P: O que é o AWS Directory Service?

O AWS Directory Service é um serviço gerenciado, fornecendo diretórios que contenham informações sobre sua organização, incluindo usuários, grupos, computadores e outros recursos. Como uma oferta gerenciada, o AWS Directory Service foi desenvolvido para reduzir as tarefas de gerenciamento, permitindo assim que você dedique mais tempo e recursos ao seu negócio. Não há necessidade de criar sua própria topologia de diretório complexa e altamente disponível, pois cada diretório é implantado em várias zonas de disponibilidade, e o monitoramento detecta e substitui automaticamente os controladores de domínio que venham a falhar. Além disso, a replicação de dados e os snapshots automáticos diários são configurados para você. Não há nenhum software a ser instalado, e a AWS cuida de todos os patches e atualizações de software.

P: O que pode ser feito com o AWS Directory Service?

O AWS Directory Service facilita a configuração e a execução de diretórios na Nuvem AWS ou a conexão dos seus recursos da AWS com um Microsoft Active Directory existente no local. Após a criação do seu diretório, será possível usá-lo para gerenciar usuários e grupos, disponibilizar aplicações e serviços de logon único, criar e aplicar políticas de grupo, associar em um domínio instâncias do Amazon EC2, como também simplificar a implantação e o gerenciamento de cargas de trabalho Linux e Microsoft Windows baseadas na nuvem. O AWS Directory Service possibilita que os usuários finais utilizem suas credenciais corporativas atuais ao acessar aplicações da AWS, como Amazon WorkSpaces, Amazon WorkDocs e Amazon WorkMail, como também cargas de trabalho da Microsoft com reconhecimento de diretório, inclusive aplicações personalizadas baseadas em servidores .NET e SQL. Finalmente, você pode usar suas credenciais corporativas existentes para administrar os recursos da AWS através o acesso baseado em funções AWS Identity and Access Management (IAM) ao Console de Gerenciamento da AWS, assim você não precisa criar mais infraestrutura de federação de identidade.

P: Como faço para criar um diretório?

É possível usar o Console de Gerenciamento da AWS ou a API para criar um diretório. Tudo o que você precisa é fornecer algumas informações básicas, como um nome de domínio totalmente qualificado (FQDN) para o seu diretório, nome da conta do administrador e senha, e a VPC à qual você deseja conectar o diretório.

P: Posso unir uma instância do Amazon EC2 a um diretório do AWS Directory Service?

Sim. É possível usar o Console de Gerenciamento da AWS ou a API para adicionar instâncias EC2 atuais executando Linux ou Windows a um AWS Microsoft AD.

P: O AWS Directory Service oferece suporte a APIs?

Há suporte para APIs públicas de criação e gerenciamento de diretórios. Com isso, você pode gerenciar os diretórios programaticamente usando APIs públicas. As APIs estão disponíveis no AWS CLI e SDK. Saiba mais sobre as APIs na documentação do AWS Directory Service.

P: O AWS Directory Service é compatível com o registro de log do CloudTrail?

Sim. As ações executadas pelas APIs ou pelo console de gerenciamento do AWS Directory Service serão incluídas nos logs de auditoria do CloudTrail.

P: Posso receber notificações quando o status do meu diretório é alterado?

Sim. Você pode configurar o Amazon Simple Notification Service (SNS) para receber mensagens de e-mail e texto quando o status do AWS Directory Service é alterado. O Amazon SNS usa tópicos para coletar e distribuir mensagens para assinantes. Quando o AWS Directory Service detectar uma alteração no status do seu diretório, publicará uma mensagem no tópico associado, que será enviada aos assinantes do tópico. Consulte a documentação para saber mais.

P: Quanto custa o AWS Directory Service?

Consulte a página de definição de preço para obter mais informações.

P: Posso aplicar tags ao meu diretório?

