Questions d'ordre général

Q : En quoi consiste AWS Directory Service ?

AWS Directory Service est une offre de service gérée qui fournit des répertoires contenant des informations sur votre organisation, notamment les utilisateurs, les groupes, les ordinateurs et d'autres ressources. En tant qu'offre gérée, la solution AWS Directory Service est destinée à réduire les tâches de gestion, pour vous permettre de consacrer plus de temps et d'allouer plus de ressources à votre entreprise. Il n'est pas nécessaire de concevoir votre propre topologie de répertoire complexe et hautement disponible, car chaque répertoire est déployé dans plusieurs zones de disponibilité (AZ) et le système de surveillance détecte et remplace automatiquement les contrôleurs de domaine défaillants. De plus, la réplication des données et les instantanés (snapshots) automatiques quotidiens sont configurés pour vous. Il n'y a aucun logiciel à installer. AWS se charge de tous les patchs et des mises à jour logicielles.

Q : Que puis-je faire avec AWS Directory Service ?

AWS Directory Service vous permet de configurer et d'exécuter facilement des répertoires dans le cloud AWS ou de connecter vos ressources AWS à partir d'un répertoire Microsoft Active Directory existant sur site. Une fois votre répertoire créé, vous pouvez l'utiliser pour gérer des utilisateurs et des groupes, assurer une authentification unique vers des applications et des services, créer et appliquer une stratégie de groupe, procéder à la liaison de domaines d'instances Amazon EC2, et simplifier le déploiement et la gestion de charges de travail Linux et Microsoft Windows basées sur le cloud. AWS Directory Service permet à vos utilisateurs finaux d'utiliser leurs informations d'identification existantes lorsqu'ils accèdent aux applications AWS, telles qu'Amazon WorkSpaces, Amazon WorkDocs et Amazon WorkMail, ainsi qu'aux charges de travail Microsoft prenant en charge les répertoires, notamment les applications .NET et SQL Server personnalisées. Enfin, vous pouvez utiliser vos informations d'identification d'entreprise pour administrer les ressources AWS via la fonction AWS Identity and Access Management (IAM) basée sur les rôles de gestion des accès à AWS Management Console, pour ne pas avoir à concevoir d'autres infrastructures de fédération des identités.

Q : Comment créer un répertoire ?

Vous pouvez utiliser AWS Management Console ou l'API pour créer un répertoire. Il vous suffit d'indiquer des informations élémentaires telles qu'un nom de domaine entièrement qualifié (FQDN) pour votre répertoire, un nom de compte administrateur et un mot de passe, ainsi que le VPC auquel vous souhaitez associer le répertoire.

Q : Puis-je associer une instance Amazon EC2 existante à un répertoire AWS Directory Service ?

Oui, vous pouvez utiliser AWS Management Console ou l'API pour ajouter des instances EC2 exécutant Linux ou Windows à un répertoire AWS Managed Microsoft AD.

Q : Les API sont-elles prises en charge pour AWS Directory Service ?

Les API publiques sont prises en charge pour créer et gérer les répertoires. Vous pouvez dès à présent gérer les annuaires par programmation à l'aide d'API publiques. Les API sont disponibles via l'interface de ligne de commande et le kit SDK AWS. Apprenez-en davantage sur les API dans la documentation relative à AWS Directory Service.

Q : AWS Directory Service prend-il en charge la journalisation CloudTrail ?

Oui. Les actions effectuées via les API AWS Directory Service ou la console de gestion seront intégrées à vos journaux d'audit CloudTrail.

Q : Puis-je recevoir des notifications quand le statut de mon annuaire est modifié ?

Oui. Vous pouvez configurer Amazon Simple Notification Service (SNS) de façon à recevoir des e-mails et des SMS en cas de modification du statut de votre AWS Directory Service. Amazon SNS utilise les rubriques pour collecter et distribuer les messages aux abonnés. Quand AWS Directory Service détecte un changement au niveau du statut de votre annuaire, un message est publié dans la rubrique correspondante, et ce message est alors envoyé aux abonnés de cette rubrique. Consultez la documentation pour en savoir plus.

Q : Combien coûte AWS Directory Service ?

Pour plus d'informations, consultez la page de tarification.

Q : Puis-je ajouter des balises à mon répertoire ?

