Microsoft Active Directory용 AWS Directory Service, 즉 AWS Managed Microsoft Active Directory(AD)를 사용하면 디렉터리 인식 워크로드와 AWS 리소스에 AWS의 관리형 Active Directory(AD)를 활용할 수 있습니다. AWS Managed Microsoft AD는 실제 Microsoft AD에 구축되므로 기존 Active Directory의 데이터를 클라우드로 동기화하거나 복제할 필요가 없습니다. 표준 AD 관리 도구를 사용하여 Group Policy 및 SSO 등 AD의 기본 기능을 활용할 수 있습니다. AWS Managed Microsoft AD에서는 Amazon EC2와 Amazon RDS for SQL Server 인스턴스를 도메인에 손쉽게 조인하고, AD 사용자 및 그룹으로 Amazon WorkSpaces와 같은 AWS 최종 사용자 컴퓨팅을 사용할 수 있습니다.
실제 Microsoft Active Directory
AWS Managed Microsoft Active Directory(AD)는 AWS 관리형 인프라에서 실행되는 실제 Microsoft Active Directory입니다. 이를 사용하면 Active Directory 관리 센터 및 Active Directory 사용자 및 컴퓨터와 같이 이미 알고 있는 도구를 통해 AWS Managed Microsoft AD의 사용자와 디바이스를 관리할 수 있습니다.
고가용성
디렉터리는 미션 크리티컬 인프라이므로 AWS Managed Microsoft AD는 여러 가용 영역에 걸쳐 고가용성으로 배포됩니다. 또한, 추가 도메인 컨트롤러를 배포하여 AWS Managed Microsoft AD 디렉터리를 확장함으로써 관리형 디렉터리의 복원력을 향상하여 가용성을 더욱 높일 수 있습니다.
AWS 관리형 인프라
AWS Managed Microsoft AD는 AWS 관리형 인프라에서 실행되며 장애가 발생한 도메인 컨트롤러를 자동으로 탐지하여 교체하는 모니터링이 제공됩니다. 또한, 데이터 복제와 자동화된 일일 스냅샷도 구성됩니다. 소프트웨어를 설치할 필요가 없으며 AWS에서 모든 패치와 소프트웨어 업데이트를 처리합니다.
다중 리전 복제
다중 리전 복제를 사용하여 단일 AWS Managed Microsoft AD 디렉터리를 여러 AWS 리전에 배포하고 사용할 수 있습니다. 이를 통해 Microsoft Windows 및 Linux 워크로드를 더욱 쉽고 비용 효율적으로 전역에서 배포하고 관리할 수 있습니다. 자동화된 다중 리전 복제 기능으로 더 우수한 복원력을 확보하고 애플리케이션에서는 최적의 성능을 위해 로컬 디렉터리를 사용합니다.
HIPAA 및 PCI 적격 서비스
AWS Managed Microsoft AD를 사용하여 미국 HIPAA(미국 의료 정보 보호법) 또는 PCI DSS(Payment Card Industry Data Security Standard)의 적용을 받는 AD 인식 클라우드 애플리케이션을 구축하고 실행할 수 있습니다. AWS Managed Microsoft AD는 고객이 자체 HIPAA 위험 관리 프로그램 또는 PCI DSS 규정 준수 인증을 관리함에 따라 클라우드 애플리케이션을 위해 규정 준수 AD 인프라를 배포하는 데 드는 노력을 줄여줍니다.
트러스트 지원
AD 트러스트 관계를 사용하여 AWS Managed Microsoft AD를 기존 AD에 손쉽게 통합할 수 있습니다. 트러스트를 사용하면 기존 Active Directory를 사용하여 AWS 리소스에 액세스할 수 있는 AD 사용자를 제어할 수 있습니다.
그룹 기반 정책
AWS Managed Microsoft AD에서는 기본 Active Directory 그룹 정책 객체(GPO)를 사용하여 사용자와 디바이스를 관리할 수 있습니다. Group Policy Management Console(GPMC)과 같은 기존 도구로 GPOs를 생성할 수 있습니다.
SSO(Single Sign-On)
AWS Managed Microsoft AD는 기존 온프레미스 AD와 마찬가지로 Kerberos 기반 인증을 사용하여 SSO를 제공합니다. AWS 리소스를 AWS Managed Microsoft AD와 통합함으로써 AD 사용자는 단일 자격 증명 세트로 SSO를 통해 AWS 애플리케이션과 리소스에 로그인할 수 있습니다.
원활한 도메인 조인
AWS Managed Microsoft AD를 사용하면 Amazon EC2 for Windows Server 및 Amazon EC2 for Linux 인스턴스에 원활한 도메인 조인 기능을 사용할 수 있습니다. 신규 EC2 인스턴스의 경우 시작할 때 AWS Management Console을 사용하여 조인할 도메인을 선택할 수 있습니다. 기존 EC2 인스턴스의 경우 EC2Config 서비스를 통해 원활한 도메인 조인 기능을 사용할 수 있습니다. 또한, Amazon EC2 인스턴스는 모든 AWS 계정 및 AWS 리전 내 모든 Amazon VPC에서 하나의 공유된 디렉터리에 원활하게 조인할 수 있습니다.
모든 디렉터리 인식 워크로드를 위한 단일 디렉터리
AWS Managed Microsoft AD를 사용하면 Amazon EC2 인스턴스, Amazon RDS for SQL Server 인스턴스 및 AWS 최종 사용자 컴퓨팅 서비스(Amazon WorkSpaces 등)와 같은 모든 AWS 리소스에서 디렉터리 인식 워크로드에 단일 디렉터리를 사용할 수 있습니다. 디렉터리를 공유하면 디렉터리 인식 워크로드가 한 리전의 여러 AWS 계정 및 Amazon VPC에 걸쳐 손쉽게 Amazon EC2 인스턴스를 관리할 수 있습니다. 또한, 여러 디렉터리에서 데이터를 복제하고 동기화하는 복잡성에서 벗어날 수 있습니다.
AWS Management Console에 대한 페더레이션 액세스
AWS Managed Microsoft AD를 ID 소스로 선택하면 온프레미스 AD 사용자에게 기존 AD 보안 인증 정보와 AWS Identity Center(AWS SSO의 후속 서비스)를 사용하여 AWS Management Console 및 AWS CLI에 로그인할 수 있는 액세스 권한을 부여할 수 있습니다. 이렇게 하면 사용자가 로그인할 때 할당된 역할 중 하나를 수임하며 해당 역할에 정의된 권한에 따라 리소스에 액세스하고 작업을 수행할 수 있습니다. 다른 옵션은 AWS Managed Microsoft AD를 사용하여 사용자가 AWS Identity and Access Management(IAM) 역할을 수임할 수 있도록 하는 것입니다.
일일 스냅샷
AWS Managed Microsoft AD는 일일 자동 스냅샷을 기본적으로 제공합니다. 또한, 중요 애플리케이션을 업데이트하기 전에 추가로 스냅샷을 생성하면 변경 사항을 롤백해야 하는 경우 가장 최신 데이터로 롤백할 수 있습니다.