D: Cos’è AWS Directory Service?

AWS Directory Service è un’offerta di servizi gestiti che ti fornisce un certo numero di directory con informazioni sulla tua organizzazione, fra cui utenti, gruppi, computer e altre risorse. Trattandosi di un’offerta gestita, AWS Directory Service è studiata per ridurre le attività di gestione, consentendoti così di dedicare una frazione maggiore del tuo tempo e delle tue risorse alla tua attività. Non occorre creare una propria topologia di directory complessa ad alta disponibilità, perché ogni directory viene distribuita su più zone di disponibilità e il monitoraggio rileva e sostituisce automaticamente eventuali controller di dominio con errori. Vengono inoltre configurati per te snapshot quotidiani automatici e repliche dei dati. Non occorre installare alcun software, e AWS si occupa di patch e aggiornamenti del software.

D: Cosa è possibile fare con AWS Directory Service?

AWS Directory Service ti consente di configurare ed eseguire facilmente directory nel cloud AWS, oppure collegare le tue risorse AWS a una Microsoft Active Directory locale esistente. Una volta creata una directory, puoi utilizzarla per gestire utenti e gruppi, fornire single sign-on ad applicazioni e servizi, creare e applicare oggetti Criteri di gruppo e aggiungere istanze Amazon EC2 a un dominio, nonché per semplificare la distribuzione e la gestione di carichi di lavoro Linux e Microsoft Windows basati sul cloud. AWS Directory Service consente ai tuoi utenti finali di usare le loro credenziali aziendali esistenti quando accedono ad applicazioni AWS quali Amazon WorkSpaces, Amazon WorkDocs e Amazon WorkMail, nonché a carichi di lavoro Microsoft basati sulle directory, come le applicazioni personalizzate .NET o basate su SQL Server. Puoi infine utilizzare le tue credenziali aziendali esistenti per amministrare le risorse AWS tramite l'accesso alla Console di gestione AWS in base al ruolo di AWS Identity and Access Management (IAM), evitando la necessità di creare ulteriori infrastrutture di federazione delle identità.

D: Come si crea una directory?

Per creare una directory, puoi usare la Console di gestione AWS o l'API. Devi semplicemente fornire alcune informazioni di base, come un nome di dominio pienamente qualificato (FQDN) per la tua directory, un nome e una password di account di amministratore e il VPC cui desideri sia collegata la directory.

D: Posso aggiungere un’istanza Amazon EC2 esistente a una directory di AWS Directory Service?

Sì, per aggiungere un'istanza EC2 esistente che esegue Linux o Windows a una AWS Microsoft AD puoi utilizzare la Console di gestione AWS o l'API.

D: Le API sono supportate per AWS Directory Service?

Le API pubbliche sono supportate per la creazione e la gestione delle directory. Ora puoi gestire le directory in modo programmatico usando le API pubbliche. Le API sono disponibili tramite l’interfaccia CLI e il kit SDK di AWS. Per ulteriori informazioni sulle API, consulta la documentazione di AWS Directory Service.

D: AWS Directory Service supporta la registrazione di log CloudTrail?

Sì. Le azioni eseguite tramite le API di AWS Directory Service o la console di gestione sono incluse nei tuoi log di controllo di CloudTrail.

D: Posso ricevere degli avvisi quando lo stato della mia directory cambia?

Sì. Puoi configurare Amazon Simple Notification Service (SNS) per ricevere messaggi e-mail e di testo quando si verificano variazioni dello stato del tuo servizio AWS Directory Service. Amazon SNS utilizza opportuni argomenti per la raccolta e la distribuzione dei messaggi ai sottoscrittori. Quando rileva una variazione dello stato di una tua directory, AWS Directory Service pubblica un messaggio sul relativo argomento, che viene successivamente inviato ai sottoscrittori di tale argomento. Per ulteriori informazioni, consulta la documentazione.

D: Quanto costa AWS Directory Service?

Per maggiori informazioni, consulta la pagina Prezzi.

