- Sécurité, identité et conformité›
- AWS Directory Service›
- Fonctionnalités
Caractéristiques d'AWS Directory Service
AWS Directory Service permet aux entreprises de migrer facilement leurs charges de travail dépendantes d’Active Directory vers le cloud. En fournissant un Active Directory natif, entièrement géré et basé sur Windows Server, le service permet aux équipes informatiques de tirer parti de leurs compétences et applications AD existantes. Il fournit également des niveaux de sécurité et de fiabilité optimisés ainsi qu’une capacité de mise à l’échelle renforcée. Les entreprises peuvent facilement intégrer leur AD sur site à des services hébergés dans le cloud tels qu’Amazon RDS, FSx et EC2. De cette manière, elles bénéficient d’une expérience de gestion d’AD fiable, quel que soit l’environnement. Les fonctionnalités de sécurité du service, notamment le chiffrage de bout en bout et la conformité aux normes du secteur, protègent les données sensibles. De plus, grâce à des déploiements multirégionaux et à une gestion autonome, AWS Directory Service garantit la haute disponibilité de vos services d’annuaire critiques, même en cas de perturbations. Que vous soyez décideur chargé des systèmes informatiques, architecte ou directeur des systèmes d’information, AWS Directory Service rationalise votre parcours de transformation vers le cloud. Vous êtes en mesure de moderniser votre infrastructure AD et d’optimiser l’efficacité de votre personnel grâce à une gestion des identités sécurisée et évolutive.
Disponibilité, capacité de mise à l'échelle et résilience
Plusieurs zones de disponibilité
Les annuaires étant des infrastructures critiques, AWS Managed Microsoft AD est déployé dans une infrastructure AWS hautement disponible et dans plusieurs zones de disponibilité. Les contrôleurs de domaine sont déployés dans deux zones de disponibilité dans une région par défaut et connectés à votre cloud privé virtuel (VPC) Amazon. Les sauvegardes sont automatiquement effectuées une fois par jour et les volumes Amazon Elastic Block Store (EBS) sont cryptés pour s'assurer que les données sont sécurisées au repos. Les contrôleurs de domaine défaillants sont automatiquement remplacés dans la même zone de disponibilité utilisant la même adresse IP et une reprise après sinistre complète peut être exécutée à l'aide de la dernière sauvegarde.
Montez en puissance avec des contrôleurs de domaine supplémentaires
Lorsque vous créez votre annuaire pour la première fois, AWS Managed Microsoft AD déploie deux contrôleurs de domaine dans plusieurs zones de disponibilité, ce qui est nécessaire à des fins de haute disponibilité. Plus tard, vous pourrez déployer des contrôleurs de domaine supplémentaires via la console AWS Directory Service en spécifiant le nombre total de contrôleurs de domaine que vous souhaitez. AWS Managed Microsoft AD distribue les contrôleurs de domaine supplémentaires aux zones de disponibilité et aux sous-réseaux VPC sur lesquels votre annuaire est exécuté.
Infrastructure AD gérée
AWS Managed Microsoft AD s'exécute sur une infrastructure gérée AWS alimentée par Windows Server 2019. Lorsque vous sélectionnez et lancez ce type de répertoire, il est créé sous la forme d'une paire de contrôleurs de domaine hautement disponible connectés à votre cloud privé virtuel (VPC). Les contrôleurs de domaine fonctionnent dans différentes zones de disponibilité de la région de votre choix. La surveillance et la restauration de l'hôte, la réplication des données, les instantanés et les mises à jour logicielles sont configurés et gérés pour vous conformément au contrat de niveau de service (SLA) d'AWS Directory Service.
Instantanés quotidiens
AWS Managed Microsoft AD fournit des instantanés quotidiens automatisés et intégrés. Vous pouvez également réaliser des instantanés supplémentaires avant la mise à jour d'applications stratégiques pour vous assurer que vous disposez des données les plus récentes si vous deviez annuler un changement.
Gestion mondiale de la charge de travail
Réplication multi-régions
La réplication multi-régions vous permet de déployer et d'utiliser un répertoire AWS Managed Microsoft AD unique dans plusieurs régions AWS. Il est ainsi plus simple et plus rentable de déployer et de gérer vos charges de travail Microsoft Windows et Linux à l'échelle mondiale. Grâce à la capacité de réplication multirégionale automatisée, vous bénéficiez d'une plus grande résilience, tandis que vos applications utilisent un répertoire local pour de meilleures performances.
