Q: AWS Directory Service란 무엇입니까?

AWS Directory Service는 사용자, 그룹, 컴퓨터, 기타 리소스 등 조직에 관한 정보가 포함된 디렉터리를 제공하는 관리형 서비스 상품입니다. AWS Directory Service는 관리형 상품으로서, 관리 작업을 줄여 비즈니스에 더 많은 시간과 리소스를 집중할 수 있도록 설계되었습니다. 각 디렉터리가 여러 가용 영역에 걸쳐 배포되고 모니터링을 통해 실패한 도메인 컨트롤러를 자동으로 탐지하여 교체하므로, 복잡하고 가용성이 뛰어난 디렉터리 토폴로지를 자체적으로 구축할 필요가 없습니다. 또한, 데이터 복제와 자동화된 일일 스냅샷도 구성됩니다. 설치해야 할 소프트웨어가 없으며 AWS가 모든 패치와 소프트웨어 업그레이드를 처리합니다.

Q: AWS Directory Service를 사용하여 수행할 수 있는 작업은 무엇입니까?

AWS Directory Service를 사용하면 손쉽게 AWS 클라우드에서 디렉터리를 설정 및 실행하거나 AWS 리소스를 기존 온프레미스 Microsoft Active Directory에 연결할 수 있습니다. 디렉터리가 생성되면, 이를 사용하여 사용자와 그룹을 관리하고, 애플리케이션과 서비스에 SSO를 제공하며, 그룹 정책을 생성 및 적용하고, Amazon EC2 인스턴스를 도메인에 조인하고, 클라우드 기반 Linux 및 Microsoft Windows 워크로드의 배포 및 관리를 간소화할 수 있습니다. AWS Directory Service를 사용하면 최종 사용자가 기존 기업 자격 증명을 사용하여 Amazon WorkSpaces, Amazon WorkDocs, Amazon WorkMail과 같은 AWS 애플리케이션과 커스텀 .NET 및 SQL Server 기반 애플리케이션과 같은 디렉터리 인식 Microsoft 워크로드에 액세스할 수 있습니다. 마지막으로 기존 기업 자격 증명을 사용하면 AWS Management Console에 대한 AWS Identity and Access Management(IAM) 역할 기반 액세스를 통해 AWS 리소스를 관리할 수 있으므로 자격 증명 연동 인프라를 추가로 구출할 필요가 없습니다.

Q: 디렉터리는 어떻게 생성합니까?

AWS Management Console 또는 API를 사용하여 디렉터리를 생성할 수 있습니다. 디렉터리에 대해 정규화된 도메인 이름(FQDN), 관리자 계정 이름 및 암호, 디렉터리를 연결할 VPC 같은 일부 기본 정보만 제공하면 됩니다.

Q: 기존 Amazon EC2 인스턴스를 AWS Directory Service 디렉터리에 조인할 수 있습니까?

예. AWS Management Console 또는 API를 사용하여 Linux 또는 Windows 구동 기존 EC2 인스턴스를 AWS Microsoft AD에 추가할 수 있습니다.

Q: AWS Directory Service에 대해 API가 지원됩니까?

디렉터리를 생성하고 관리하기 위한 퍼블릭 API가 지원됩니다. 이제 퍼블릭 API를 사용하여 디렉터리를 프로그래밍 방식으로 관리할 수 있습니다. API는 AWS CLI 및 SDK를 통해 사용 가능합니다. AWS Directory Service 설명서에서 API에 대해 자세히 알아보십시오.

Q: AWS Directory Service는 CloudTrail 로깅을 지원합니까?

예. AWS Service API 또는 Management Console을 통해 수행되는 작업은 CloudTrail 감사 로그에 포함됩니다.

Q: 내 디렉터리 상태가 변경될 때 알림을 받을 수 있습니까?

예. AWS Directory Service의 상태가 변경될 때, 이메일 및 텍스트 메시지를 받도록 Amazon Simple Notification Service(SNS)를 구성할 수 있습니다. Amazon SNS는 주제를 사용하여 메시지를 수집하고 구독자에게 메시지를 배포합니다. AWS Directory Service가 디렉터리의 상태 변경을 탐지하면, 연결된 주제로 메시지를 게시하며, 이 메시지는 주제 구독자에게 전송됩니다. 자세한 내용은 설명서를 참조하십시오.

Q: AWS Directory Service 비용은 얼마입니까?

자세한 내용은 요금 페이지를 참조하십시오.

Q: 내 디렉터리를 태그 지정할 수 있습니까?

