Q : En quoi consiste AWS Directory Service ?

AWS Directory Service est une offre de service gérée qui fournit des répertoires contenant des informations sur votre organisation, notamment les utilisateurs, les groupes, les ordinateurs et d'autres ressources. En tant qu'offre gérée, la solution AWS Directory Service est destinée à réduire les tâches de gestion, pour vous permettre de consacrer plus de temps et d'allouer plus de ressources à votre entreprise. Il n'est pas nécessaire de concevoir votre propre topologie de répertoire complexe et hautement disponible, car chaque répertoire est déployé dans plusieurs Zones de Disponibilité (AZ) et le système de surveillance détecte et remplace automatiquement les contrôleurs de domaine défaillants. De plus, la réplication des données et les instantanés automatiques quotidiens sont configurés pour vous. Il n'y a aucun logiciel à installer. AWS se charge de tous les patchs et des mises à jour logicielles.

Q : Que puis-je faire avec AWS Directory Service ?

AWS Directory Service vous permet de configurer et d'exécuter facilement des répertoires dans le cloud AWS ou de connecter vos ressources AWS à partir d'un répertoire Microsoft Active Directory existant sur site. Une fois votre répertoire créé, vous pouvez l'utiliser pour gérer des utilisateurs et des groupes, assurer une authentification unique vers des applications et des services, créer et appliquer une stratégie de groupe, procéder à la liaison de domaines d'instances Amazon EC2, et simplifier le déploiement et la gestion de charges de travail Linux et Microsoft Windows basées sur le cloud. AWS Directory Service permet à vos utilisateurs finaux d'utiliser leurs informations d'identification existantes lorsqu'ils accèdent aux applications AWS, telles qu'Amazon WorkSpaces, Amazon WorkDocs et Amazon WorkMail, ainsi qu'aux charges de travail Microsoft prenant en charge les répertoires, notamment les applications .NET et SQL Server personnalisées. Enfin, vous pouvez utiliser vos informations d'identification d'entreprise pour administrer les ressources AWS via la fonction AWS Identity and Access Management (IAM) basée sur les rôles de gestion des accès à AWS Management Console, pour ne pas avoir à concevoir d'autres infrastructures de fédération des identités.

Q : Comment créer un répertoire ?

Vous pouvez utiliser AWS Management Console ou l'API pour créer un répertoire. Il vous suffit d'indiquer des informations élémentaires telles qu'un nom de domaine entièrement qualifié (FQDN) pour votre répertoire, un nom de compte administrateur et un mot de passe, ainsi que le VPC auquel vous souhaitez associer le répertoire.

Q : Puis-je associer une instance Amazon EC2 existante à un répertoire AWS Directory Service ?

Oui, vous pouvez utiliser AWS Management Console ou l'API pour ajouter des instances EC2 exécutant Linux ou Windows à un répertoire AWS Microsoft AD.

Q : Les API sont-elles prises en charge pour AWS Directory Service ?

Les API publiques sont prises en charge pour créer et gérer les répertoires. Vous pouvez dès à présent gérer les annuaires par programmation à l'aide d'API publiques. Les API sont disponibles via l'interface de ligne de commande et le kit SDK AWS. Apprenez-en davantage sur les API dans la documentation relative à AWS Directory Service.

Q : AWS Directory Service prend-il en charge la journalisation CloudTrail ?

Oui. Les actions effectuées via les API AWS Directory Service ou la console de gestion seront intégrées à vos journaux d'audit CloudTrail.

Q : Puis-je recevoir des notifications quand le statut de mon annuaire est modifié ?

Oui. Vous pouvez configurer Amazon Simple Notification Service (SNS) de façon à recevoir des e-mails et des SMS en cas de modification du statut de votre AWS Directory Service. Amazon SNS utilise les rubriques pour collecter et distribuer les messages aux abonnés. Quand AWS Directory Service détecte un changement au niveau du statut de votre annuaire, un message est publié dans la rubrique correspondante, et ce message est alors envoyé aux abonnés de cette rubrique. Consultez la documentation pour en savoir plus.

Q : Combien coûte AWS Directory Service ?

Pour plus d'informations, consultez la page de tarification.

Q : Puis-je ajouter des balises à mon répertoire ?