Sim. O AWS Directory Service é compatível com a aplicação de tags de alocação. A aplicação de tags facilita alocar custos e otimizar gastos ao categorizar e agrupar recursos da AWS. Por exemplo, você pode usar tags para agrupar recursos por administrador, nome do aplicativo, centro de custo ou um projeto específico.

P: O AWS Directory Service está disponível em quais regiões da AWS?

Consulte os produtos e serviços regionais para obter detalhes sobre a disponibilidade do AWS Directory Service por região

P: Como faço para criar um diretório do AWS Microsoft AD?

Você pode executar o console do AWS Directory Service por meio do Console de Gerenciamento da AWS para criar um diretório do AWS Microsoft AD. Como alternativa, você pode usar o AWS SDK ou a AWS CLI.

P: Como os diretórios do AWS Microsoft AD são implantados?

Como padrão, os diretórios do AWS Microsoft AD são implantados entre duas zonas de disponibilidade em uma região e conectados à sua Amazon Virtual Private Cloud (VPC). Os backups são automaticamente feitos uma vez ao dia, e os volumes do Amazon Elastic Block Store (EBS) são criptografados para garantir que os dados estejam em segurança quando estiverem em repouso. Os controladores de domínio com falha são automaticamente substituídos na mesma zona de disponibilidade usando o mesmo endereço IP. Além disso, a recuperação de desastres pode ser feita usando o backup mais recente.

P: Posso configurar os parâmetros de armazenamento, CPU ou memória de um diretório do AWS Microsoft AD?

Não. Esta funcionalidade não é suportada neste momento.

P: Como faço para gerenciar usuários e grupos para o AWS Microsoft AD?

É possível usar as suas ferramentas atuais do Active Directory, executadas em computadores Windows associados ao domínio do AWS Microsoft AD, para gerenciar usuários e grupos nos diretórios do AWS Microsoft AD. Não são exigidas alterações especiais em ferramentas, políticas ou comportamentos.

P: Quais as diferenças nas permissões administrativas entre o AWS Microsoft AD e a execução do Active Directory em minhas próprias instâncias Windows no Amazon EC2?

Para disponibilizar uma experiência de serviço gerenciado, o AWS Microsoft AD não deve permitir operações feitas por clientes que possam interferir com o gerenciamento do serviço. Portanto, a AWS não permite que o Windows PowerShell acesse instâncias de diretório e restringe o acesso a objetos, funções e grupos de diretório que exigem privilégios elevados. O AWS Microsoft AD does não permite acesso direto ao host em controladores de domínio via Telnet, Secure Shell (SSH) ou Windows Remote Desktop Connection. Quando você cria um diretório do AWS Microsoft AD, recebe uma unidade organizacional (OU) e uma conta administrativa com direitos administrativos delegados para essa OU. Você pode criar contas, grupos e políticas de usuários dentro da unidade organizacional (OU) usando ferramentas de administração de servidor remoto, como o Active Directory Users and Groups.

P: Posso usar o Microsoft Network Policy Server (NPS) com o AWS Microsoft AD?

Sim. A conta administrativa criada para você na configuração do AWS Microsoft AD tem direitos de gerenciamento delegados sobre o security group do Remote Access Service (RAS – Serviço de acesso remoto) e do Internet Authentication Service (IAS – Serviço de autenticação da Internet). Dessa forma, você pode registrar o NPS com o AWS Microsoft AD e gerenciar as políticas de acesso à rede para as contas do seu domínio.

P: O AWS Microsoft AD é compatível com extensões de schema?

Sim. O AWS Microsoft AD é compatível com extensões de schema enviadas para o serviço na forma de um arquivo LDAP Data Interchange Format (LDIF – Formato de intercâmbio de dados do LDAP). Você pode estender, mas não modificar, o schema principal do Active Directory.

P: Quais aplicativos são compatíveis com o AWS Microsoft AD?

