- Seguridad, identidad y cumplimiento›
- AWS Directory Service›
- Características
Características de AWS Directory Service
Información general
AWS Directory Service proporciona una ruta perfecta para que las organizaciones migren sus cargas de trabajo dependientes de Active Directory a la nube. Al ofrecer un Active Directory nativo basado en Windows Server y totalmente administrado, el servicio permite a los equipos de TI aprovechar sus habilidades y aplicaciones de AD existentes, al tiempo que se benefician de seguridad, fiabilidad y escalabilidad mejoradas. Las empresas pueden integrar fácilmente su entorno de AD con servicios alojados en la nube, como Amazon RDS, FSx y EC2, lo que permite una experiencia de administración de AD uniforme en todos los entornos.
Las sólidas características de seguridad del servicio, que incluyen el cifrado de extremo a extremo y el cumplimiento de los estándares del sector, protegen los datos confidenciales. Además, con las implementaciones multirregionales y la administración autónoma, AWS Directory Service garantiza que sus servicios de directorio críticos mantengan una alta disponibilidad, incluso en caso de interrupciones. Independientemente de si es uno de los responsable de la toma de decisiones de TI, un arquitecto o un CIO, AWS Directory Service agiliza su proceso de transformación en la nube, lo que le permite modernizar su infraestructura de AD y capacitar a su fuerza laboral mediante la administración de identidades segura y escalable.
Temas de la página
Disponibilidad, escalabilidad y resiliencia
Abrir todo
Dado que los directorios son una infraestructura fundamental, AWS Managed Microsoft AD se implementa en una estructura de AWS de alta disponibilidad y a través de múltiples zonas de disponibilidad. Los controladores de dominio se implementan en dos zonas de disponibilidad de una región de forma predeterminada y se conectan a su Amazon Virtual Private Cloud (VPC). Se realizan copias de seguridad automáticas una vez al día y los volúmenes Amazon Elastic Block Store (EBS) se cifran para proteger los datos en reposo. Los controladores de dominio que producen errores se reemplazan automáticamente en la misma zona de disponibilidad usando la misma dirección IP y es posible realizar una recuperación de desastres a partir de la copia de seguridad más reciente.
La primera vez que crea su directorio, AWS Managed Microsoft AD implementa dos controladores de dominio en varias zonas de disponibilidad, lo que es necesario para lograr una alta disponibilidad. Más adelante, puede implementar controladores de dominio adicionales a través de la consola de AWS Directory Service especificando el número total de controladores de dominio que desea. AWS Managed Microsoft AD distribuye los controladores de dominio adicionales a las zonas de disponibilidad y subredes de la VPC en la que se ejecuta el directorio.
AWS Managed Microsoft AD se ejecuta en la infraestructura administrada de AWS con tecnología de Windows Server 2019. Al seleccionar y lanzar este tipo de directorio, se crea como un par de controladores de dominio de alta disponibilidad conectados a su nube virtual privada (VPC). Los controladores de dominio se ejecutan en diferentes zonas de disponibilidad de la región que elija. El monitoreo y la recuperación del host, la replicación de datos, las instantáneas y las actualizaciones de software se configuran y administran de acuerdo con el acuerdo de nivel de servicio (SLA) de AWS Directory Service.
AWS Managed Microsoft AD proporciona instantáneas integradas diarias automatizadas. También puede tomar instantáneas adicionales antes de las actualizaciones críticas de las aplicaciones para asegurarse de tener los datos más recientes en caso de que necesite deshacer un cambio.
Administración de la carga de trabajo global
Abrir todo
La replicación multirregional le permite implementar y usar un único directorio de Microsoft AD administrado por AWS en varias regiones de AWS. Esto facilita y hace más rentable la implementación y la administración de las cargas de trabajo de Microsoft Windows y Linux en forma global. Con la capacidad de replicación automatizada destinada a regiones múltiples, se obtiene una resiliencia más alta, mientras que sus aplicaciones usan un directorio local para un mejor rendimiento.
AWS Managed Microsoft AD se integra perfectamente con AWS Organizations para permitir compartir directorios sin problemas entre varias cuentas de AWS. Puede compartir un único directorio con otras cuentas de AWS de confianza de la misma organización o bien compartir el directorio con otras cuentas de AWS ajenas a su organización. También puede compartir su directorio cuando su cuenta de AWS no sea miembro de una organización.
