aplicaciones de la nube que usen AWS Managed Microsoft AD?

Sí. Puede usar los servicios federados de Microsoft Active Directory (AD FS) para Windows 2016 con su dominio administrado de AWS Managed Microsoft AD para autenticar usuarios en aplicaciones en la nube compatibles con SAML.

¿Puedo cifrar la comunicación entre mis aplicaciones y AWS Managed Microsoft AD con LDAPS?

Sí. AWS Managed Microsoft AD es compatible con el protocolo ligero de acceso a directorios (LDAP) a través de la capa de conexión segura (SSL) en el puerto 636, y LDAP a través de Transport Layer Security (TLS) en el puerto 389, también conocida como LDAPS. Es posible activar ambos tipos de comunicación LDAPS mediante la instalación de un certificado en sus controladores de dominio de AWS Managed Microsoft AD desde una entidad de certificación (CA) de Microsoft. Para obtener más información, consulte el documento How to Enable LDAPS for Your AWS Managed Microsoft AD.

¿Cuántos usuarios, grupos, equipos y objetos en total admite AWS Managed Microsoft AD?

AWS Managed Microsoft AD (edición Standard) incluye 1 GB de almacenamiento de objetos de directorio. Esta capacidad puede admitir hasta 5000 usuarios o 30 000 objetos de directorio, incluidos usuarios, grupos y equipos. AWS Managed Microsoft AD (edición Enterprise) incluye 17 GB de almacenamiento de objetos de directorio, que puede admitir hasta 100 000 usuarios o 500 000 objetos.

¿Puedo usar AWS Managed Microsoft AD como directorio principal?

Sí. Puede usarlo como directorio principal para administrar usuarios, grupos, equipos y objetos de política de grupos (GPO) en la nube. Puede administrar el acceso y suministrar inicio de sesión único (SSO) a servicios y aplicaciones de AWS, y a aplicaciones de terceros compatibles con directorios que se ejecuten en instancias de Amazon EC2 en la nube de AWS. Además, puede usar Azure AD Connect y AD FS para admitir SSO en aplicaciones de la nube, incluido Office 365.

¿Puedo usar AWS Managed Microsoft AD como bosque de recursos?

Sí. Puede usar AWS Managed Microsoft AD como bosque de recursos que contenga principalmente grupos y equipos con relaciones de confianza con su directorio local. Esto permite a sus usuarios acceder a recursos y aplicaciones de AWS con sus propias credenciales de AD locales.

Integración sencilla en un dominio

¿Qué es la integración sencilla en un dominio?

La integración sencilla en un dominio es una característica que permite conectar fácilmente a un dominio sus instancias Amazon EC2 para Windows Server en el momento del lanzamiento, y desde la consola de administración de AWS. Puede incluir instancias a AWS Managed Microsoft AD que se lancen en la nube de AWS.

¿Cómo puedo integrar de forma sencilla una instancia en un dominio?

Al crear y lanzar una instancia EC2 para Windows desde la consola de administración de AWS, tiene la opción de seleccionar en qué dominio se incluirá la instancia. Para más información, consulte la documentación.

¿Puedo incluir de forma sencilla instancias EC2 para Windows Server existentes en un dominio?

No puede usar la característica de integración sencilla de un dominio desde la consola de administración de AWS para instancias EC2 para Windows Server existentes, pero puede incorporar instancias existentes en un dominio con la API de EC2 o mediante el uso de PowerShell en la instancia. Para más información, consulte la documentación.

Integración de IAM

¿Cómo posibilita AWS Directory Service el inicio de sesión único (SSO) a la consola de administración de AWS?

AWS Directory Service permite asignar en la nube de AWS funciones de IAM a usuarios y grupos de AWS Managed Microsoft AD o de un Simple AD, así como a usuarios y grupos de un Active Directory de Microsoft local existente (por medio de un AD Connector). Estas funciones controlarán el acceso de los usuarios a los servicios de AWS en función de las políticas de IAM que tengan asignadas. AWS Directory Service proporcionará una dirección URL específica para clientes para la consola de administración de AWS que los usuarios pueden utilizar para iniciar sesión con sus credenciales corporativas existentes. Consulte nuestra documentación para obtener más información sobre esta característica.

Conformidad

¿Puedo usar AWS Managed Microsoft AD para cargas de trabajo de la nube de AWS que deban cumplir con estándares de conformidad?

Sí. AWS Managed Microsoft AD ha implementado los controles necesarios para permitir que cumpla con los requisitos de la Ley de Transferibilidad y Responsabilidad del Seguro Sanitario (HIPAA) de EE.UU. y está incluido como servicio dentro del alcance en la declaración del resumen de responsabilidades y conformidad del estándar de seguridad de datos para el sector de las tarjetas de pago (DSS de PCI).

¿Cómo puedo acceder a los informes de conformidad y seguridad?

Para poder acceder a una lista completa de documentos relacionados con conformidad y seguridad en la nube de AWS, consulte AWS Artifact.

¿Qué es el modelo de responsabilidad compartida de AWS?

La seguridad, incluso la conformidad con la HIPAA y el DSS de PCI, es una responsabilidad compartida entre AWS y usted. Por ejemplo, es su responsabilidad configurar sus políticas de contraseña para AWS Managed Microsoft AD para cumplir los requisitos del DSS de PCI al utilizar AWS Managed Microsoft AD. Para obtener más información acerca de las acciones que debe tomar para cumplir los requisitos de conformidad de HIPAA y del DSS de PCI, consulte la documentación de conformidad para AWS Managed Microsoft AD, lea el documento técnico Diseño de arquitecturas para la conformidad y la seguridad de HIPAA en Amazon Web Services, y consulte Conformidad en la nube de AWSConformidad con HIPAAConformidad con el DSS de PCI.


Si tiene preguntas acerca del AD Connector o Simple AD, consulte AWS Directory Service, otras opciones de directorio.

Obtenga más información acerca de AWS Directory Service

Visite la página de características
¿Listo para crear?
Comience a usar AWS Directory Service
¿Tiene más preguntas?
Contacte con nosotros