Oui. AWS Directory Service prend en charge le balisage de répartition des coûts. Les balises vous permettent de répartir facilement les coûts et d'optimiser vos dépenses en classant par catégories et en regroupant les ressources AWS. Par exemple, vous pouvez utiliser des balises pour regrouper les ressources par administrateur, nom d'application, centre de coûts ou projet.

Q : Dans quelles régions AWS l'offre AWS Directory Service est-elle disponible ?

Pour plus d'informations sur la disponibilité d'AWS Directory Service par région, reportez-vous à la section relative aux produits et services régionaux.

Q : Quelles versions du protocole Server Message Block (SMB) AWS Managed Microsoft AD prend-il en charge ?

Depuis le 31/05/2020, les ordinateurs clients peuvent utiliser uniquement la version 2.0 de SMB (SMBv2) ou une version plus récente pour accéder aux fichiers stockés sur les partages SYSVOL et NETLOGON des contrôleurs de domaine de leurs annuaires AD Microsoft gérés par AWS. Toutefois, AWS recommande aux clients d'utiliser uniquement SMBv2 ou plus récent pour tous les services de fichiers basés sur SMB.

AWS Managed Microsoft AD

Q : Comment est déployé un répertoire AWS Managed Microsoft AD ?

Vous pouvez lancer la console AWS Directory Service à partir d'AWS Management Console pour créer un répertoire AWS Managed Microsoft AD. Vous pouvez également utiliser le kit SDK AWS ou l'interface de ligne de commande AWS.

Q : Comment sont déployés les répertoires AWS Managed Microsoft AD ?

Les répertoires AWS Managed Microsoft AD sont déployés dans deux zones de disponibilité dans une région par défaut et connectés à votre Amazon Virtual Private Cloud (VPC). Les sauvegardes sont automatiquement effectuées une fois par jour et les volumes Amazon Elastic Block Store (EBS) sont cryptés pour s'assurer que les données sont sécurisées au repos. Les contrôleurs de domaine défaillants sont automatiquement remplacés dans la même zone de disponibilité utilisant la même adresse IP et une reprise après sinistre complète peut être exécutée à l'aide de la dernière sauvegarde.

Q : Puis-je configurer les paramètres de stockage, de CPU ou de mémoire de mon répertoire AWS Managed Microsoft AD ?

Non. Cette fonctionnalité n'est pas prise en charge à l'heure actuelle.

Q : Comment gérer des utilisateurs et des groupes pour AWS Managed Microsoft AD ?

Vous pouvez utiliser vos outils Active Directory existants (exécutés sur des ordinateurs Windows liés au domaine AWS Managed Microsoft AD) pour gérer les utilisateurs et les groupes dans les répertoires AWS Managed Microsoft AD. Aucun outil, aucune politique ni aucune modification de politique spécifiques ne sont nécessaires.

Q : En quoi mes autorisations administratives sont-elles différentes lorsque j'utilise AWS Managed Microsoft AD et lorsque j'exécute Active Directory dans mes propres instances Amazon EC2 Windows ?

Pour offrir une expérience de service géré, AWS Managed Microsoft AD doit interdire les opérations client qui interfèrent avec la gestion du service. Par conséquent, AWS ne permet pas d'accéder aux instances de répertoire via Windows PowerShell et limite l'accès aux objets de répertoire, rôles et groupes qui requièrent des privilèges avancés. AWS Managed Microsoft AD n'autorise pas l'accès direct des hôtes à des contrôleurs de domaine via Telnet, Secure Shell (SSH) ou une connexion Bureau à distance Windows. Lorsque vous créez un répertoire AWS Managed Microsoft AD, une unité d'organisation (UO) et un compte administratif disposant de droits d'administration délégués pour l'UO vous sont attribués. Vous pouvez créer des comptes d'utilisateur, des groupes et des politiques au sein de l'UO à l'aide des outils d'administration de serveur distant standard tels que les utilisateurs et les groupes Active Directory.

Q : Puis-je utiliser Microsoft Network Policy Server (NPS) avec AWS Managed Microsoft AD ?