예. AWS Directory Service에서는 비용 할당 태깅을 지원합니다. 태그를 사용하면 AWS 리소스를 분류하고 그룹화하여 손쉽게 비용을 할당하고 최적화할 수 있습니다. 예를 들어 태그를 사용하여 리소스를 관리자, 애플리케이션 이름, 비용 센터 또는 특정 프로젝트별로 그룹화할 수 있습니다.

Q: 어느 AWS 리전에서 AWS Directory Service를 사용할 수 있습니까?

AWS Directory Service의 리전별 가용성에 대한 자세한 내용은 리전별 제품 및 서비스를 참조하십시오.

Q: AWS Microsoft AD 디렉터리를 생성하려면 어떻게 해야 합니까?

AWS Management Console에서 AWS Directory Service 콘솔을 시작하여 AWS Microsoft AD 디렉터리를 생성할 수 있습니다. 아니면 AWS SDK 또는 AWS CLI를 사용할 수도 있습니다.

Q: AWS Microsoft AD 디렉터리는 어떻게 배포됩니까?

AWS Microsoft AD 디렉터리는 기본적으로 1개의 리전에서 2개의 가용 영역에 걸쳐 배포되며, Amazon Virtual Private Cloud(VPC)에 연결됩니다. 백업은 하루에 한 번 자동으로 수행되며, 저장 데이터를 보안하기 위해 Amazon Elastic Block Store(EBS) 볼륨이 암호화됩니다. 장애가 발생한 도메인 컨트롤러는 같은 IP 주소를 사용하여 동일한 가용 영역에서 자동으로 교체되며, 전체 재해 복구는 최근 백업을 사용하여 수행됩니다.

Q: AWS Microsoft AD 디렉터리의 스토리지, CPU 또는 메모리 파라미터를 구성할 수 있습니까?

아니요. 현재 이 기능은 지원되지 않습니다.

Q: AWS Microsoft AD의 사용자와 그룹을 관리하려면 어떻게 해야 합니까?

AWS Microsoft AD 도메인에 조인된 Windows 컴퓨터에서 실행되는 기존 Active Directory 도구를 사용하여 AWS Microsoft AD 디렉터리의 사용자와 그룹을 관리할 수 있습니다. 특별한 도구, 정책 또는 동작 변경은 필요 없습니다.

Q: AWS Microsoft AD에서와 자체 Amazon EC2 Windows 인스턴스의 Active Directory에서 실행할 때 내 관리 권한은 어떻게 달라집니까?

관리형 서비스 환경을 제공하기 위해서는 AWS Microsoft AD가 서비스 관리에 영향을 줄 수 있는 고객의 작업을 허용하지 않아야 합니다. 따라서 AWS는 디렉터리 인스턴스에 대한 Windows PowerShell 액세스를 제공하지 않으며 승격된 권한이 필요한 디렉터리 객체, 역할 및 그룹에 대한 액세스를 제한합니다. AWS Microsoft RDS는 Telnet, Secure Shell(SSH), 또는 Windows 원격 데스크톱 연결을 통해 도메인 컨트롤러에 직접 호스트 액세스하는 것을 허용하지 않습니다. AWS Microsoft AD 디렉터리를 생성할 때 조직 단위(OU)와 OU에 대한 관리 권한이 위임된 관리 계정을 할당받게 됩니다. Active Directory 사용자 및 그룹과 같은 표준 원격 서버 관리 도구를 사용하여 OU 내 사용자 계정, 그룹 및 정책을 생성할 수 있습니다.

Q: Microsoft NPS(네트워크 정책 서버)에서 AWS Microsoft AD를 사용할 수 있습니까?

예. AWS Microsoft AD를 설정할 때 고객에게 할당된 관리 계정에는 RAS(Remote Access Service) 및 IAS(Internet Authentication Service) 보안 그룹에 대해 위임된 관리 권한이 있습니다. 따라서 고객은 NPS를 AWS Microsoft AD에 등록하고 도메인의 계정에 대한 네트워크 액세스 정책을 관리할 수 있습니다.

Q: AWS Microsoft AD에서는 스키마 확장을 지원합니까?

예. AWS Microsoft AD는 LDIF(LDAP 데이터 교환 형식) 파일 형식으로 서비스에 제출한 스키마 확장을 지원합니다. 핵심 Active Directory 스키마를 확장할 수 있지만, 변경할 수는 없습니다.

Q: AWS Microsoft AD와 호환되는 애플리케이션은 무엇입니까?

다음 애플리케이션이 AWS Microsoft AD와 호환됩니다.

