Domande generali

Cos’è AWS Directory Service?

AWS Directory Service è un’offerta di servizi gestiti che ti fornisce un certo numero di directory con informazioni sulla tua organizzazione, fra cui utenti, gruppi, computer e altre risorse. Trattandosi di un’offerta gestita, AWS Directory Service è studiata per ridurre le attività di gestione, consentendoti così di dedicare una frazione maggiore del tuo tempo e delle tue risorse alla tua attività. Non occorre creare una propria topologia di directory complessa ad alta disponibilità, perché ogni directory viene distribuita su più zone di disponibilità e il monitoraggio rileva e sostituisce automaticamente eventuali controller di dominio con errori. Vengono inoltre configurati per te snapshot quotidiani automatici e repliche dei dati. Non occorre installare software e AWS si occupa dei patch e degli aggiornamenti del software.

Cosa è possibile fare con AWS Directory Service?

AWS Directory Service ti consente di configurare ed eseguire facilmente directory nel cloud AWS, oppure collegare le tue risorse AWS a una Microsoft Active Directory locale esistente. Una volta creata una directory, puoi utilizzarla per gestire utenti e gruppi, fornire single sign-on ad applicazioni e servizi, creare e applicare oggetti Criteri di gruppo e aggiungere istanze Amazon EC2 a un dominio, nonché per semplificare la distribuzione e la gestione di carichi di lavoro Linux e Microsoft Windows basati sul cloud. AWS Directory Service consente ai tuoi utenti finali di usare le loro credenziali aziendali esistenti quando accedono ad applicazioni AWS quali Amazon WorkSpaces, Amazon WorkDocs e Amazon WorkMail, nonché a carichi di lavoro Microsoft basati sulle directory, come le applicazioni personalizzate .NET o basate su SQL Server. Puoi infine utilizzare le tue credenziali aziendali esistenti per amministrare le risorse AWS tramite l'accesso alla Console di gestione AWS in base al ruolo di AWS Identity and Access Management (IAM), evitando la necessità di creare ulteriori infrastrutture di federazione delle identità.

Come si crea una directory?

Per creare una directory, puoi usare la Console di gestione AWS o l'API. Devi semplicemente fornire alcune informazioni di base, come un nome di dominio pienamente qualificato (FQDN) per la tua directory, un nome e una password di account di amministratore e il VPC cui desideri sia collegata la directory.

Posso aggiungere un’istanza Amazon EC2 esistente a una directory di AWS Directory Service?

Sì, per aggiungere un'istanza EC2 esistente che esegue Linux o Windows a una AWS Managed Microsoft AD, puoi utilizzare la Console di gestione AWS o l'API.

Le API sono supportate per AWS Directory Service?

Le API pubbliche sono supportate per la creazione e la gestione delle directory. Ora puoi gestire le directory in modo programmatico usando le API pubbliche. Le API sono disponibili tramite l’interfaccia CLI e il kit SDK di AWS. Per ulteriori informazioni sulle API, consulta la documentazione di AWS Directory Service.

AWS Directory Service supporta la registrazione di log CloudTrail?

Sì. Le azioni eseguite tramite le API di AWS Directory Service o la console di gestione sono incluse nei tuoi log di controllo di CloudTrail.

Posso ricevere degli avvisi quando lo stato della mia directory cambia?

Sì. Puoi configurare Amazon Simple Notification Service (SNS) per ricevere messaggi e-mail e di testo quando si verificano variazioni dello stato del tuo servizio AWS Directory Service. Amazon SNS utilizza opportuni argomenti per la raccolta e la distribuzione dei messaggi ai sottoscrittori. Quando rileva una variazione dello stato di una tua directory, AWS Directory Service pubblica un messaggio sul relativo argomento, che viene successivamente inviato ai sottoscrittori di tale argomento. Per ulteriori informazioni, consulta la documentazione.

Quanto costa AWS Directory Service?

Per maggiori informazioni, consulta la pagina Prezzi.

È possibile applicare tag a una directory?

