déploiement de référence

Microsoft Active Directory compatible CMMC sur AWS

Préparer votre environnement Active Directory en vue de la conformité avec CMMC

Afficher le guide de déploiement

Ce Quick Start est destiné aux utilisateurs qui doivent déployer un environnement Microsoft Active Directory conforme à la certification CMMC (Cybersecurity Maturity Model Certification). La certification CMMC est requise pour les sous-traitants du Département de la Défense des États‑Unis.

L'architecture du Quick Start est conçue pour les organisations qui exécutent des applications nécessitant une connexion sécurisée à faible latence à Active Directory Domain Services, au système de noms de domaine (DNS) et aux services d'autorité de certification, tout en conservant la conformité avec CMMC. 

Le modèle du Quick Start utilise plusieurs services et ressources, y compris AWS Key Management Service (AWS KMS), Amazon API Gateway, les sources de téléchargement de fichiers contrôlées par le client et la mise en œuvre des Guides d'implémentation technique de la sécurité de la Defense Information Systems Agency.

Le déploiement de ce Quick Start ne garantit pas qu'une organisation est conforme à des lois, à des certifications, à des politiques ou à d'autres réglementations.

Logo AWS

Ce Quick Start a été développé par AWS.

  •  Votre projet de création

  • Ce Quick Start permet de configurer les éléments suivants :

    • Une architecture hautement disponible couvrant deux zones de disponibilité.*
    • Un VPC configuré avec des sous-réseaux publics et privés conformément aux bonnes pratiques AWS, afin de vous fournir votre propre réseau virtuel sur AWS.*
    • Dans les sous-réseaux publics :
      • Des passerelles NAT (Network Address Translation) gérées pour autoriser l'accès Internet sortant pour les ressources des sous-réseaux privés.*
      • Une passerelle Bureau à distance (RD) dans un groupe Auto Scaling pour autoriser un accès RDP (Remote Desktop Protocol) entrant aux instances Amazon Elastic Compute Cloud (Amazon EC2) dans les sous-réseaux publics et privés. Une passerelle RD n'est déployée dans la zone de disponibilité 2 que si la zone de disponibilité 1 est indisponible.*
    • Dans les sous-réseaux privés :
      • Une autorité de certification racine hors ligne.
      • Deux contrôleurs de domaine Active Directory.
      • Une autorité de certification subordonnée en ligne.
    • Des points de terminaison FIPS (Federal Information Processing Standards) d'Amazon Simple Storage Service (Amazon S3) pour accéder à des objets de politique de groupe (GPO), des journaux, des listes de révocation de certificats et des fichiers de configuration.
    • Des fonctions Lambda pour rechercher et importer de nouveaux GPO.
    • AWS Systems Manager automation pour importer des GPO, et configurer les contrôleurs de domaine Active Directory et l'autorité de certification.
    • AWS Secrets Manager pour stocker des informations d'identification.
    • Une clé principale client AWS KMS à utiliser avec le chiffrement Amazon Elastic Block Store (Amazon EBS) et AWS Secrets Manager.
    • Des volumes Amazon EBS chiffrés pour les instances Amazon EC2.

    * Le modèle qui déploie le Quick Start dans un VPC existant ignore les composants marqués d'un astérisque et vous demande d'indiquer la configuration de votre VPC existant. 

  •  Procédure de déploiement

  • Pour déployer Microsoft Active Directory compatible CMMC, suivez les instructions du guide de déploiement. Un déploiement standard comprend les étapes suivantes et dure environ 1 heure :

    1. Si vous n'avez pas encore de compte AWS, inscrivez-vous à l'adresse https://aws.amazon.com et connectez-vous à votre compte.
    2. Déployez le Quick Start dans un nouveau VPC ou un VPC existant. Sélectionnez la région dans la barre d'outils supérieure avant de créer la pile. 
    3. Effectuez les tâches post-déploiement. 

    Amazon peut être amené à partager les informations relatives au déploiement des utilisateurs avec le partenaire AWS qui a élaboré cette solution en collaboration avec AWS.  

    Pour plus d'informations, consultez le guide de déploiement
  •  Coût et licences

  • Ce Quick Start lance l'AMI (Amazon Machine Image) pour Microsoft Windows Server 2019 et inclut la licence pour le système d'exploitation Windows Server. L'AMI est régulièrement mise à jour avec le service pack le plus récent pour le système d'exploitation. Vous n'avez donc pas à installer de mises à jour. L'AMI Windows Server inclut deux licences Microsoft Remote Desktop Services. L'AMI Windows Server ne nécessite aucune licence d'accès client. Pour en savoir plus, consultez la section Licences Microsoft sur AWS.

    Vous êtes responsable du coût des services AWS et des licences tierces utilisées pendant l'exécution du déploiement de référence de ce Quick Start. L'utilisation du Quick Start n'entraîne aucun coût supplémentaire.

    Les modèles AWS CloudFormation pour ce Quick Start incluent des paramètres de configuration que vous pouvez personnaliser. Certains de ces paramètres, comme le type d'instance, affectent le coût du déploiement. Consultez les pages de tarification pour les estimations de coûts de chaque service AWS que vous utilisez. Les prix sont susceptibles d'être modifiés.

    Conseil : Une fois le Quick Start déployé, créez des rapports AWS Cost and Usage Report pour un suivi des coûts associés au Quick Start. Ces rapports fournissent des métriques de facturation à un compartiment Amazon Simple Storage Service (Amazon S3) dans votre compte. Ils fournissent des estimations de coûts basées sur l'utilisation mensuelle et agrègent les données à la fin du mois. Pour plus d'informations, consultez la section Présentation des rapports AWS Cost and Usage Report.