D: È possibile applicare tag a una directory?

Sì. AWS Directory Service supporta l'applicazione di tag per l'allocazione dei costi. Grazie ai tag è più semplice suddividere i costi e ottimizzare le spese dividendo per categoria e raggruppando le risorse AWS. Ad esempio, puoi utilizzare tag per raggruppare le risorse in base ad amministratore, nome applicazione, centro di costo o progetto specifico.

D: In quali regioni AWS è disponibile AWS Directory Service?

Per ulteriori informazioni sulla disponibilità del servizio Amazon Directory Services, consulta la sezione relativa a prodotti e servizi per regione

D: Come si crea una directory di AWS Microsoft AD?

Per creare una directory di AWS Microsoft AD, puoi lanciare la console di AWS Directory Service dalla Console di gestione AWS. In alternativa, puoi usare il kit SDK AWS o l'interfaccia a riga di comando di AWS.

D: Come sono distribuite le directory di AWS Microsoft AD?

Le directory di AWS Microsoft AD sono distribuite di default su due zone di disponibilità di una regione e sono collegate al cloud privato virtuale o VPC. I backup vengono eseguiti automaticamente una volta al giorno, e i volumi Amazon Elastic Block Store (EBS) vengono crittografati per garantire la protezione dei dati durante i periodi di inattività. I controller di dominio con errori vengono sostituiti automaticamente nella stessa zona di disponibilità utilizzando il medesimo indirizzo IP, e il backup più recente può essere impiegato per eseguire un disaster recovery completo.

D: È possibile configurare i parametri di storage, GPU e memoria della mia directory AWS Microsoft AD?

No. Attualmente questa funzionalità non è supportata.

D: Come posso fare per gestire gli utenti e i gruppi per AWS Microsoft AD?

Puoi usare gli strumenti esistenti di Active Directory in esecuzione su computer Windows aggiunti al dominio di AWS Microsoft AD per gestire utenti e gruppi nelle relative directory. Non è necessario usare strumenti, policy o modifiche di comportamento particolari.

D: Quali sono le differenze tra le autorizzazioni di amministratore in AWS Microsoft AD e in Active Directory in esecuzione nelle istanze Amazon EC2 Windows?

Per offrire un servizio gestito, AWS Microsoft AD deve impedire ai clienti le operazioni che potrebbero interferire con la gestione del servizio. Di conseguenza, AWS non consente a Windows PowerShell l'accesso alle istanze della directory e restringe l'accesso a oggetti, ruoli e gruppi della directory che richiedono privilegi elevati. AWS Microsoft AD non consente l'accesso host diretto ai controller di dominio tramite Telnet, Secure Shell (SSH) o Windows Remote Desktop Connection. Quando crei una directory di AWS Microsoft AD, ti viene assegnata un'unità organizzativa o OU (Organizational Unit) e un account di amministratore con in delega i diritti di amministratore per l'unità. Puoi creare account utente, gruppi e criteri all'interno dell'unità tramite gli Strumenti di amministrazione remota del server standard, ad esempio Utenti e gruppi di Active Directory.

D: È possibile usare Microsoft Network Policy Server (NPS) con AWS Microsoft AD?

Sì. L'account di amministratore creato al momento dell'impostazione di AWS Microsoft AD dispone della delega per i diritti di gestione sui gruppi di sicurezza Remote Access Service (RAS) e Internet Authentication Service (IAS). In questo modo è possibile registrare NPS con AWS Microsoft AD e gestire le policy di accesso alla rete per gli account nel dominio.

D: AWS Microsoft AD supporta le estensioni di schema?

Sì. AWS Microsoft AD supporta le estensioni di schema inviate al servizio in formato di interscambio di dati LDAP (LDIF). La parte centrale degli schemi di Active Directory può essere estesa ma non modificata.

D: Quali applicazioni sono compatibili con AWS Microsoft AD?