Sì. AWS Directory Service supporta l'applicazione di tag per l'allocazione dei costi. Grazie ai tag è più semplice suddividere i costi e ottimizzare le spese dividendo per categoria e raggruppando le risorse AWS. Ad esempio, puoi utilizzare tag per raggruppare le risorse in base ad amministratore, nome applicazione, centro di costo o progetto specifico.

In quali regioni AWS è disponibile AWS Directory Service?

Per ulteriori informazioni sulla disponibilità del servizio Amazon Directory Services, consulta la sezione relativa a prodotti e servizi per regione

AWS Managed Microsoft AD

Come si crea una directory di AWS Managed Microsoft AD?

Per creare una directory di AWS Managed Microsoft AD, puoi lanciare la console di AWS Directory Service dalla Console di gestione AWS. In alternativa, puoi usare il kit SDK AWS o l'interfaccia a riga di comando di AWS.

Come sono distribuite le directory di AWS Managed Microsoft AD?

Le directory di AWS Managed Microsoft AD sono distribuite di default su due zone di disponibilità di una regione e sono collegate al cloud privato virtuale o VPC. I backup vengono eseguiti automaticamente una volta al giorno, e i volumi Amazon Elastic Block Store (EBS) vengono crittografati per garantire la protezione dei dati durante i periodi di inattività. I controller di dominio con errori vengono sostituiti automaticamente nella stessa zona di disponibilità utilizzando il medesimo indirizzo IP, e il backup più recente può essere impiegato per eseguire un disaster recovery completo.

È possibile configurare i parametri di storage, GPU e memoria della mia directory AWS Managed Microsoft AD?

No. Attualmente questa funzionalità non è supportata.

Come posso fare per gestire gli utenti e i gruppi per AWS Managed Microsoft AD?

Puoi usare gli strumenti esistenti di Active Directory in esecuzione su computer Windows aggiunti al dominio di AWS Managed Microsoft AD per gestire utenti e gruppi nelle relative directory. Non è necessario usare strumenti, policy o modifiche di comportamento particolari.

Quali sono le differenze tra le autorizzazioni di amministratore in AWS Managed Microsoft AD e in Active Directory in esecuzione nelle istanze Amazon EC2 Windows?

Per offrire un servizio gestito, AWS Managed Microsoft AD deve impedire ai clienti le operazioni che potrebbero interferire con la gestione del servizio. Di conseguenza, AWS non consente a Windows PowerShell l'accesso alle istanze della directory e restringe l'accesso a oggetti, ruoli e gruppi della directory che richiedono privilegi elevati. AWS Managed Microsoft AD non consente l'accesso host diretto ai controller di dominio tramite Telnet, Secure Shell (SSH) o Windows Remote Desktop Connection. Quando crei una directory di AWS Managed Microsoft AD, ti viene assegnata un'unità organizzativa o OU (Organizational Unit) e un account di amministratore con in delega i diritti di amministratore per l'unità. Puoi creare account utente, gruppi e criteri all'interno dell'unità tramite gli Strumenti di amministrazione remota del server standard, ad esempio Utenti e gruppi di Active Directory.

È possibile usare Microsoft Network Policy Server (NPS) con AWS Managed Microsoft AD?

Sì. L'account di amministratore creato al momento dell'impostazione di AWS Managed Microsoft AD dispone della delega per i diritti di gestione sui gruppi di sicurezza Remote Access Service (RAS) e Internet Authentication Service (IAS). In questo modo è possibile registrare NPS con AWS Managed Microsoft AD e gestire le policy di accesso alla rete per gli account nel dominio.

AWS Managed Microsoft AD supporta le estensioni di schema?

Sì. AWS Managed Microsoft AD supporta le estensioni di schema inviate al servizio in formato di interscambio di dati LDAP (LDIF). La parte centrale degli schemi di Active Directory può essere estesa ma non modificata.

Quali applicazioni sono compatibili con AWS Managed Microsoft AD?