Os aplicativos a seguir são compatíveis com o AWS Microsoft AD:

  • Amazon Chime
  • Amazon Connect
  • Amazon EC2
  • Amazon RDS for SQL Server
  • Amazon QuickSight
  • Amazon WorkDocs
  • Amazon WorkMail
  • Amazon WorkSpaces
  • Console de Gerenciamento da AWS
  • Serviços de Federação do Active Directory (AD FS)
  • Servidor de aplicativos (.NET)
  • Azure Active Directory (AD) Connect
  • Autoridade de certificação empresarial
  • Gerenciador de Licenciamento de Área de Trabalho Remota
  • SharePoint Server
  • SQL Server  

É possível que não haja suporte a todas as configurações desses aplicativos.

P: Posso migrar um Microsoft Active Directory atual no local para o AWS Microsoft AD?

A AWS não disponibiliza nenhuma ferramenta para migrar um Active Directory autogerenciado para o AWS Microsoft AD. Você deve estabelecer uma estratégia para executar a migração que inclua redefinições de senha, além da implementação de planos usando Ferramentas de administração de servidor remoto.

P: Posso configurar encaminhadores condicionais e relações de confiança no console do Directory Service?

Sim. Você pode configurar encaminhadores condicionais e relações de confiança do AWS Microsoft AD usando o console e a API do Directory Service.

P: Posso adicionar manualmente mais controladores de domínio ao AWS Microsoft AD?

Sim. Você pode adicionar mais controladores de domínio a um domínio gerenciado usando o console ou a API do AWS Directory Service. Não há suporte para a promoção manual de instâncias do Amazon EC2 para controladores de domínio.

P: Posso usar o Microsoft Office 365 com contas de usuário gerenciadas no AWS Microsoft AD?

Sim. Você pode sincronizar identidades do AWS Microsoft AD para o Azure AD por meio do Azure AD Connect e usar o Microsoft Active Directory Federation Services (AD FS) para o Windows 2016 com o AWS Microsoft AD para autenticar usuários do Office 365. Para obter instruções detalhadas, consulte How to Enable Your Users to Access Office 365 with AWS Microsoft Active Directory Credentials.  

P: Posso usar autenticação baseada no Security Assertion Markup Language (SAML) 2.0 com aplicativos da nuvem por meio do AWS Microsoft AD?

Sim. Você pode usar o Microsoft Active Directory Federation Services (AD FS) para Windows 2016 com um domínio gerenciado do AWS Microsoft AD para autenticar usuários em aplicativos da nuvem que oferecem suporte ao SAML.

P: Posso criptografar a comunicação entre os aplicativos e o AWS Microsoft AD usando o LDAPS?

Sim. O AWS Microsoft AD oferece suporte ao Lightweight Directory Access Protocol (LDAP) sobre o Secure Socket Layer (SSL) na porta 636 e ao LDAP over Transport Layer Security (TLS) na porta 389, também conhecido como LDAPS. Você habilita os dois tipos de comunicação LDAPS instalando um certificado de uma Microsoft Certificate Authority (CA) nos controladores de domínio do AWS Microsoft AD. Para saber mais, consulte How to Enable LDAPS for Your AWS Microsoft AD Directory.

P: Para quantos usuários, grupos, computadores e total de objetos o AWS Microsoft AD oferece suporte?

O AWS Microsoft AD (Standard Edition) inclui 1 GB para armazenamento de objetos de diretório. Essa capacidade pode comportar até 5.000 usuários ou 30.000 objetos de diretório, incluindo usuários, grupos e computadores. O AWS Microsoft AD (Enterprise Edition) inclui 17 GB de armazenamento de objetos de diretório. Essa capacidade pode comportar até 100.000 usuários ou 500.000 objetos.

P: Posso usar o AWS Microsoft AD como diretório principal?

Sim. Você pode usá-lo como diretório principal para gerenciar usuários, grupos, computadores e objetos de política de grupos (GPOs) na nuvem. É possível gerenciar o acesso e oferecer logon único (SSO) em aplicativos e serviços da AWS, bem como para aplicativos de terceiros compatíveis com diretório executados em instâncias do Amazon EC2 na Nuvem AWS. Além disso, você pode usar o Azure AD Connect e o AD FS para oferecer suporte ao SSO em aplicativos da nuvem, incluindo o Office 365.