Le seguenti applicazioni sono compatibili con AWS Microsoft AD:

  • Amazon Chime
  • Amazon Connect
  • Amazon EC2
  • Amazon RDS per SQL Server
  • Amazon QuickSight
  • Amazon WorkDocs
  • Amazon WorkMail
  • Amazon WorkSpaces
  • Console di gestione AWS
  • Active Directory Federation Services (AD FS)
  • Server di applicazioni (.NET)
  • Azure Active Directory (AD) Connect
  • Autorità di certificazione d'impresa
  • Sistema di gestione delle licenze per desktop remoto
  • SharePoint Server
  • SQL Server  

Tieni presente che non tutte le configurazioni di queste applicazioni potrebbero essere supportate.

D: Posso integrare le mie Microsoft Active Directory locali esistenti con AWS Microsoft AD?

AWS non offre strumenti per eseguire la migrazione di un Active Directory autogestita in AWS Microsoft AD. Per completare la migrazione è necessario studiare una strategia che includa la riconfigurazione delle password e implementarla tramite Strumenti di amministrazione remota del server.

D: È possibile configurare forwarder e trust condizionali nella console di Directory Service?

Sì. Puoi configurare forwarder e trust condizionali per AWS Microsoft AD utilizzando la console di Directory Service o l'API.

D: È possibile aggiungere manualmente ulteriori controller di dominio a una directory AWS Microsoft AD?

Sì. Puoi aggiungere ulteriori controller di dominio al tuo dominio gestito tramite la console di AWS Directory Service o l'API. Tieni presente che la promozione manuale di istanze di Amazon EC2 nei controller di dominio non è supportata.

D: Posso utilizzare Microsoft Office 365 con account utente gestiti in AWS Microsoft AD?

Sì. Puoi sincronizzare le identità da AWS Microsoft AD ad Azure AD utilizzando Azure AD Connect e utilizzare Active Directory Federation Services (AD FS) per Windows 2016 con AWS Microsoft AD per autenticare gli utenti Office 365. Per istruzioni passo per passo, consulta Come permettere agli utenti l'accesso a Office 365 con le credenziali AWS per Microsoft Active Directory.  

D: Posso utilizzare l'autenticazione basata su Security Assertion Markup Language (SAML) 2.0 con le applicazioni cloud che utilizzano AWS Microsoft AD?

Sì. Puoi utilizzare Microsoft Active Directory Federation Services (AD FS) per Windows 2016 con il tuo dominio gestito AWS Microsoft AD per autenticare gli utenti alle applicazioni cloud che supportano SAML.

D: È possibile crittografare le comunicazioni tra le mie applicazioni e AWS Microsoft AD utilizzando LDAPS?

Sì. AWS Microsoft AD supporta Lightweight Directory Access Protocol (LDAP) su Secure Socket Layer (SSL) nella porta 636 e LDAP su Transport Layer Security (TLS) nella porta 389, noto anche come LDAPS. Puoi abilitare entrambi i tipi di comunicazione LDAPS installando un certificato sui tuoi controller di dominio AWS Microsoft AD da una Microsoft Certificate Authority (CA). Per maggiori informazioni, consulta Come abilitare il protocollo LDAPS per la directory AWS Microsoft AD.

D: Quanti utenti, gruppi, computer e oggetti totali supporta AWS Microsoft AD?

AWS Microsoft AD (Standard Edition) include 1 GB di storage di oggetti di directory. Questa capacità è in grado di supportare fino a 5.000 utenti o 30.000 oggetti di directory che comprendono utenti, gruppi e computer. AWS Microsoft AD (Enterprise Edition) include 17 GB di storage di oggetti di directory, per supportare fino a 100.000 utenti o 500.000 oggetti.

D: Posso utilizzare AWS Microsoft AD come directory principale?

Sì. Puoi utilizzarlo come directory principale per gestire utenti, gruppi, computer e oggetti Criteri di gruppo (GPO) nel cloud. Puoi gestire gli accessi e fornire funzionalità Single sign-on (SSO) alle applicazioni e ai servizi AWS e ad applicazioni basate sulle directory di terze parti che eseguono le istanze di Amazon EC2 nel cloud AWS. Inoltre, puoi utilizzare Azure AD Connect e AD FS per supportare SSO nelle applicazioni cloud, compreso Office 365.