Oui. Le compte administratif créé pour vous lors de la configuration d'AWS Managed Microsoft AD dispose de droits de gestion délégués sur le groupe de sécurité des serveurs RAS (Remote Access Service) et IAS (Internet Authentication Service). Cela vous permet d'enregistrer NPS dans AWS Managed Microsoft AD et de gérer les politiques d'accès réseau pour les comptes de votre domaine.

Q : Le répertoire AWS Managed Microsoft AD prend-il en charge les extensions de schéma ?

Oui. AWS Managed Microsoft AD prend en charge les extensions de schéma que vous soumettez au service sous la forme d'un fichier LDAP Data Interchange Format (LDIF). Vous pouvez étendre, mais ne pouvez pas modifier le schéma Active Directory central.

Q : Quelles applications sont compatibles avec AWS Managed Microsoft AD ?

Amazon Chime
Amazon Connect
Instances Amazon EC2
Amazon FSx for Windows File Server
Amazon QuickSight
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
Amazon Single Sign On
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS Client VPN
AWS Management Console

Notez que toutes les configurations de ces applications peuvent ne pas être prises en charge.

Q : Quels sont les logiciels tiers compatibles avec AWS Managed Microsoft AD ?

AWS Managed Microsoft AD repose sur Active Directory et fournit la plus large éventail 'outils AD natifs et le support d'applications tierces telles que :

Active Directory-Based Activation (ADBA)
Active Directory Certificate Services (AD CS) : Enterprise Certificate Authority
Active Directory Federation Services (AD FS)
Active Directory Users and Computers (ADUC)
Application Server (.NET)
Azure Active Directory (Azure AD)
Azure Active Directory (AD) Connect
Distributed File System Replication (DFSR)
Distributed File System Namespaces (DFSN)
Microsoft Remote Desktop Services Licensing Server
Microsoft SharePoint Server
Microsoft SQL Server (y compris SQL Server Always On Availability Groups)
Microsoft System Center Configuration Manager (SCCM)
Microsoft Windows and Windows Server OS
Office 365

Q : Quels sont les logiciels tiers compatibles avec AWS Managed Microsoft AD ?

Active Directory Certificate Services (AD CS) : Certificate Enrollment Web Service
Active Directory Certificate Services (AD CS) : Certificate Enrollment Policy Web Service
Microsoft Exchange Server
Microsoft Skype for Business Server

Q : Puis-je migrer mon annuaire Microsoft Active Directory sur site existant vers AWS Managed Microsoft AD ?

AWS ne fournit aucun outil de migration pour migrer un répertoire Active Directory autogéré vers AWS Managed Microsoft AD. Vous devez établir une stratégie pour effectuer une migration, notamment des réinitialisations de mots de passe, et mettre en place les plans en utilisant les outils d'administration de serveur distant.

Q : Puis-je configurer des redirecteurs et des approbations conditionnels dans la console Directory Service ?

Oui. Vous pouvez configurer des redirecteurs et des approbations conditionnels pour AWS Managed Microsoft AD en vous servant de la console Directory Service, ainsi que de l'API

Q : Puis-je ajouter manuellement des contrôleurs de domaine supplémentaires à mon AWS Managed Microsoft AD ?

Oui. Vous pouvez ajouter d'autres contrôleurs de domaine à votre domaine géré à l'aide de la console AWS Directory Service ou d'une API. Notez que la promotion manuelle d'instances Amazon EC2 vers des contrôleurs de domaine n'est pas prise en charge. 

Q : Puis-je utiliser Microsoft Office 365 avec des comptes utilisateurs gérés dans AWS Managed Microsoft AD ?

Oui. Vous pouvez synchroniser des identités depuis AWS Managed Microsoft AD vers Azure AD à l'aide d'Azure AD Connect et utiliser Microsoft Active Directory Federation Services (AD FS) pour Windows 2016 avec AWS Managed Microsoft AD pour authentifier les utilisateurs Office 365. Pour avoir des instructions détaillées, consultez la section Comment permettre à vos utilisateurs d'accéder à Office 365 avec les identifiants Active Directory Microsoft d'AWS

Q : Puis-je utiliser l'authentification Security Assertion Markup Language (SAML) 2.0 avec des applications cloud à l'aide d'AWS Managed Microsoft AD ?

Oui. Vous pouvez utiliser Microsoft Active Directory Federation Services (AD FS) pour Windows 2016 avec votre domaine géré AWS Managed Microsoft AD pour authentifier des utilisateurs dans des applications cloud prenant en charge SAML. 