Oui. AWS Directory Service prend en charge le balisage de répartition des coûts. Les balises vous permettent de répartir facilement les coûts et d'optimiser vos dépenses en classant par catégories et en regroupant les ressources AWS. Par exemple, vous pouvez utiliser des balises pour regrouper les ressources par administrateur, nom d'application, centre de coûts ou projet.

Q : Dans quelles régions AWS l'offre AWS Directory Service est-elle disponible ?

Pour plus d'informations sur la disponibilité d'AWS Directory Service par région, reportez-vous à la section relative aux produits et services régionaux

Q : Comment créer un répertoire AWS Microsoft AD ?

Vous pouvez lancer la console AWS Directory Service à partir d'AWS Management Console pour créer un répertoire AWS Microsoft AD. Vous pouvez également utiliser le kit SDK AWS ou l'interface de ligne de commande AWS.

Q : Comment sont déployés les répertoires AWS Microsoft AD ?

Les répertoires AWS Microsoft AD sont déployés dans deux zones de disponibilité dans une région par défaut et connectés à votre Amazon Virtual Private Cloud (VPC). Les sauvegardes sont automatiquement effectuées une fois par jour et les volumes Amazon Elastic Block Store (EBS) sont cryptés pour s'assurer que les données sont sécurisées au repos. Les contrôleurs de domaine défaillants sont automatiquement remplacés dans la même zone de disponibilité utilisant la même adresse IP et une reprise après sinistre complète peut être exécutée à l'aide de la dernière sauvegarde.

Q : Puis-je configurer les paramètres de stockage, de CPU ou de mémoire de mon répertoire AWS Microsoft AD ?

Non. Cette fonctionnalité n'est pas prise en charge à l'heure actuelle.

Q : Comment gérer des utilisateurs et des groupes pour AWS Microsoft AD ?

Vous pouvez utiliser vos outils Active Directory existants (exécutés sur des ordinateurs Windows liés au domaine AWS Microsoft AD) pour gérer les utilisateurs et les groupes dans les répertoires AWS Microsoft AD. Aucun outil, aucune politique ni aucune modification de politique spécifiques ne sont nécessaires.

Q : En quoi mes autorisations administratives sont-elles différentes lorsque j'utilise AWS Microsoft AD et lorsque j'exécute Active Directory dans mes propres instances Amazon EC2 Windows ?

Pour offrir une expérience de service géré, AWS Microsoft AD doit interdire les opérations client qui interfèrent avec la gestion du service. Par conséquent, AWS ne permet pas d'accéder aux instances de répertoire via Windows PowerShell et limite l'accès aux objets de répertoire, rôles et groupes qui requièrent des privilèges avancés. AWS Microsoft AD n'autorise pas l'accès direct des hôtes à des contrôleurs de domaine via Telnet, Secure Shell (SSH) ou une connexion Bureau à distance Windows. Lorsque vous créez un répertoire AWS Microsoft AD, une unité d'organisation (UO) et un compte administratif disposant de droits d'administration délégués pour l'UO vous sont attribués. Vous pouvez créer des comptes d'utilisateur, des groupes et des politiques au sein de l'UO à l'aide des outils d'administration de serveur distant standard tels que les utilisateurs et les groupes Active Directory.

Q : Puis-je utiliser Microsoft Network Policy Server (NPS) avec AWS Microsoft AD ?

Oui. Le compte administratif créé pour vous lors de la configuration d'AWS Microsoft AD dispose de droits de gestion délégués sur le groupe de sécurité des serveurs RAS (Remote Access Service) et IAS (Internet Authentication Service). Cela vous permet d'enregistrer NPS dans AWS Microsoft AD et de gérer les politiques d'accès réseau pour les comptes de votre domaine.

Q : Le répertoire AWS Microsoft AD prend-il en charge les extensions de schéma ?

Oui. AWS Microsoft AD prend en charge les extensions de schéma que vous soumettez au service sous la forme d'un fichier LDAP Data Interchange Format (LDIF). Vous pouvez étendre, mais ne pouvez pas modifier le schéma Active Directory central.

Q : Quelles applications sont compatibles avec AWS Microsoft AD ?