P: Posso usar o AWS Microsoft AD como uma floresta de recursos?

Sim. Você pode usar o AWS Microsoft AD como uma floresta de recursos que contém principalmente computadores e grupos com relações de confiança com um diretório no local. Assim, os usuários podem acessar aplicativos e recursos da AWS com suas credenciais do AD no local.

P: O que é a fácil associação em domínio?

A fácil associação em domínio é um recurso que permite às suas instâncias do Amazon EC2 for Windows a fácil associação em domínio no momento em que forem executadas e por meio do Console de Gerenciamento da AWS. Você pode associar instâncias ao AWS Microsoft AD executado na Nuvem AWS.

P: Como uma instância pode ingressar facilmente em um domínio?

Quando você criar e executar uma instância EC2 for Windows no Console de Gerenciamento da AWS, poderá selecionar em que domínio sua instância será associada. Para saber mais, consulte a documentação.

P: Posso ingressar no domínio as instâncias EC2 do Windows Server atuais?

Você não pode usar o recurso de fácil ingresso no domínio do Console de Gerenciamento da AWS para instâncias EC2 do Windows Server, mas pode ingressar instâncias atuais em um domínio usando a API do EC2 ou o PowerShell na instância. Para saber mais, consulte a documentação.

P: Como o AWS Directory Service permite o login único (SSO) no Console de Gerenciamento da AWS?

O AWS Directory Service permite que você atribua funções do IAM aos usuários e grupos do AWS Microsoft AD ou do AD Simples na Nuvem AWS, bem como a usuários e grupos existentes do Microsoft Active Directory no local usando o AD Connector. Essas funções controlarão o acesso do usuário aos serviços do AWS baseado em políticas do IAM atribuídas às funções. O AWS Directory Service fornece um URL específico do cliente para o Console de Gerenciamento da AWS, que os usuários podem utilizar para fazer login com suas credenciais corporativas existentes. Consulte a nossa documentação para obter mais informações sobre esse recurso.

P: Posso usar o AWS Microsoft AD para cargas de trabalho da Nuvem AWS sujeitas a padrões de conformidade?

Sim. O AWS Microsoft AD implementou os controles necessários para o cumprimento dos requisitos da U.S. Health Insurance Portability and Accountability Act (HIPAA – Lei de portabilidade e responsabilidade de provedores de saúde) dos EUA e está incluído como um serviço dentro do escopo no resumo do atestado de conformidade e responsabilidade do Payment Card Industry Data Security Standard (PCI DSS – Padrão de segurança de dados do setor de cartões de pagamento).  

P: Como posso acessar relatórios de conformidade e segurança?

Para acessar uma lista abrangente de documentos relevantes para a conformidade e a segurança na Nuvem AWS, consulte o AWS Artifact

P: O que é o modelo de responsabilidade compartilhada da AWS?

A segurança, incluindo a conformidade com a HIPAA e o PCI DSS, é uma responsabilidade compartilhada entre você e a AWS. Por exemplo, é sua responsabilidade configurar as políticas de senha do AWS Microsoft AD para cumprir os requisitos do PCI DSS relacionados ao uso do AWS Microsoft AD. Para saber mais sobre as ações que podem ser necessárias para cumprir requisitos de conformidade com a HIPAA e o PCI DSS, consulte a documentação de conformidade do AWS Microsoft AD, leia o whitepaper Como definir a arquitetura para a segurança e a conformidade da HIPAA na Amazon Web Services e consulte Conformidade da Nuvem AWSConformidade com a HIPAAConformidade com o PCI DSS.


Se tiver dúvidas sobre o AD Connector ou o AD Simples, consulte as outas opções de diretório do AWS Directory Service.