Q : Puis-je chiffrer les communications entre mes applications et AWS Managed Microsoft AD avec LDAPS ?

Oui. AWS Managed Microsoft AD prend en charge Lightweight Directory Access Protocol (LDAP) sur Secure Socket Layer (SSL) / Transport Layer Security (TLS), aussi connu comme étant LDAPS, dans des rôles client et serveur. Dans le rôle de serveur, AWS Managed Microsoft AD prend en charge LDAPS sur les ports 636 (SSL) et 389 (TLS). Vous activez la communication LDAPS côté serveur en installant un certificat sur vos contrôleurs de domaine AWS Managed Microsoft AD à partir d'une autorité de certification (CA) Active Directory Certificate Services basée sur AWS. Pour en savoir plus, consultez Activer LDAP sécurisé (LDAPS)

Q : Puis-je chiffrer les communications LDAP entre mes applications AWS et mon AD autogéré à l'aide d'AWS Managed Microsoft AD ?

Oui. AWS Managed Microsoft AD prend en charge Lightweight Directory Access Protocol (LDAP) sur Secure Socket Layer (SSL) / Transport Layer Security (TLS), aussi connu comme étant LDAPS, dans des rôles client et serveur. Dans le rôle de client, AWS Managed Microsoft AD prend en charge LDAPS sur les ports 636 (SSL). Vous activez la communication LDAPS côté client en enregistrant les certificats de l'autorité de certification (CA) de votre émetteur de certificats de serveur dans AWS. Pour en savoir plus, consultez Activer LDAP sécurisé (LDAPS)

Comment AWS Managed Microsoft AD traite-t-il l'avertissement Microsoft ADV190023 qui décrit les modification des paramètres de sécurité LDAP par défaut sur les contrôleurs de domaine AD ?

AWS Managed Microsoft AD prend en charge la signature LDAP et LDAP sur SSL/TLS (LDAPS) lorsqu'ils agissent en tant que clients LDAP communiquant avec Active Directory autogéré. La signature LDAP côté client ne nécessite aucune action du client pour l'activer et assure l'intégrité des données. LDAPS côté client nécessite une configuration et assure l'intégrité et la confidentialité des données. Pour plus d'informations, consultez cet article AWS Forums

Q : Combien d'utilisateurs, de groupes, d'ordinateurs et d'objets au total sont pris en charge par AWS Managed Microsoft AD ?

AWS Managed Microsoft AD (édition Standard) inclut 1 Go de stockage d'objets de répertoire. Cette capacité peut prendre en charge jusqu'à 5 000 utilisateurs ou 30 000 objets de répertoire, dont des utilisateurs, des groupes et des ordinateurs. AWS Managed Microsoft AD (édition Enterprise) inclut 17 Go de stockage d'objets de répertoire pouvant prendre en charge jusqu'à 100 000 utilisateurs ou 500 000 objets. 

Q : Puis-je utiliser AWS Managed Microsoft AD comme répertoire primaire ?

Oui. Vous pouvez l'utiliser comme répertoire primaire pour gérer des utilisateurs, des groupes, des ordinateurs et des objets de politique de groupe (GPO) dans le cloud. Vous pouvez gérer l'accès et proposer l'authentification unique (SSO) pour les applications et services AWS et pour des applications compatibles avec des répertoires tiers s'exécutant sur des instances Amazon EC2 dans le cloud AWS. De plus, vous pouvez utiliser Azure AD Connect et AD FS pour prendre en charge l'authentification unique pour les applications cloud, dont Office 365. 

Q : Puis-je utiliser AWS Managed Microsoft AD comme forêt de ressources ?

Oui. Vous pouvez utiliser AWS Managed Microsoft AD comme forêt de ressources contenant principalement des ordinateurs et des groupes avec des relations de confiance avec votre répertoire sur site. Cela permet à vos utilisateurs d'accéder aux applications et ressources AWS avec leurs identifiants AD sur site. 

Liaison de domaines en toute transparence

Q : Qu'est-ce qu'une liaison de domaine transparente ?

