Caratteristiche di AWS Directory Service
Il Servizio di directory AWS offre alle organizzazioni un percorso ottimizzato per la migrazione al cloud dei carchi di lavoro che dipendono da Active Directory. Offrendo un Active Directory nativo e completamente gestito basato su Windows Server, il servizio consente ai team IT di sfruttare le competenze e le applicazioni AD esistenti, beneficiando al contempo di sicurezza, affidabilità e scalabilità migliorate. Le aziende possono integrare facilmente il proprio AD on-premises con servizi ospitati nel cloud come Amazon RDS, FSx ed EC2, consentendo un'esperienza di gestione AD coerente in tutti gli ambienti. Le solide funzionalità di sicurezza del servizio, tra cui la crittografia end-to-end e la conformità agli standard di settore, proteggono i dati sensibili. E con implementazioni in più regioni e una gestione autonoma, il Servizio di directory AWS garantisce che i servizi di directory critici rimangano altamente disponibili, anche in caso di interruzioni. Il Servizio di directory AWS ottimizza il percorso di trasformazione cloud per tutti, dai decisori IT agli architetti o CIO, consentendo di modernizzare l'infrastruttura AD e potenziare la forza lavoro attraverso una gestione dell'identità sicura e scalabile.
Disponibilità, scalabilità e resilienza
Zone di disponibilità multiple
Poiché le directory sono un'infrastruttura mission critical, AWS Managed Microsoft AD viene implementato nell’infrastruttura AWS altamente disponibile e su più zone di disponibilità. I controller di dominio sono implementati di default su due zone di disponibilità in una regione e sono collegate al cloud privato virtuale (VPC). I backup vengono eseguiti automaticamente una volta al giorno e i volumi Amazon Elastic Block Store (EBS) vengono crittografati per garantire la protezione dei dati durante i periodi di inattività. I controller di dominio con errori vengono sostituiti automaticamente nella stessa zona di disponibilità utilizzando il medesimo indirizzo IP e il backup più recente può essere impiegato per eseguire un ripristino di emergenza completo.
Impiegare la scalabilità orizzontale con controller di dominio aggiuntivi
Quando crei la tua directory per la prima volta, AWS Managed Microsoft AD implementa due controller di dominio su più zone di disponibilità, il che è necessario per scopi di elevata disponibilità. Successivamente, potrai implementare controller di dominio aggiuntivi tramite la console del Servizio di directory AWS specificando il numero totale di controller di dominio desiderati. AWS Managed Microsoft AD distribuisce i controller di dominio aggiuntivi nelle zone di disponibilità e nelle sottoreti VPC su cui è in esecuzione la directory.
Infrastruttura AD gestita
AWS Managed Microsoft AD viene eseguito su un'infrastruttura gestita da AWS basata su Windows Server 2019. Quando si seleziona e si avvia questo tipo di directory, viene creato come una coppia di controller di dominio ad alta disponibilità connessi al tuo cloud privato virtuale (VPC). I controller di dominio vengono eseguiti in diverse zone di disponibilità in una regione a scelta. Il monitoraggio e il ripristino dell'host, la replica dei dati, gli snapshot e gli aggiornamenti software sono configurati e gestiti automaticamente in base all'accordo sul livello di servizio (SLA) per il Servizio di directory AWS.
Snapshot quotidiani
AWS Managed Microsoft AD integra snapshot automatizzati quotidiani. Inoltre, è possibile acquisire snapshot aggiuntivi prima degli aggiornamenti critici delle applicazioni in modo da avere sempre a disposizione i dati più recenti nel caso in cui sia necessario annullare le modifiche.
Gestione globale del carico di lavoro
Replica multi-regione
La replica multi-regione consente di implementare e utilizzare una singola directory AWS Managed Microsoft AD in più regioni AWS. Questo rende più semplice e più conveniente implementare e gestire a livello globale i carichi di lavoro di Microsoft Windows e Linux. Con la funzionalità automatizzata di replica multi-regione, ottieni una maggiore resilienza, mentre le applicazioni utilizzano una directory locale per ottenere migliori prestazioni.
Condivisione della directory con più account AWS
AWS Managed Microsoft AD si integra perfettamente con AWS Organizations per consentire la condivisione di directory senza interruzioni tra più account AWS. Puoi condividere una singola directory con altri account AWS affidabili all'interno della stessa organizzazione o con altri account AWS esterni all'organizzazione. Puoi condividere la tua directory anche se il tuo account AWS non è correntemente membro di un'organizzazione.