Características nativas de Windows AD 2019
Abrir todo
AWS Managed Microsoft AD le permite utilizar la unión perfecta de dominios para instancias nuevas y existentes de Amazon EC2 para Windows Server y Amazon EC2 para Linux. Para las nuevas instancias de EC2, puede elegir a qué dominio unirse en el momento del lanzamiento utilizando la consola de administración de AWS. Puede utilizar la unión sencilla de dominios para las instancias existentes de EC2 utilizando el servicio EC2Config. Las instancias de Amazon EC2 también pueden integrarse perfectamente a un solo directorio compartido de cualquier cuenta de AWS y cualquier Amazon VPC dentro de una región.
AWS Managed Microsoft AD le permite administrar usuarios y dispositivos mediante objetos de política de grupo (GPO) nativos de Microsoft Active Directory. Puede crear GPO con las herramientas existentes, como la consola de administración de políticas de grupo (GPMC).
Puede ampliar su esquema de AWS Managed Microsoft AD agregando nuevas clases de objetos y atributos. También puede usar extensiones de esquema para habilitar la compatibilidad con aplicaciones que se basan en atributos y clases de objetos de Active Directory específicos. Esto puede resultar especialmente útil en el caso de que necesite migrar aplicaciones corporativas que dependen de AWS Managed Microsoft AD a la nube de AWS. (Origen)
Los administradores pueden administrar las cuentas de servicio mediante un método denominado Cuentas de servicio administradas por grupos (GMSA). Con las gMSA, los administradores de servicios ya no tienen que administrar manualmente la sincronización de contraseñas entre las instancias de servicio. En su lugar, un administrador podría simplemente crear una gMSA en Active Directory y, a continuación, configurar varias instancias de servicio para utilizar esa única gMSA. Para conceder permisos para que los usuarios de AWS Managed Microsoft AD puedan crear una gMSA, debe agregar sus cuentas como miembros del grupo de seguridad de AWS Delegated Managed Service Account. De forma predeterminada, la cuenta de administrador es miembro de este grupo.
Puede integrar AWS Managed Microsoft AD con su AD actual utilizando las relaciones de confianza de AD. El uso de fideicomisos le permite utilizar su Active Directory existente para controlar qué usuarios de AD pueden acceder a sus recursos de AWS.
AWS Managed Microsoft AD utiliza la misma autenticación basada en Kerberos que su instancia de AD local existente. Al integrar los recursos de AWS con AWS Managed Microsoft AD, los usuarios de AD pueden iniciar sesión con SSO en las aplicaciones y los recursos de AWS con un único conjunto de credenciales.
Seguridad y cumplimiento
Abrir todo
Puede configurar ajustes de directorio detallados para AWS Managed Microsoft AD a fin de cumplir con sus requisitos de cumplimiento y seguridad sin aumentar la carga de trabajo operativa. En la configuración del directorio, puede actualizar la configuración del canal seguro para los protocolos y cifrados utilizados en su directorio Por ejemplo, tiene la flexibilidad de deshabilitar cifrados heredados individuales, como RC4 o DES, y protocolos, como SSL 2.0/3.0 y TLS 1.0/1.1. A continuación, AWS Managed Microsoft AD implementa la configuración en todos los controladores de dominio de su directorio, administra los reinicios de los controladores de dominio y mantiene esta configuración a medida que usted amplía o implementa más regiones de AWS. Para ver todos los ajustes disponibles, consulte la lista de ajustes de seguridad del directorio.
El protocolo ligero de acceso a directorios (LDAPS) del lado del servidor cifra las comunicaciones LDAP entre sus aplicaciones comerciales o locales compatibles con LDAP (que actúan como clientes LDAP) y AWS Managed Microsoft AD (que actúa como servidor LDAP). Para obtener más información, consulte Habilitar LDAPS del lado del servidor mediante AWS Managed Microsoft AD.
El LDAPS del lado del cliente cifra las comunicaciones LDAP entre aplicaciones de AWS, como WorkSpaces (que actúan como clientes LDAP) y su Active Directory administrado por cuenta propia (que actúa como servidor LDAP). Para obtener más información, consulte Habilitar LDAPS del lado del cliente mediante AWS Managed Microsoft AD.
La integración de AWS Managed Microsoft AD y AD Connector con AWS Private Certificate Authority (AWS Private CA) Connector for AD le permite inscribir objetos unidos al dominio de AD, incluidos usuarios, grupos y máquinas, con certificados emitidos por AWS Private CA. Puede utilizar AWS Private CA como sustituto directo de sus CA empresariales administradas por cuenta propia sin necesidad de implementar, aplicar parches o actualizar agentes locales o servidores proxy. Puede configurar la integración de AWS Private CA con su directorio con tan solo unos clics o mediante programación a través de la API.
