AWS Directory Service 기능

디렉터리는 미션 크리티컬 인프라이므로 AWS Managed Microsoft AD는 고가용성 AWS 인프라의 여러 가용 영역에 걸쳐 배포됩니다. 도메인 컨트롤러는 기본적으로 한 리전에서 2개의 가용 영역에 걸쳐 배포되며, Amazon Virtual Private Cloud(VPC)에 연결됩니다. 백업은 일 1회 자동으로 생성되며 Amazon Elastic Block Store(EBS) 볼륨을 암호화하여 저장 중에 해당 데이터를 보호합니다. 장애가 발생한 도메인 컨트롤러는 같은 IP 주소를 사용하여 동일한 가용 영역에서 자동으로 교체되며 재해 복구는 최근 백업을 사용하여 수행됩니다.

디렉터리를 처음 생성하면 AWS Managed Microsoft AD가 여러 가용 영역에 도메인 컨트롤러 2개를 배포하는데, 이는 고가용성을 위해 필요한 것입니다. 나중에 AWS Directory Service 콘솔을 통해 원하는 도메인 컨트롤러의 총 수를 지정하는 방법으로 추가 도메인 컨트롤러를 배포할 수 있습니다. AWS Managed Microsoft AD는 추가 도메인 컨트롤러를 디렉터리가 실행되는 가용 영역과 VPC 서브넷에 배포합니다.

AWS Managed Microsoft AD는 Windows Server 2019 기반의 AWS 관리형 인프라에서 실행됩니다. 이 디렉터리 유형을 선택하고 시작하면 Virtual Private Cloud(VPC)에 연결된 고가용성 도메인 컨트롤러 페어로 디렉터리가 생성됩니다. 도메인 컨트롤러는 선택한 리전의 서로 다른 가용 영역에서 실행됩니다. 호스트 모니터링 및 복구, 데이터 복제, 스냅샷, 소프트웨어 업데이트는 AWS Directory Service의 서비스 수준 계약(SLA)에 따라 구성되고 관리됩니다.

AWS Managed Microsoft AD는 일일 자동 스냅샷을 기본적으로 제공합니다. 또한 중요 애플리케이션을 업데이트하기 전에 추가로 스냅샷을 생성하면 변경 사항을 롤백해야 할 때 가장 최신 데이터로 롤백할 수 있습니다.

다중 리전 복제를 사용하면 단일 AWS Managed Microsoft AD 디렉터리를 여러 AWS 리전에 배포하고 사용할 수 있습니다. 이렇게 하면 Microsoft Windows 및 Linux 워크로드를 더욱 쉽고 비용 효율적으로 글로벌로 배포하고 관리할 수 있습니다. 자동화된 다중 리전 복제 기능은 복원력을 개선하며 애플리케이션에서 로컬 디렉터리를 사용하여 성능을 높일 수 있습니다.

AWS Managed Microsoft AD는 AWS Organizations와 긴밀하게 통합됩니다. 따라서 여러 AWS 계정과 원활하게 디렉터리를 공유할 수 있습니다. 단일 디렉터리를 같은 조직 내의 신뢰할 수 있는 다른 AWS 계정과 공유하거나 조직 외부의 다른 AWS 계정과 공유할 수 있습니다. 보유한 AWS 계정이 현재 조직의 멤버가 아닌 경우에도 디렉터리를 공유할 수 있습니다.

AWS Managed Microsoft AD를 사용하면 Amazon EC2 for Windows Server 및 Amazon EC2 for Linux 인스턴스에 대해 원활하게 도메인 조인을 수행할 수 있습니다. 새로운 EC2 인스턴스의 경우 시작할 때 AWS Management Console을 사용하여 조인할 도메인을 선택할 수 있습니다. 기존 EC2 인스턴스의 경우 EC2Config 서비스를 통해 원활한 도메인 조인 기능을 사용할 수 있습니다. 또한 모든 AWS 계정과 AWS 리전 내의 모든 Amazon VPC에서 Amazon EC2 인스턴스를 단일의 공유 디렉터리에 원활하게 조인할 수 있습니다.

AWS Managed Microsoft AD에서는 기본 Microsoft Active Directory 그룹 정책 객체(GPO)를 사용하여 사용자와 디바이스를 관리할 수 있습니다. Group Policy Management Console(GPMC)과 같은 기존 도구로 GPO를 생성할 수 있습니다.