  • Amazon Chime
  • Amazon Connect
  • Amazon EC2
  • SQL Server용 Amazon RDS
  • Amazon QuickSight
  • Amazon WorkDocs
  • Amazon WorkMail
  • Amazon WorkSpaces
  • AWS Management Console
  • AD FS(Active Directory Federation Services)
  • 애플리케이션 서버(.NET)
  • Azure Active Directory(AD) Connect
  • 기업 인증 기관
  • 원격 데스크톱 라이선싱 관리자
  • SharePoint Server
  • SQL Server  

참고로 이러한 애플리케이션의 일부 구성이 지원되지 않을 수 있습니다.

Q: 기존 온프레미스 Microsoft Active Directory를 AWS Microsoft AD로 마이그레이션할 수 있습니까?

AWS에서는 자가 관리형 Active Directory를 AWS Microsoft AD로 마이그레이션할 수 있는 마이그레이션 도구를 제공하지 않습니다. 고객이 암호 재설정을 비롯한 마이그레이션 수행 전략을 수립하고 Remote Server Administration Tools를 사용하여 계획을 구현해야 합니다.

Q: Directory Service 콘솔에서 조건부 전달자와 트러스트를 구성할 수 있습니까?

예. Directory Service 콘솔과 API를 사용하여 AWS Microsoft AD에 대한 조건부 전달자와 트러스트를 구성할 수 있습니다.

Q: 내 AWS Microsoft AD에 도메인 컨트롤러를 수동으로 추가할 수 있습니까?

예. AWS Directory Service 콘솔 또는 API를 사용하여 관리형 도메인에 도메인 컨트롤러를 수동으로 추가할 수 있습니다. Amazon EC2 인스턴스를 도메인 컨트롤러로 수동으로 승격하는 기능은 지원되지 않습니다.

Q: AWS Microsoft AD에서 관리하는 사용자 계정으로 Microsoft Office 365를 사용할 수 있습니까?

예. Azure AD Connect를 사용하여 AWS Microsoft AD의 자격 증명을 Azure AD로 동기화하고, Windows 2016용 Microsoft AD FS(Active Directory Federation Services)에서 AWS Microsoft AD를 사용하여 Office 365 사용자를 인증할 수 있습니다. 단계별 지침은 How to Enable Your Users to Access Office 365 with AWS Microsoft Active Directory Credentials 게시물을 참조하십시오.  

Q: AWS Microsoft AD를 사용하여 클라우드 애플리케이션에 SAML(Security Assertion Markup Language) 2.0 기반 인증을 적용할 수 있습니까?

예. Windows 2016용 Microsoft AD FS(Active Directory Federation Services)에서 AWS Microsoft AD에서 관리하는 도메인을 사용하여 SAML을 지원하는 클라우드 애플리케이션에 액세스하도록 사용자를 인증할 수 있습니다.

Q: LDAPS를 사용하여 내 애플리케이션과 AWS Microsoft AD 간 통신을 암호화할 수 있습니까?

예. AWS Microsoft AD에서는 636 포트에서 Secure Sockets Layer(SSL)를 사용하는 LDAP(Lightweight Directory Access Protocol)과 389 포트에서 TLS(전송 계층 보안)를 사용하는 LDAP를 지원합니다(LDAPS라고도 함). Microsoft 인증 기관(CA)에서 AWS Microsoft AD 도메인 컨트롤러에 인증서를 설치하면 두 가지 유형의 LDAPS 통신을 활성화할 수 있습니다. 자세한 내용은 How to Enable LDAPS for Your AWS Microsoft AD Directory 게시물을 참조하십시오.

Q: AWS Microsoft AD에서 지원하는 사용자, 그룹, 컴퓨터 및 총 객체 수는 어떻게 됩니까?

AWS Microsoft AD(스탠다드 에디션)에는 1GB의 디렉터리 객체 스토리지가 포함되어 있습니다. 이 용량이면 최대 5,000명의 사용자 또는 최대 30,000개의 디렉터리 객체(사용자, 그룹, 컴퓨터 등)를 지원할 수 있습니다. AWS Microsoft AD(엔터프라이즈 에디션)에는 17GB의 디렉터리 객체 스토리지가 포함되어 있어 최대 100,000명의 사용자 또는 500,000개의 객체를 지원할 수 있습니다.

Q: AWS Microsoft AD를 기본 디렉터리로 사용할 수 있습니까?