Les applications suivantes sont compatibles avec AWS Microsoft AD :

  • Amazon Chime
  • Amazon Connect
  • Amazon EC2
  • Amazon RDS pour SQL Server
  • Amazon QuickSight
  • Amazon WorkDocs
  • Amazon WorkMail
  • Amazon WorkSpaces
  • AWS Management Console
  • Active Directory Federation Services (AD FS)
  • Serveur d'application (.NET)
  • Azure Active Directory (AD) Connect
  • Autorité de certification d'entreprise
  • Gestionnaire de licences Remote Desktop
  • SharePoint Server
  • SQL Server  

Notez que toutes les configurations de ces applications peuvent ne pas être prises en charge.

Q : Puis-je migrer mon répertoire Microsoft Active Directory existant sur site vers AWS Microsoft AD ?

AWS ne fournit aucun outil de migration pour migrer un répertoire Active Directory autogéré vers AWS Microsoft AD. Vous devez établir une stratégie pour effectuer une migration, notamment des réinitialisations de mots de passe, et mettre en place les plans en utilisant les outils d'administration de serveur distant.

Q : Puis-je configurer des redirecteurs et des approbations conditionnels dans la console Directory Service ?

Oui. Vous pouvez configurer des redirecteurs et des approbations conditionnels pour AWS Microsoft AD en vous servant de la console Directory Service, ainsi que de l'API.

Q : Puis-je ajouter manuellement des contrôleurs de domaine supplémentaires à mon AWS Microsoft AD ?

Oui. Vous pouvez ajouter d'autres contrôleurs de domaine à votre domaine géré à l'aide de la console AWS Directory Service ou d'une API. Notez que la promotion manuelle d'instances Amazon EC2 vers des contrôleurs de domaine n'est pas prise en charge.

Q : Puis-je utiliser Microsoft Office 365 avec des comptes utilisateurs gérés dans AWS Microsoft AD ?

Oui. Vous pouvez synchroniser des identités depuis AWS Microsoft AD vers Azure AD à l'aide d'Azure AD Connect et utiliser Microsoft Active Directory Federation Services (AD FS) pour Windows 2016 avec AWS Microsoft AD pour authentifier les utilisateurs Office 365. Pour avoir des instructions détaillées, consultez la section Comment permettre à vos utilisateurs d'accéder à Office 365 avec les identifiants Active Directory Microsoft d'AWS.

Q : Puis-je utiliser l'authentification Security Assertion Markup Language (SAML) 2.0 avec des applications cloud à l'aide d'AWS Microsoft AD ?

Oui. Vous pouvez utiliser Microsoft Active Directory Federation Services (AD FS) pour Windows 2016 avec votre domaine géré AWS Microsoft AD pour authentifier des utilisateurs dans des applications cloud prenant en charge SAML.

Q : Puis-je chiffrer les communications entre mes applications et AWS Microsoft AD avec LDAPS ?

Oui. AWS Microsoft AD prend en charge Lightweight Directory Access Protocol (LDAP) sur Secure Socket Layer (SSL) sur le port 636 et LDAP sur Transport Layer Security (TLS) sur le port 389, aussi connu comme étant LDAPS. Vous activez les deux types de communications LDAPS en installant un certificat sur vos contrôleurs de domaine AWS Microsoft AD à partir d'une autorité de certification (CA) Microsoft. Pour en savoir plus, consultez la section Comment activer LDAPS pour votre répertoire AWS Microsoft AD.

Q : Combien d'utilisateurs, de groupes, d'ordinateurs et d'objets au total sont pris en charge par AWS Microsoft AD ?

AWS Microsoft AD (édition Standard) inclut 1 Go de stockage d'objets de répertoire. Cette capacité peut prendre en charge jusqu'à 5 000 utilisateurs ou 30 000 objets de répertoire, dont des utilisateurs, des groupes et des ordinateurs. AWS Microsoft AD (édition Enterprise) inclut 17 Go de stockage d'objets de répertoire pouvant prendre en charge jusqu'à 100 000 utilisateurs ou 500 000 objets.

Q : Puis-je utiliser AWS Microsoft AD comme répertoire primaire ?