Une liaison de domaine transparente est une fonction qui vous permet de lier de manière transparente vos instances Amazon EC2 pour Windows Server et Amazon EC2 pour Linux à un domaine,au lancement et depuis AWS Management Console. Vous pouvez lier des instances à AWS Managed Microsoft AD que vous lancez dans le Cloud AWS.

Q : Comment lier de manière transparente une instance à un domaine ?

Lorsque vous créez une instance EC2 pour Windows ou une instance Amazon EC2 pour Linux depuis AWS Management Console, vous avez la possibilité de sélectionner le domaine auquel votre instance sera liée. Pour en savoir plus, consultez la documentation.

Q : Puis-je lier de manière transparente des instances EC2 pour Windows existantes à un domaine ?

Vous ne pouvez pas utiliser la fonction de liaison transparente à un domaine depuis AWS Management Console pour les instances EC2 pour Windows Server et EC2 pour Linux existantes. Cependant, vous pouvez lier des instances existantes à un domaine grâce à l'API EC2 ou en exécutant PowerShell sur l'instance. Pour en savoir plus, consultez la documentation.

Quelles sont les distributions et versions de Linux prises en charge par la fonction de liaison de domaine transparente ?

La fonction de liaison de domaine transparente est actuellement disponible pour Amazon Linux, Amazon Linux 2, CentOS 7 ou version ultérieure, RHEL 7.5 ou version ultérieure et Ubuntu 14 à 18.

Intégration d'IAM

Q : Comment AWS Directory Service active-t-il la connexion SSO à AWS Management Console ?

AWS Directory Service vous permet d'attribuer des rôles IAM à des utilisateurs et des groupes AWS Managed Microsoft AD ou Simple AD dans le cloud AWS, ainsi qu'à des utilisateurs et groupes Microsoft Active Directory existants sur site à l'aide du connecteur AD. Ces rôles contrôlent l'accès des utilisateurs aux services AWS en fonction des politiques IAM attribuées aux rôles. AWS Directory Service fournit alors une URL spécifique pour les clients renvoyant vers AWS Management Console, que les utilisateurs peuvent utiliser pour se connecter avec leurs informations d'identification d'entreprise. Pour en savoir plus sur cette fonctionnalité, consultez notre documentation

Conformité

Q : Puis-je utiliser AWS Managed Microsoft AD pour les charges de travail AWS Cloud sujettes aux normes de conformité ?

Oui. AWS Managed Microsoft AD a implémenté les contrôles nécessaies pour vous permettre de répondre aux exigences de la loi américaine U.S. Health Insurance Portability and Accountability Act (HIPAA) et est inclus en tant que service compris dans l'attestation de conformité et le récapitulatif des responsabilités Payment Card Industry Data Security Standard (PCI DSS)

Q : Comment puis-je accéder aux rapports de conformité et de sécurité ?

Pour accéder à une liste complète de documents relatifs à la conformité et à la sécurité dans le cloud AWS, consultez AWS Artifact.

Q : Qu'est-ce que le Modèle AWS de responsabilité partagée ?

La sécurité, notamment la conformité HIPAA et PCI DSS, est une responsabilité partagée entre AWS et vous. Par exemple, il vous incombe de configurer vos politiques de mot de passe AWS Managed Microsoft AD pour répondre aux exigences PCI DSS lorsque vous utilisez AWS Managed Microsoft AD. Pour en savoir plus sur les mesures que vous devez prendre pour répondre aux exigences de conformité HIPAA et PCI DSS, consultez la documentation de conformité pour AWS Managed Microsoft AD, lisez le livre blanc Architecture pour la sécurité et la conformité HIPAA sur Amazon Web Services et consultez les sections Conformité dans le cloud AWS, Conformité HIPAA et Conformité PCI DSS


En cas de questions sur le connecteur AD et le répertoire Simple AD, consultez les autres options de répertoire d'AWS Directory Service.

Product-Page_Standard-Icons_01_Product-Features_SqInk
En savoir plus sur la tarification Directory Service

Consultez des exemples de tarification et calculez vos coûts.

En savoir plus 
Créez un compte AWS
Créer gratuitement un compte

Obtenez un accès instantané à l'offre gratuite d'AWS. 

S'inscrire 
Commencez à créer avec Directory Service
Commencez à créer sur la console

Commencez à créer avec AWS Directory Service dans la console AWS.

Se connecter