Funzionalità native di Windows 2019 AD
Aggiunta ai domini ottimizzata
AWS Managed Microsoft AD ti consente di utilizzare la funzione di unione ottimizzata dei domini per istanze nuove ed esistenti di Amazon EC2 per Windows Server e Amazon EC2 per Linux. Potrai scegliere a quale dominio aggiungere le nuove istanze EC2 al momento del lancio tramite la Console di gestione AWS. È possibile utilizzare la funzionalità di unione ottimizzata dei domini per le istanze EC2 esistenti con il servizio EC2Config. Le istanze Amazon EC2 possono anche essere aggiunte in una singola directory condivisa da un qualsiasi account AWS e VPC di Amazon all'interno di una regione.
Oggetti Criteri di gruppo
AWS Managed Microsoft AD consente di gestire utenti e dispositivi tramite oggetti di policy di gruppo (GPO) di Microsoft Active Directory. Gli oggetti Criteri di gruppo possono essere creati con gli strumenti esistenti, ad esempio la Console Gestione Criteri di gruppo.
Estensione dello schema
Puoi estendere lo schema AWS Managed Microsoft AD aggiungendo nuove classi di oggetti e attributi. Puoi inoltre utilizzare le estensioni dello schema per abilitare il supporto per le applicazioni che si basano su classi e attributi di oggetti Active Directory specifici. Ciò può essere particolarmente utile nel caso in cui sia necessario migrare applicazioni aziendali che dipendono da AWS Managed Microsoft AD nel cloud AWS. (Origine)
Account di servizio gestito di gruppo
Gli amministratori possono gestire gli account di servizio utilizzando un metodo chiamato Account del servizio gestito del gruppo (gMSA). Con i gMSA, gli amministratori del servizio non avevano più bisogno di gestire manualmente la sincronizzazione delle password tra le istanze del servizio. Invece, potevano semplicemente creare un gMSA in Active Directory e quindi configurare più istanze di servizio per utilizzare quel singolo gMSA. Per concedere le autorizzazioni in modo che gli utenti di AWS Managed Microsoft AD possano creare un gMSA, devi aggiungere i loro account come membri del gruppo di sicurezza AWS Delegated Managed Service Account Administrators. Per impostazione predefinita, l'account Admin è un membro di questo gruppo.
Supporto per trust
Puoi integrare facilmente AWS Managed Microsoft AD con la struttura AD esistente tramite le relazioni di attendibilità di AD. L'uso dell'attendibilità consente di usare l'Active Directory esistente per controllare gli utenti AD che possono accedere alle risorse AWS.
Single Sign-On
AWS Managed Microsoft AD usa la stessa autenticazione basata su Kerberos dell'Active Directory on-premise esistente. Integrando la risorse AWS con AWS Managed Microsoft AD, gli utenti AD potranno accedere tramite SSO ad applicazioni e risorse AWS usando un solo set di credenziali.
Sicurezza e conformità
Impostazioni di sicurezza delle directory
È possibile configurare le impostazioni dettagliate della directory per AWS Managed Microsoft AD in modo da soddisfare i requisiti di conformità e sicurezza senza aumentare il carico di lavoro operativo. Nelle impostazioni della directory, puoi aggiornare la configurazione del canale sicuro per i protocolli e i codici utilizzati nella tua directory. Ad esempio, hai la flessibilità di disabilitare singoli codici legacy, come RC4 o DES, e protocolli, come SSL 2.0/3.0 e TLS 1.0/1.1. AWS Managed Microsoft AD implementa quindi la configurazione su tutti i controller di dominio nella directory, gestisce i riavvii dei controller e mantiene questa configurazione man mano che impieghi la scalabilità orizzontale o implementi Regioni AWS aggiuntive. Per tutte le impostazioni disponibili, consulta l'elenco delle impostazioni di sicurezza delle directory.
LDAPS lato server
LDAPS lato server crittografa le comunicazioni LDAP tra le tue applicazioni commerciali o basate su LDAP sviluppate internamente (che agiscono come client LDAP) e AWS Managed Microsoft AD (che funge da server LDAP). Per ulteriori informazioni, consulta Abilitazione del protocollo LDAPS lato server utilizzando AWS Managed Microsoft AD.
LDAPS lato client
LDAPS lato client crittografa le comunicazioni LDAP tra applicazioni AWS come WorkSpaces (che fungono da client LDAP) e Active Directory autogestita (che funge da server LDAP). Per ulteriori informazioni, consulta Abilitazione del protocollo LDAPS lato client utilizzando AWS Managed Microsoft AD.