Partager un répertoire avec plusieurs comptes AWS
AWS Managed Microsoft AD s'intègre étroitement à AWS Organizations pour permettre un partage d'annuaires fluide entre plusieurs comptes AWS. Vous pouvez partager un répertoire unique avec d'autres comptes AWS approuvés au sein de la même organisation ou partager le répertoire avec d'autres comptes AWS extérieurs à votre organisation. Vous pouvez également partager votre annuaire lorsque votre compte AWS n'est actuellement pas membre d'une organisation.
Fonctionnalités natives de Windows 2019 AD
Liaison de domaines en toute transparence
AWS Managed Microsoft AD permet d'utiliser la liaison de domaine transparente pour les instances Amazon EC2 for Windows Server et Amazon EC2 for Linux nouvelles et existantes. Dans le cas des nouvelles instances EC2, vous pouvez choisir le domaine à lier au moment du lancement grâce à la console de gestion AWS. Vous pouvez utiliser la liaison de domaine transparente pour les instances EC2 existantes grâce au service EC2Config. Les instances Amazon EC2 peuvent également se lier à un seul annuaire partagé depuis n'importe quel compte AWS et Amazon VPC au sein d'une région AWS.
Stratégies de groupe
AWS Managed Microsoft AD vous permet de gérer les utilisateurs et les appareils à l'aide d'objets Stratégie de groupe Active Directory (GPO) natifs. Vous pouvez créer des objets Stratégie de groupe en utilisant les outils existantes tels que Console de gestion des stratégies de groupe.
Extension de schéma
Vous pouvez étendre votre schéma AWS Managed Microsoft AD en ajoutant de nouvelles classes d'objets et de nouveaux attributs. Vous pouvez également utiliser des extensions de schéma pour permettre la prise en charge des applications qui s'appuient sur des classes d'objets et des attributs Active Directory spécifiques. Cela peut être particulièrement utile lorsque vous devez migrer des applications d'entreprise qui dépendent d'AWS Managed Microsoft AD vers le cloud AWS. (Source)
Comptes de services gérés par le groupe
Les administrateurs peuvent gérer les comptes de service à l'aide d'une méthode appelée Group Managed Service Accounts (gMSAs). Grâce aux gMSAs, les administrateurs de services n'ont plus besoin de gérer manuellement la synchronisation des mots de passe entre les instances de service. Au lieu de cela, un administrateur pourrait simplement créer un gMSAs dans Active Directory, puis configurer plusieurs instances de service pour utiliser ce seul gMSAs. Pour accorder des autorisations permettant aux utilisateurs d'AWS Managed Microsoft AD de créer un gMSAs, vous devez ajouter leurs comptes en tant que membre du groupe de sécurité AWS Delegated Managed Service Account Administrators. Par défaut, le compte Admin est membre de ce groupe.
Assistance basée sur la confiance
Vous pouvez facilement intégrer AWS Managed Microsoft AD à votre annuaire AD existant en utilisant les relations de confiance AD. L'utilisation de trusts vous permet d'utiliser votre Active Directory existant pour contrôler quels utilisateurs AD peuvent accéder à vos ressources AWS.
Authentification unique
AWS Managed Microsoft AD utilise la même authentification Kerberos que votre annuaire AD sur site. En intégrant vos ressources AWS à AWS Managed Microsoft AD, vos utilisateurs AD peuvent se connecter avec SSO aux applications et ressources AWS en utilisant un seul ensemble d'informations d'identification.
Sécurité et conformité
Paramètres de sécurité du répertoire
Vous pouvez configurer des paramètres de répertoire précis pour votre AWS Managed Microsoft AD afin de répondre à vos exigences de conformité et de sécurité sans augmenter la charge de travail opérationnelle. Dans les paramètres du répertoire, vous pouvez mettre à jour la configuration des canaux sécurisés pour les protocoles et les chiffrements utilisés dans votre répertoire. Par exemple, vous avez la possibilité de désactiver les anciens chiffrements individuels, tels que RC4 ou DES, et les protocoles, tels que SSL 2.0/3.0 et TLS 1.0/1.1. AWS Managed Microsoft AD déploie ensuite la configuration sur tous les contrôleurs de domaine de votre annuaire, gère les redémarrages des contrôleurs de domaine et maintient cette configuration à mesure que vous montez en puissance ou déployez des régions AWS supplémentaires. Pour tous les paramètres disponibles, consultez la liste des paramètres de sécurité des annuaires.
LDAPS côté serveur
Le protocole LDAPS côté serveur chiffre les communications LDAP entre vos applications commerciales ou locales compatibles LDAP (agissant en tant que clients LDAP) et AWS Managed Microsoft AD (agissant en tant que serveur LDAP). Pour plus d'informations, consultez Activer le protocole LDAPS côté serveur à l'aide d'AWS Managed Microsoft AD.