새 객체 클래스와 속성을 추가하여 AWS Managed Microsoft AD 스키마를 확장할 수 있습니다. 또한 스키마 확장을 사용하여 특정 Active Directory 객체 클래스 및 속성을 사용하는 애플리케이션을 지원할 수 있습니다. 스키마 확장은 AWS Managed Microsoft AD에 의존하는 기업 애플리케이션을 AWS 클라우드로 마이그레이션해야 하는 경우에 특히 유용할 수 있습니다. (소스)

관리자는 그룹 관리형 서비스 계정(gMSA)이라는 방법을 사용하여 서비스 계정을 관리할 수 있습니다. gMSA를 사용하면 서비스 관리자가 더 이상 서비스 인스턴스 간의 암호 동기화를 수동으로 관리할 필요가 없습니다. 대신 Active Directory에서 간단히 gMSA를 만든 다음 이 단일의 gMSA를 사용하도록 여러 서비스 인스턴스를 구성할 수 있습니다. AWS Managed Microsoft AD 안의 사용자에게 gMSA 생성 권한을 부여하려면 해당 계정을 AWS Delegated Managed Service Account Administrators 보안 그룹의 멤버로 추가해야 합니다. 기본적으로 관리자 계정은 이 그룹의 멤버입니다.

AD 트러스트 관계를 사용하여 AWS Managed Microsoft AD를 기존 AD에 통합할 수 있습니다. 트러스트를 사용하면 기존 Active Directory를 사용하여 AWS 리소스에 액세스할 수 있는 AD 사용자를 제어할 수 있습니다.

AWS Managed Microsoft AD는 기존 온프레미스 AD와 마찬가지로 Kerberos 기반 인증을 사용하여 SSO를 제공합니다. AD 사용자는 AWS 리소스를 AWS Managed Microsoft AD와 통합함으로써 단일 보안 인증 정보 세트로 SSO를 통해 AWS 애플리케이션과 리소스에 로그인할 수 있습니다.

AWS Managed Microsoft AD의 세분화된 디렉터리 설정을 구성하여 운영 워크로드를 늘리지 않고도 규정 준수 및 보안 요구 사항을 충족할 수 있습니다. 디렉터리 설정에서 디렉터리에 사용되는 프로토콜 및 암호에 대한 보안 채널 구성을 업데이트할 수 있습니다. 예를 들어 RC4 또는 DES와 같은 개별 레거시 암호와 SSL 2.0/3.0 및 TLS 1.0/1.1과 같은 프로토콜을 유연하게 사용 중지할 수 있습니다. AWS Managed Microsoft AD는 이 구성을 디렉터리의 모든 도메인 컨트롤러에 배포하고, 도메인 컨트롤러 재부팅을 관리하며, 스케일 아웃하거나 추가 AWS 리전을 배포할 때 이 구성을 유지합니다. 사용 가능한 모든 설정은 list of directory security settings(디렉터리 보안 설정 목록)을 참조하세요.

서버 측 LDAPS는 상용 또는 자체 개발 LDAP 인식 애플리케이션(LDAP 클라이언트 역할)과 AWS Managed Microsoft AD(LDAP 서버 역할) 간의 LDAP 통신을 암호화합니다. 자세한 내용은 Enable server-side LDAPS using AWS Managed Microsoft AD(AWS Managed Microsoft AD를 사용하여 서버 측 LDAPS 사용)을 참조하세요.

클라이언트 측 LDAPS는 WorkSpaces(LDAP 클라이언트 역할)와 같은 AWS 애플리케이션과 자체 관리형 Active Directory(LDAP 서버 역할) 간의 LDAP 통신을 암호화합니다. 자세한 내용은 Enable client-side LDAPS using AWS Managed Microsoft AD(AWS Managed Microsoft AD를 사용하여 클라이언트 측 LDAPS 사용)을 참조하세요.

AWS Managed Microsoft AD 및 AD 커넥터를 AD용 AWS Private Certificate Authority(AWS Private CA) 커넥터와 통합하면 AD 도메인 조인 객체(사용자, 그룹 및 머신과 AWS Private CA에서 발급한 인증서 등)를 등록할 수 있습니다. 로컬 에이전트나 프록시 서버를 배포, 패치 또는 업데이트할 필요 없이 AWS Private CA를 자체 관리형 엔터프라이즈 CA의 드롭인 대체로 사용할 수 있습니다. 클릭 몇 번 또는 API를 통한 프로그래밍 방식으로 AWS Private CA와 디렉터리의 통합을 설정할 수 있습니다.