Connettore di AWS Private CA per Active Directory (AD)
L'integrazione di AWS Managed Microsoft AD e AD Connector con il connettore di AWS Private Certificate Authority (AWS Private CA) per AD consente di registrare oggetti aggiunti al dominio AD, inclusi utenti, gruppi e macchine, con certificati emessi da AWS Private CA. Puoi utilizzare AWS Private CA come sostituto immediato delle CA aziendali autogestite senza la necessità di implementare, applicare patch o aggiornare agenti locali o server proxy. Puoi configurare l'integrazione di AWS Private CA con la tua directory in pochi clic o in maniera programmatica tramite API.
Idoneo per FedRAMP, HIPAA, PCI e altro ancora
Puoi utilizzare AWS Managed Microsoft AD per creare ed eseguire applicazioni cloud basate su AD soggette ai programmi di conformità Health Insurance Portability and Accountability Act (HIPAA) e Payment Card Industry Data Security Standard (PCI DSS) degli Stati Uniti. AWS Managed Microsoft AD riduce gli sforzi necessari per implementare una infrastruttura AD conforme per le applicazioni cloud quando devi tenere conto di programmi di gestione del rischio per la normativa HIPAA, PCI DSS o della certificazione di conformità FedRAMP. Consulta l'elenco completo dei programmi di conformità per i quali AWS Managed AD è idoneo.
Monitoraggio, registrazione e osservabilità
Monitoraggio dello stato delle directory
Utilizzando Amazon Simple Notification Service (Amazon SNS), puoi ricevere e-mail o messaggi di testo (SMS) quando lo stato della tua directory cambia. Se la directory passa da uno stato Attivo a uno stato Compromesso o Non funzionante riceverai una notifica. Riceverai la notifica anche quando la directory ritorna allo stato Attivo.
Parametri del controller di dominio
Il Servizio di directory AWS si integra con Amazon CloudWatch per aiutarti a fornire importanti parametri prestazionali per ogni controller di dominio nella tua directory. Ciò significa che è possibile monitorare i contatori delle prestazioni dei controller di dominio, ad esempio l'utilizzo della CPU e della memoria. È inoltre possibile configurare allarmi e avviare azioni automatiche per rispondere a periodi di utilizzo elevato.
Monitoraggio dei log in Amazon CloudWatch e altro
Utilizza la console o le API del Servizio di directory AWS per inoltrare i log degli eventi di sicurezza dei controller di dominio a File di log Amazon CloudWatch. Questo consente di soddisfare i requisiti di monitoraggio di sicurezza, audit e policy di retention di log offrendo trasparenza degli eventi di sicurezza nella directory. Puoi anche inoltrare i log degli eventi di sicurezza dalla tua directory a File di log Amazon CloudWatch nell'account Amazon Web Services (AWS) di tua scelta e monitorare centralmente gli eventi utilizzando servizi AWS o applicazioni di terze parti come Splunk, un partner tecnologico avanzato della rete dei partner AWS (APN) con competenza di sicurezza AWS.
Integrazione di applicazioni AWS
Accesso federato all'account e alle applicazioni AWS
Potrai permettere agli utenti AD on-premise di accedere alla Console di gestione AWS e all'interfaccia della linea di comando AWS con le credenziali AD esistenti tramite AWS Identity Center (in sostituzione di AWS SSO) selezionando AWS Managed Microsoft AD come origine identità. In questo modo, gli utenti possono assumere uno dei ruoli assegnati in fase di accesso, quindi accedere e intervenire sulle risorse in base alle autorizzazioni definite per quel ruolo. Un'opzione alternativa è usare AWS Managed Microsoft AD per consentire agli utenti di assumere un ruolo AWS Identity and Access Management (IAM).
Integrazione continua delle directory con le applicazioni AWS
AWS Managed Microsoft AD ti permette di usare una singola directory per tutti i carichi di lavoro basati su directory nelle risorse di AWS, ad esempio istanze Amazon EC2, istanze Amazon RDS per SQL Server e servizi End User Computing AWS, come Amazon WorkSpaces. La condivisione di una directory permette ai carichi di lavoro basati su di essa di gestire le istanze Amazon EC2 su più account AWS e VPC Amazon all'interno di una Regione. AWS Managed Microsoft AD solleva dal dover gestire la complessità di replica e sincronizzazione dei dati tra più directory.