D: Posso utilizzare AWS Microsoft AD come resource forest?

Sì. Puoi utilizzare AWS Microsoft AD come resource forest contenente principalmente computer e gruppi con relazioni di trust per la tua directory locale. Questo permette ai tuoi utenti di accedere alle applicazioni e risorse AWS con le loro credenziali AD locali.

D: Cos'è l'aggiunta ai domini ottimizzata?

L'aggiunta ai domini ottimizzata è una caratteristica che consente di aggiungere al momento del lancio le istanze di Amazon EC2 per Windows Server a un dominio senza soluzione di continuità, tramite la Console di gestione AWS. È possibile aggiungere le istanze avviate nel cloud AWS ad AWS Microsoft AD.

D: In che modo è possibile aggiungere in modo ottimizzato un'istanza a un dominio?

Quando crei e lanci un'istanza EC2 per Windows dalla Console di gestione AWS, hai la possibilità di scegliere il dominio cui tale istanza viene aggiunta. Per ulteriori informazioni, consulta la documentazione.

D: È possibile aggiungere istanze EC2 per Windows Server esistenti in modo ottimizzato a un dominio?

Non è possibile utilizzare l'aggiunta ai domini ottimizzata dalla Console di gestione AWS per le istanze EC2 per Windows Server, ma è possibile aggiungere istanze esistenti a un dominio con l'API EC2 o utilizzando PowerShell sull'istanza. Per ulteriori informazioni, consulta la documentazione.

D: In che modo AWS Directory Service abilita la funzione Single Sign-On (SSO) sulla Console di gestione AWS?

AWS Directory Service ti permette di assegnare ruoli IAM agli utenti e ai gruppi di AWS Microsoft AD o Simple AD nel cloud AWS, nonché agli utenti e ai gruppi di una Microsoft Active Directory locale esistente utilizzando AD Connector. Tali ruoli controllano l’accesso degli utenti ai servizi AWS in base alle policy IAM assegnate ai ruoli stessi. AWS Directory Service fornisce per la Console di gestione AWS un URL specifico per ciascun cliente, che gli utenti possono utilizzare per l’accesso con le loro credenziali aziendali esistenti. Per ulteriori informazioni su questa funzione, consulta la nostra documentazione.

D: Posso utilizzare AWS Microsoft AD per i carichi di lavoro AWS Cloud soggetti a standard di conformità?

Sì. AWS Microsoft AD ha implementato i controlli necessari a permetterti di soddisfare i requisiti di Health Insurance Portability and Accountability Act (HIPAA) degli Stati Uniti ed è incluso come servizio in esame nell'attestazione di conformità e riepilogo di responsabilità Payment Card Industry Data Security Standard (PCI DSS).  

D: Come posso accedere ai report di conformità e sicurezza?

Per accedere a un elenco completo di documenti relativi a conformità e sicurezza nel cloud AWS, consulta AWS Artifact.

D: Cos'è il modello di responsabilità condivisa di AWS?

La sicurezza, comprendente la conformità HIPAA e PCI DSS, è una responsabilità condivisa tra te e AWS. Ad esempio, è tua responsabilità configurare le tue politiche per le password di AWS Microsoft AD in modo da soddisfare i requisiti PCI DSS quando utilizzi AWS Microsoft AD. Per maggiori informazioni sulle azioni che potresti dover effettuare per rispettare i requisiti di conformità HIPAA e PCI DSS, consulta la documentazione sulla conformità per AWS Microsoft AD, leggi il whitepaper Progettazione per la sicurezza e la conformità HIPAA in Amazon Web Services e consulta Conformità di sicurezza nel cloud AWSConformità HIPAAConformità PCI DSS.


Per ulteriori informazioni su AD Connector o Simple AD, consulta la pagina relative alle altre directory per AWS Directory Service.