Le seguenti applicazioni sono compatibili con AWS Managed Microsoft AD:

  • Amazon Chime
  • Amazon Connect
  • Amazon EC2
  • Amazon RDS per SQL Server
  • Amazon QuickSight
  • Amazon WorkDocs
  • Amazon WorkMail
  • Amazon WorkSpaces
  • Console di gestione AWS
  • Active Directory Federation Services (AD FS)
  • Server di applicazioni (.NET)
  • Azure Active Directory (AD) Connect
  • Autorità di certificazione d'impresa
  • Sistema di gestione delle licenze per desktop remoto
  • SharePoint Server
  • SQL Server

Tieni presente che non tutte le configurazioni di queste applicazioni potrebbero essere supportate.

Posso integrare le mie Microsoft Active Directory locali esistenti con AWS Managed Microsoft AD?

AWS non offre strumenti per eseguire la migrazione di un Active Directory autogestita in AWS Managed Microsoft AD. Per completare la migrazione è necessario studiare una strategia che includa la riconfigurazione delle password e implementarla tramite Strumenti di amministrazione remota del server.

È possibile configurare forwarder e trust condizionali nella console di Directory Service?

Sì. Puoi configurare forwarder e trust condizionali per AWS Managed Microsoft AD utilizzando la console di Directory Service o l'API.

È possibile aggiungere manualmente ulteriori controller di dominio a una directory AWS Managed Microsoft AD?

Sì. Puoi aggiungere ulteriori controller di dominio al tuo dominio gestito tramite la console di AWS Directory Service o l'API. Tieni presente che la promozione manuale di istanze di Amazon EC2 nei controller di dominio non è supportata.

Posso utilizzare Microsoft Office 365 con account utente gestiti in AWS Managed Microsoft AD?

Sì. Puoi sincronizzare le identità da AWS Managed Microsoft AD ad Azure AD utilizzando Azure AD Connect e utilizzare Microsoft Active Directory Federation Services (AD FS) per Windows 2016 con AWS Managed Microsoft AD per autenticare gli utenti Office 365. Per istruzioni passo per passo, consulta Come permettere agli utenti l'accesso a Office 365 con le credenziali AWS per Microsoft Active Directory.

Posso utilizzare l'autenticazione basata su Security Assertion Markup Language (SAML) 2.0 con le applicazioni cloud che utilizzano AWS Managed Microsoft AD?

Sì. Puoi utilizzare Microsoft Active Directory Federation Services (AD FS) per Windows 2016 con il tuo dominio gestito AWS Managed Microsoft AD per autenticare gli utenti alle applicazioni cloud che supportano SAML.

È possibile crittografare le comunicazioni tra le mie applicazioni e AWS Managed Microsoft AD utilizzando LDAPS?

Sì. AWS Managed Microsoft AD supporta Lightweight Directory Access Protocol (LDAP) su Secure Socket Layer (SSL) nella porta 636 e LDAP su Transport Layer Security (TLS) nella porta 389, noto anche come LDAPS. Puoi abilitare entrambi i tipi di comunicazione LDAPS installando un certificato sui tuoi controller di dominio AWS Managed Microsoft AD da una Microsoft Certificate Authority (CA). Per maggiori informazioni, consulta Come abilitare il protocollo LDAPS per la directory AWS Managed Microsoft AD.

Quanti utenti, gruppi, computer e oggetti totali supporta AWS Managed Microsoft AD?

AWS Managed Microsoft AD (Standard Edition) include 1 GB di storage di oggetti di directory. Questa capacità è in grado di supportare fino a 5.000 utenti o 30.000 oggetti di directory che comprendono utenti, gruppi e computer. AWS Managed Microsoft AD (Enterprise Edition) include 17 GB di storage di oggetti di directory, per supportare fino a 100.000 utenti o 500.000 oggetti.

Posso utilizzare AWS Managed Microsoft AD come directory principale?

Sì. Puoi utilizzarlo come directory principale per gestire utenti, gruppi, computer e oggetti Criteri di gruppo (GPO) nel cloud. Puoi gestire gli accessi e fornire funzionalità Single sign-on (SSO) alle applicazioni e ai servizi AWS e ad applicazioni basate sulle directory di terze parti che eseguono le istanze di Amazon EC2 nel cloud AWS. Inoltre, puoi utilizzare Azure AD Connect e AD FS per supportare SSO nelle applicazioni cloud, compreso Office 365.