Federal Risk and Authorization Management Program(FedRAMP), 미국 Health Insurance Portability and Accountability Act(HIPAA) 및 Payment Card Industry Data Security Standard(PCI DSS) 규정 준수 프로그램의 적용을 받는 AD 인식 클라우드 애플리케이션을 AWS Managed Microsoft AD를 사용하여 구축하고 실행할 수 있습니다. AWS Managed Microsoft AD는 자체 HIPAA 위험 관리 프로그램 또는 PCI DSS 또는 FedRAMP 규정 준수 인증을 관리할 때 클라우드 애플리케이션을 위한 규정 준수 AD 인프라를 배포하는 데 드는 작업을 줄여줍니다. AWS Managed AD로 충족할 수 있는 규정 준수 프로그램의 전체 목록을 참조하세요.

Amazon Simple Notification Service(SNS)를 사용하여 디렉터리 상태 변경 시 이메일 또는 텍스트(SMS) 메시지를 받을 수 있습니다. 디렉터리가 Active 상태에서 Impaired 또는 Inoperable 상태로 바뀌면 알림을 받게 됩니다. 디렉터리가 다시 ‘Active(활성)’ 상태가 될 때에도 알림을 받습니다.

AWS Directory Service를 Amazon CloudWatch와 통합하면 디렉터리의 각 도메인 컨트롤러에 대한 중요한 성능 지표를 확인하는 데 도움이 됩니다. 즉, CPU 및 메모리 사용률과 같은 도메인 컨트롤러의 성능 카운터를 모니터링할 수 있습니다. 또한 사용률이 높은 기간에는 경보를 구성하고 자동화된 작업을 시작하여 대응할 수 있습니다. 

AWS Directory Service 콘솔 또는 API를 사용하여 도메인 컨트롤러의 보안 이벤트 로그를 Amazon CloudWatch Logs로 전달할 수 있습니다. 이렇게 하면 디렉터리의 보안 이벤트를 투명하게 확인하여 보안 모니터링, 감사 및 로그 보존 정책 요구 사항을 충족하는 데 도움이 됩니다. 또한 디렉터리의 보안 이벤트 로그를 선택한 Amazon Web Services(AWS) 계정의 Amazon CloudWatch Logs로 전달할 수 있습니다. 그런 다음 AWS 서비스를 사용하거나 AWS 보안 컴피턴시를 갖춘 AWS 파트너 네트워크(APN) 고급 기술 파트너인 Splunk와 같은 서드 파티 애플리케이션을 사용하여 이벤트를 중앙에서 모니터링할 수 있습니다.

AWS Managed Microsoft AD를 ID 소스로 선택하면 온프레미스 AD 사용자에게 기존 AD 보안 인증 정보와 AWS Identity Center(AWS SSO의 후속 서비스)를 사용하여 AWS Management Console 및 AWS CLI에 로그인할 수 있는 액세스 권한을 부여할 수 있습니다. 이렇게 하면 사용자가 로그인할 때 할당된 역할 중 하나를 수임하며 해당 역할에 정의된 권한에 따라 리소스에 액세스하고 작업을 수행할 수 있습니다. 다른 옵션은 AWS Managed Microsoft AD를 사용하여 사용자가 AWS Identity and Access Management(IAM) 역할을 수임할 수 있도록 하는 것입니다.

AWS Managed Microsoft AD를 사용하면 Amazon EC2 인스턴스, Amazon RDS for SQL Server 인스턴스 및 AWS 최종 사용자 컴퓨팅 서비스(Amazon WorkSpaces 등)와 같은 모든 AWS 리소스에서 디렉터리 인식 워크로드에 단일 디렉터리를 사용할 수 있습니다. 디렉터리를 공유하면 디렉터리 인식 워크로드를 통해 한 리전의 여러 AWS 계정과 Amazon VPC에 걸쳐 있는 Amazon EC2 인스턴스를 관리할 수 있습니다. 또한 여러 디렉터리에서 복잡하게 데이터를 복제하고 동기화하지 않아도 됩니다.