Puede usar AWS Managed Microsoft AD para crear y ejecutar aplicaciones en la nube compatibles con la publicidad que estén sujetas a Programas de cumplimiento de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). AWS Managed Microsoft AD reduce el esfuerzo necesario para implementar una infraestructura de AD compatible con sus aplicaciones en la nube, ya que administra sus propios programas de administración de riesgos de la HIPAA o la certificación de conformidad PCI DSS o de FedRAMP. Consulte la lista completa de los programas de conformidad para los que AWS Managed AD es elegible.
Supervisión, registro y observabilidad
Abrir todo
Con Amazon Simple Notification Service (Amazon SNS), puede recibir mensajes de correo electrónico o de texto (SMS) cuando cambie el estado de su directorio. Recibirá una notificación si su directorio pasa de un estado Activo a un estado Inoperable o Inoperable. También recibirá una notificación cuando el directorio vuelva al estado Activo.
AWS Directory Service se integra con Amazon CloudWatch para proporcionarle métricas de rendimiento importantes para cada controlador de dominio de su directorio. Esto significa que puede supervisar los contadores de rendimiento de los controladores de dominio, como el uso de la CPU y la memoria. También puede configurar alarmas e iniciar acciones automatizadas para responder a los períodos de alta utilización.
Utilice la consola de AWS Directory Service o las API para reenviar los registros de eventos de seguridad de los controladores de dominio a Amazon CloudWatch Logs. Esta opción le permite cumplir requisitos de políticas de retención de registros, auditorías y supervisión de seguridad mediante el suministro de transparencia en relación con los eventos de seguridad de su directorio. También puede reenviar los registros de eventos de seguridad de su directorio a Amazon CloudWatch Logs en la cuenta de Amazon Web Services (AWS) que elija y supervisar los eventos de forma centralizada mediante los servicios de AWS o aplicaciones de terceros, como Splunk, un socio tecnológico avanzado de la red de socios de AWS (APN) con competencia en seguridad de AWS.
Migración de cargas de trabajo dependientes de AD e integración de aplicaciones de AWS
Abrir todoAWS Managed Microsoft AD (Hybrid Edition) le permite extender su dominio de AD existente a AWS, creando una experiencia de directorio unificada en todos sus entornos de AD. Esta solución permite una integración fluida entre sus recursos locales y en la nube, lo que garantiza una gestión de identidades uniforme en toda su infraestructura.
Para las organizaciones que buscan un servicio de directorio en la nube dedicado, nuestras ediciones Standard y Enterprise crean un nuevo dominio de AD en AWS con la capacidad de establecer relaciones de confianza seguras con su infraestructura de AD existente. Esto le brinda la flexibilidad de mantener servicios de directorio separados y, al mismo tiempo, garantizar una interacción fluida entre los entornos. Mientras que AD Connector ofrece un servicio de proxy que conecta los servicios de AWS con su AD existente sin almacenar los datos del directorio en la nube. Se trata de una solución ligera y rentable que le ayuda a aprovechar sus inversiones actuales en AD y, al mismo tiempo, aprovechar los servicios de AWS.
Puede conceder a sus usuarios de AD locales acceso para iniciar sesión en la consola de administración de AWS y en AWS CLI con sus credenciales de AD existentes con AWS Identity Center (sucesor de AWS SSO) al seleccionar AWS Managed Microsoft AD como origen de identidades. Esto permite a sus usuarios asumir uno de los roles que se les asignan al iniciar la sesión, así como acceder a los recursos y actuar sobre ellos de acuerdo con los permisos definidos para el rol. Una opción alternativa es utilizar AWS Managed Microsoft AD para permitir a los usuarios asumir una función de AWS Identity and Access Management (IAM).
AWS Managed Microsoft AD le permite usar un único directorio para sus cargas de trabajo compatibles con directorios en los recursos de AWS, como las instancias de Amazon EC2, las instancias de Amazon RDS para SQL Server y los servicios informáticos de usuario final de AWS, como Amazon WorkSpaces. Compartir un directorio permite a las cargas de trabajo compatibles con directorios administrar instancias de Amazon EC2 en varias cuentas de AWS y Amazon VPC dentro de una región. También ayuda a evitar la complejidad asociada con replicar y sincronizar datos en varios directorios.