Posso utilizzare AWS Managed Microsoft AD come resource forest?

Sì. Puoi utilizzare AWS Managed Microsoft AD come resource forest contenente principalmente computer e gruppi con relazioni di trust per la tua directory locale. Questo permette ai tuoi utenti di accedere alle applicazioni e risorse AWS con le loro credenziali AD locali.

Aggiunta ai domini ottimizzata

Cos'è l'aggiunta ai domini ottimizzata?

L'aggiunta ai domini ottimizzata è una caratteristica che consente di aggiungere al momento del lancio le istanze di Amazon EC2 per Windows Server a un dominio senza soluzione di continuità, tramite la Console di gestione AWS. È possibile aggiungere le istanze avviate nel cloud AWS ad AWS Managed Microsoft AD.

In che modo è possibile aggiungere in modo ottimizzato un'istanza a un dominio?

Quando crei e lanci un’istanza EC2 per Windows dalla Console di gestione AWS, hai la possibilità di scegliere il dominio cui tale istanza viene aggiunta. Per ulteriori informazioni, consultare la documentazione.

È possibile aggiungere istanze EC2 per Windows Server esistenti in modo ottimizzato a un dominio?

Non è possibile utilizzare l'aggiunta ai domini ottimizzata dalla Console di gestione AWS per le istanze EC2 per Windows Server, ma è possibile aggiungere istanze esistenti a un dominio con l'API EC2 o utilizzando PowerShell sull'istanza. Per ulteriori informazioni, consultare la documentazione.

Integrazione con IAM

In che modo AWS Directory Service abilita la funzione Single Sign-On (SSO) sulla Console di gestione AWS?

AWS Directory Service ti permette di assegnare ruoli IAM agli utenti e ai gruppi di AWS Managed Microsoft AD o Simple AD nel cloud AWS, nonché agli utenti e ai gruppi di una Microsoft Active Directory locale esistente utilizzando AD Connector. Tali ruoli controllano l’accesso degli utenti ai servizi AWS in base alle policy IAM assegnate ai ruoli stessi. AWS Directory Service fornisce per la Console di gestione AWS un URL specifico per ciascun cliente, che gli utenti possono utilizzare per l’accesso con le loro credenziali aziendali esistenti. Per ulteriori informazioni su questa funzione, consulta la nostra documentazione

Conformità

Posso utilizzare AWS Managed Microsoft AD per i carichi di lavoro AWS Cloud soggetti a standard di conformità?

Sì. AWS Managed Microsoft AD ha implementato i controlli necessari a permetterti di soddisfare i requisiti di idoneità alla normativa Health Insurance Portability and Accountability Act (HIPAA) degli Stati Uniti ed è incluso come servizio in esame nell’attestazione di conformità e riepilogo di responsabilità Payment Card Industry Data Security Standard (PCI DSS).

Come posso accedere ai report di conformità e sicurezza?

Per accedere a un elenco completo di documenti relativi a conformità e sicurezza nel cloud AWS, consulta AWS Artifact.

Cos'è il modello di responsabilità condivisa di AWS?

La sicurezza, comprendente la conformità HIPAA e PCI DSS, è una responsabilità condivisa tra te e AWS. Ad esempio, è tua responsabilità configurare le tue policy per le password di AWS Managed Microsoft AD in modo da soddisfare i requisiti PCI DSS quando utilizzi AWS Managed Microsoft AD. Per maggiori informazioni sulle azioni che potresti dover effettuare per rispettare i requisiti di conformità HIPAA e PCI DSS, consulta la documentazione sulla conformità per AWS Managed Microsoft AD, leggi il whitepaper Progettazione per la sicurezza e la conformità HIPAA in Amazon Web Services e consulta Conformità di sicurezza nel cloud AWSConformità HIPAAConformità PCI DSS.


Per ulteriori informazioni su AD Connector o Simple AD, consulta la pagina relative alle altre directory per AWS Directory Service.

Ulteriori informazioni su AWS Directory Service

Visita la pagina delle caratteristiche
Tutto pronto per cominciare?
Inizia a usare AWS Directory Service
Hai altre domande?
Contattaci