예. 이를 기본 디렉터리로 사용하여 클라우드에서 사용자, 그룹, 컴퓨터 및 GPO(그룹 정책 개체)를 관리할 수 있습니다. AWS 클라우드에서 AWS 애플리케이션 및 서비스에 대한 그리고 Amazon EC2 인스턴스에서 실행되는 타사 디렉터리 인식 애플리케이션에 대한 액세스를 관리하고 SSO(Single Sign-On)를 제공할 수 있습니다. 또한, Azure AD Connect 및 AD FS를 사용하여 Office 365를 비롯한 클라우드 애플리케이션에 대해 SSO를 지원할 수 있습니다.

Q: AWS Microsoft AD를 리소스 포리스트로 사용할 수 있습니까?

예. AWS Microsoft AD를 온프레미스 디렉터리와 트러스트 관계가 있는 컴퓨터와 그룹이 주로 포함된 리소스 포리스트로 사용할 수 있습니다. 따라서 사용자가 온프레미스 AD 자격 증명으로 AWS 애플리케이션과 리소스에 액세스할 수 있습니다.

Q: 원활한 도메인 조인이란 무엇입니까?

원활한 도메인 조인은 시작할 때 AWS Management Console에서 Windows Server용 Amazon EC2 인스턴스를 도메인에 원활하게 조인할 수 있게 해주는 기능입니다. AWS 클라우드에서 시작하는 인스턴스를 AWS Microsoft AD에 조인할 수 있습니다.

Q: 인스턴스를 도메인에 원활하게 조인하려면 어떻게 해야 합니까?

AWS Management Console에서 Windows용 EC2 인스턴스를 생성하여 시작할 때, 인스턴스를 조인할 도메인을 선택할 수 있습니다. 자세한 내용은 설명서를 참조하시기 바랍니다.

Q: 기존의 Windows Server용 EC2 인스턴스를 도메인에 원활하게 조인할 수 있습니까?

기존의 Windows Server용 EC2 인스턴스에 대해 AWS Management Console에서는 원활한 도메인 조인 기능을 사용할 수 없지만, EC2 API를 사용하거나 해당 인스턴스에서 PowerShell을 사용하여 기존 인스턴스를 도메인에 조인할 수 있습니다. 자세한 내용은 설명서를 참조하시기 바랍니다.

Q: AWS Directory Service는 어떻게 AWS Management Console에 대한 SSO(Single Sign-On)를 활성화합니까?

AWS Directory Service를 사용하면 AWS 클라우드에서 IAM 역할을 AWS Microsoft AD 또는 Simple AD 사용자와 그룹에 할당하거나, AD Connector를 사용하여 기존 온프레미스 Microsoft Active Directory 사용자와 그룹에 할당할 수 있습니다. 이러한 역할은 해당 역할에 할당된 IAM 정책에 따라 AWS 서비스에 대한 사용자의 액세스를 제어합니다. AWS Directory Service에서는 고객별로 AWS Management Console용 URL을 제공하므로 사용자는 기존 기업 자격 증명을 사용해 로그인할 수 있습니다. 이 기능에 대한 자세한 내용은 설명서를 참조하십시오.

Q: 규정 준수 표준의 적용을 받는 AWS 클라우드 워크로드에 AWS Microsoft AD를 사용할 수 있습니까?

예. AWS Microsoft AD에서는 미국 HIPAA(Health Insurance Portability and Accountability Act) 요구 사항을 충족하는 데 필요한 제어 기능을 구현했으며, PCI DSS(Payment Card Industry Data Security Standard) 규정 준수 증명 및 책임 요약의 범위 내 서비스에 포함되어 있습니다.  

Q: 규정 준수 및 보안 보고서에 액세스하려면 어떻게 해야 합니까?

AWS 클라우드상의 규정 준수 및 보안과 관련된 포괄적인 문서 목록에 액세스하려면 AWS Artifact를 참조하십시오. 

Q: AWS 공동 책임 모델이란 무엇입니까?

HIPAA 및 PCI DSS 규정 준수를 비롯한 보안은 AWS와 고객의 공동 책임입니다. 예를 들어 AWS Microsoft AD를 사용할 때 PCI DSS 요구 사항을 충족하도록 AWS Microsoft AD 암호 정책을 구성하는 것은 고객의 책임입니다. HIPAA 및 PCI DSS 규정 준수 요구 사항을 충족하기 위해 취해야 하는 조치에 대해 자세히 알아보려면 AWS Microsoft AD를 위한 규정 준수 설명서, Amazon Web Services에서 HIPAA 보안 및 규정을 준수하도록 설계하기 백서, AWS 클라우드 규정 준수HIPAA 규정 준수PCI DSS 규정 준수 페이지를 참조하십시오.


AD Connector 또는 Simple AD에 관한 질문은 AWS Directory Service의 기타 디렉터리 옵션 페이지를 참조하십시오.