LDAPS côté client
Le protocole LDAPS côté client chiffre les communications LDAP entre les applications AWS telles que WorkSpaces (agissant en tant que clients LDAP) et votre Active Directory autogéré (agissant en tant que serveur LDAP). Pour plus d'informations, consultez Activer le protocole LDAPS côté client à l'aide d'AWS Managed Microsoft AD.
Connecteur CA privé AWS pour Active Directory (AD)
L'intégration d'AWS Managed Microsoft AD et AD Connector au connecteur AWS Private Certificate Authority (AWS Private CA) pour AD vous permet d'inscrire des objets joints à un domaine AD, notamment des utilisateurs, des groupes et des machines, à l'aide de certificats émis par AWS Private CA. Vous pouvez utiliser AWS Private CA pour remplacer les autorités de certification autogérées de votre entreprise sans avoir à déployer, corriger ou mettre à jour des agents locaux ou des serveurs proxy. Vous pouvez configurer l'intégration d'AWS Private CA à votre annuaire en quelques clics ou par programmation via une API.
FedRAMP, HIPAA, éligible à la norme PCI, etc.
Vous pouvez utiliser AWS Managed Microsoft AD pour créer et exécuter des applications cloud compatibles avec la publicité qui sont soumises au programme fédéral de gestion des risques et des autorisations (FedRAMP), États-Unis. Programmes de conformité à la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) et à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) . AWS Managed Microsoft AD réduit les efforts requis pour déployer une infrastructure AD conforme pour vos applications en nuage, car vous gérez vos propres programmes de gestion des risques HIPAA, PCI DSS ou la certification de conformité FedRAMP. Consultez la liste complète des programmes de conformité auxquels AWS Managed AD est éligible.
Surveillance, journalisation et observabilité
Surveillance de l'état des annuaires
À l'aide d'Amazon Simple Notification Service (Amazon SNS), vous pouvez recevoir des e-mails ou des SMS lorsque le statut de votre annuaire change. Vous recevez une notification si votre répertoire passe du statut actif à l'état altéré ou inutilisable. Vous recevez également une notification lorsque l'annuaire redevient actif.
Métriques du contrôleur de domaine
AWS Directory Service s'intègre à Amazon CloudWatch afin de vous fournir des métriques de performance importantes pour chaque contrôleur de domaine de votre annuaire. Cela signifie que vous pouvez surveiller les compteurs de performance des contrôleurs de domaine, tels que l'utilisation du processeur et de la mémoire. Vous pouvez également configurer des alarmes et lancer des actions automatisées pour répondre aux périodes de forte utilisation.
Surveillez les journaux dans Amazon CloudWatch et plus encore
Utilisez la console AWS Directory Service ou les API pour transférer les journaux des événements de sécurité du contrôleur de domaine vers Amazon CloudWatch Logs. Cela vous aide à répondre à vos exigences en matière de sécurité, d'audit et de conservation des journaux en assurant la transparence des événements de sécurité dans votre répertoire. Vous pouvez également transférer les journaux des événements de sécurité de votre annuaire vers Amazon CloudWatch Logs sur le compte Amazon Web Services (AWS) de votre choix, et surveiller les événements de manière centralisée à l'aide des services AWS ou d'applications tierces telles que Splunk, un partenaire technologique avancé du réseau de partenaires AWS (APN)doté de la compétence de sécurité AWS.
Intégration d'applications AWS
Accès fédéré au compte et aux applications AWS
Vous pouvez permettre à vos utilisateurs AD sur site de se connecter à la console de gestion AWS et à AWS CLI avec leurs informations d'identification AD existantes avec AWS Identity Center (successeur d'AWS SSO) en sélectionnant AWS Managed Microsoft AD comme source d'identité. Ainsi, les utilisateurs peuvent assurer l'un des rôles qui leur ont été attribués lors de l'inscription, et accéder aux ressources et d'agir sur celles-ci selon les autorisations définies pour le rôle. Une autre option consiste à utiliser AWS Managed Microsoft AD pour permettre à vos utilisateurs d'assurer un rôle gestion des identités et des accès AWS (IAM).
Intégration fluide des annuaires aux applications AWS
AWS Managed Microsoft AD vous permet d'utiliser un seul annuaire pour vos charges de travail prenant en charge l'annuaire dans les ressources AWS, comme vos instances Amazon EC2, vos instances Amazon RDS for SQL Server et vos services AWS End User Computing, tels qu'Amazon WorkSpaces. Le partage d'un annuaire permet à vos charges de travail compatibles avec l'annuaire de gérer des instances Amazon EC2 sur plusieurs comptes AWS et Amazon VPC au sein d'une région. De plus, vous n'avez pas besoin de répliquer et de synchroniser les données entre plusieurs répertoires.