Oui. Vous pouvez l'utiliser comme répertoire primaire pour gérer des utilisateurs, des groupes, des ordinateurs et des objets de politique de groupe (GPO) dans le cloud. Vous pouvez gérer l'accès et proposer l'authentification unique (SSO) pour les applications et services AWS et pour des applications compatibles avec des répertoires tiers s'exécutant sur des instances Amazon EC2 dans le cloud AWS. De plus, vous pouvez utiliser Azure AD Connect et AD FS pour prendre en charge l'authentification unique pour les applications cloud, dont Office 365.

Q : Puis-je utiliser AWS Microsoft AD comme forêt de ressources ?

Oui. Vous pouvez utiliser AWS Microsoft AD comme forêt de ressources contenant principalement des ordinateurs et des groupes avec des relations de confiance avec votre répertoire sur site. Cela permet à vos utilisateurs d'accéder aux applications et ressources AWS avec leurs identifiants AD sur site.

Q : Qu'est-ce qu'une liaison de domaine en toute transparence ?

Une liaison de domaine en toute transparence est une fonction qui vous permet de lier vos instances Amazon EC2 pour Windows Server à un domaine, au lancement et depuis AWS Management Console. Vous pouvez lier des instances à un répertoire AWS Microsoft AD que vous lancez dans le cloud AWS.

Q : Comment lier en toute transparence une instance à un domaine ?

Lorsque vous créez une instance EC2 pour Windows et que vous la lancez à partir d'AWS Management Console, vous avez la possibilité de sélectionner le domaine auquel votre instance sera liée. Pour en savoir plus, consultez la documentation.

Q : Puis-je lier en toute transparence des instances EC2 pour Window existantes à un domaine ?

Il est impossible d'utiliser la fonctionnalité de liaison transparente à un domaine depuis AWS Management Console pour les instances EC2 Windows existantes. Il est cependant possible de lier des instances existantes à un domaine via l'API EC2 ou en exécutant PowerShell sur l'instance. Pour en savoir plus, consultez la documentation.

Q : Comment AWS Directory Service active-t-il la connexion SSO à AWS Management Console ?

AWS Directory Service vous permet d'attribuer des rôles IAM à des utilisateurs et des groupes AWS Microsoft AD ou Simple AD dans le cloud AWS, ainsi qu'à des utilisateurs et groupes Microsoft Active Directory existants sur site à l'aide du connecteur AD. Ces rôles contrôlent l'accès des utilisateurs aux services AWS en fonction des politiques IAM attribuées aux rôles. AWS Directory Service fournit alors une URL spécifique pour les clients renvoyant vers AWS Management Console, que les utilisateurs peuvent utiliser pour se connecter avec leurs informations d'identification d'entreprise. Pour en savoir plus sur cette fonctionnalité, consultez notre documentation.

Q : Puis-je utiliser AWS Microsoft AD pour les charges de travail AWS Cloud sujettes aux normes de conformité ?

Oui. AWS Microsoft AD a implémenté les contrôles nécessaies pour vous permettre de répondre aux exigences de la loi américaine Health Insurance Portability and Accountability Act (HIPAA) et est inclus en tant que service compris dans l'attestation de conformité et le récapitulatif des responsabilités Payment Card Industry Data Security Standard (PCI DSS)

Q : Comment puis-je accéder aux rapports de conformité et de sécurité ?

Pour accéder à une liste complète de documents relatifs à la conformité et à la sécurité dans le cloud AWS, consultez AWS Artifact

Q : Qu'est-ce que le Modèle AWS de responsabilité partagée ?

La sécurité, notamment la conformité HIPAA et PCI DSS, est une responsabilité partagée entre AWS et vous. Par exemple, il vous incombe de configurer vos politiques de mot de passe AWS Microsoft AD pour répondre aux exigences PCI DSS lorsque vous utilisez AWS Microsoft AD. Pour en savoir plus sur les mesures que vous devez prendre pour répondre aux exigences de conformité HIPAA et PCI DSS, consultez la documentation de conformité pour AWS Microsoft AD, lisez le livre blanc Architecture pour la sécurité et la conformité HIPAA sur Amazon Web Services et consultez les sections Conformité dans le cloud AWS, Conformité HIPAA et Conformité PCI DSS.


En cas de questions sur le connecteur AD et le répertoire Simple AD, veuillez consulter les autres options de répertoire d'AWS Directory Service.