Perguntas frequentes do AWS Directory Service

Você pode executar o console do AWS Directory Service por meio do Console de Gerenciamento da AWS para criar um diretório do AWS Managed Microsoft AD. Como alternativa, você pode usar o AWS SDK ou a AWS CLI.

Como padrão, os diretórios do AWS Managed Microsoft AD são implantados entre duas zonas de disponibilidade em uma região e conectados à sua Amazon Virtual Private Cloud (VPC). Os backups são automaticamente feitos uma vez ao dia, e os volumes do Amazon Elastic Block Store (EBS) são criptografados para garantir que os dados estejam seguros em repouso. Os controladores de domínio com falha são automaticamente substituídos na mesma zona de disponibilidade usando o mesmo endereço IP. Além disso, a recuperação de desastres pode ser feita usando o backup mais recente.

Não. Esta funcionalidade não é suportada neste momento.

É possível usar as suas ferramentas atuais do Active Directory – executadas em computadores Windows associados ao domínio do AWS Managed Microsoft AD – para gerenciar usuários e grupos nos diretórios do AWS Managed Microsoft AD. Não são exigidas alterações especiais em ferramentas, políticas ou comportamentos.

Para disponibilizar uma experiência de serviço gerenciado, o AWS Managed Microsoft AD não deve permitir operações feitas por clientes que possam interferir com o gerenciamento do serviço. Portanto, a AWS restringe o acesso a objetos, funções e grupos de diretórios que necessitam de privilégios elevados. O AWS Managed Microsoft AD não permite que controladores de domínio tenham acesso direto ao host por meio do Windows Remote Desktop Connection, PowerShell Remoting, Telnet ou Secure Shell (SSH). Quando você criar um diretório do AWS Managed Microsoft AD, receberá uma unidade organizacional (OU) e uma conta administrativa com direitos administrativos delegados para essa OU. Você pode criar contas, grupos e políticas de usuários dentro da OU usando ferramentas de administração de servidor remoto padrão, como usuários e grupos do Active Directory ou o módulo ActiveDirectory do PowerShell.

Sim. A conta administrativa criada para você na configuração do AWS Managed Microsoft AD tem direitos de gerenciamento delegados sobre o security group do Remote Access Service (RAS – serviço de acesso remoto) e do Internet Authentication Service (IAS – serviço de autenticação da internet). Dessa forma, você pode registrar o NPS com o AWS Managed Microsoft AD e gerenciar as políticas de acesso à rede para as contas do seu domínio.

Sim. O AWS Managed Microsoft AD é compatível com extensões de schema enviadas para o serviço na forma de um arquivo LDAP Data Interchange Format (LDIF – formato de intercâmbio de dados do LDAP). Você pode estender, mas não modificar, o schema principal do Active Directory.

Amazon Chime

Amazon Connect

Instâncias do Amazon EC2

Amazon FSx for Windows File Server

Amazon QuickSight

Amazon RDS para MySQL

Amazon RDS para Oracle

Amazon RDS para PostgreSQL

Amazon RDS para SQL Server

Amazon Single Sign-On

Amazon WorkDocs

Amazon WorkMail

Amazon WorkSpaces

AWS Client VPN

Console de Gerenciamento da AWS

É possível que não haja suporte a todas as configurações desses aplicativos.

O AWS Managed Microsoft AD é baseado no Active Directory real e oferece a maior variedade de ferramentas nativas do AD e suporte a aplicativos de outros fornecedores, como:

Active Directory-Based Activation (ADBA)

Active Directory Certificate Services (AD CS): Enterprise Certificate Authority

Serviços de Federação do Active Directory (AD FS)

Usuários e computadores do Active Directory (ADUC)

Servidor de aplicativos (.NET)

Azure Active Directory (Azure AD)

Azure Active Directory (AD) Connect

Distributed File System Replication (DFSR)

Distributed File System Namespaces (DFSN)

Servidor de licenciamento de serviços da área de trabalho remota da Microsoft

Microsoft SharePoint Server

Microsoft SQL Server (incluindo os grupos de disponibilidade Always on do SQL Server)

Microsoft System Center Configuration Manager (SCCM)

Sistemas operacionais Microsoft Windows e Windows Server

Office 365

Active Directory Certificate Services (AD CS): Certificate Enrollment Web Service

Active Directory Certificate Services (AD CS): Certificate Enrollment Policy Web Service

Microsoft Exchange Server

Microsoft Skype para Business Server

A AWS não disponibiliza nenhuma ferramenta para migrar um Active Directory autogerenciado para o AWS Managed Microsoft AD. Você deve estabelecer uma estratégia para executar a migração que inclua redefinições de senha, além da implementação de planos usando Ferramentas de administração de servidor remoto.

Sim. Você pode configurar encaminhadores condicionais e relações de confiança do AWS Managed Microsoft AD usando o console e a API do Directory Service. 

Sim. Você pode adicionar mais controladores de domínio a um domínio gerenciado usando o console ou a API do AWS Directory Service. Não há suporte para a promoção manual de instâncias do Amazon EC2 para controladores de domínio. 

Sim. Você pode sincronizar identidades do AWS Managed Microsoft AD com o Azure AD por meio do Azure AD Connect e usar o Microsoft Active Directory Federation Services (AD FS) para o Windows 2016 com o AWS Managed Microsoft AD para autenticar usuários do Office 365. Para obter instruções detalhadas, consulte Como permitir que seus usuários acessem o Office 365 com credenciais do AWS Microsoft Active Directory.  

Sim. Você pode usar o Microsoft Active Directory Federation Services (AD FS) para Windows 2016 com um domínio gerenciado do AWS Managed Microsoft AD para autenticar usuários em aplicativos da nuvem que oferecem suporte ao SAML. 

Sim. O AWS Managed Microsoft AD oferece suporte ao Lightweight Directory Access Protocol (LDAP) sobre Secure Socket Layer (SSL)/Transport Layer Security (TLS), também conhecido como LDAPS, nas funções de cliente e servidor. Atuando como servidor, o AWS Managed Microsoft AD oferece suporte ao LDAPS nas portas 636 (SSL) e 389 (TLS). Você habilita a comunicação do LDAPS no lado do servidor instalando nos controladores de domínio do AWS Managed Microsoft AD um certificado de uma autoridade de certificados (AC) do Active Directory Certificate Services baseado na AWS. Para saber mais, consulte Habilitar LDAP seguro (LDAPS). 

Sim. O AWS Managed Microsoft AD oferece suporte ao Lightweight Directory Access Protocol (LDAP) sobre Secure Socket Layer (SSL)/Transport Layer Security (TLS), também conhecido como LDAPS, nas funções de cliente e servidor. Atuando como cliente, o AWS Managed Microsoft AD oferece suporte ao LDAPS na porta 636 (SSL). Você habilita a comunicação do LDAPS no lado do cliente registrando certificados da autoridade de certificação (AC) da emissora do certificado do servidor na AWS. Para saber mais, consulte Habilitar LDAP seguro (LDAPS). 

O Microsoft AD gerenciado pela AWS é compatível com a assinatura do LDAP e o LDAP sobre SSL/TLS (LDAPS) quando atua como clientes LDAP que se comunicam com o Active Directory autogerenciado. A assinatura do LDAP no lado do cliente não exige ação do cliente para ser habilitada e proporciona integridade de dados. O LDAPS no lado do cliente exige configuração e proporciona integridade de confidencialidade. Para obter mais informações, consulte esta publicação do AWS Forums. 

O AWS Managed Microsoft AD (Standard Edition) inclui 1 GB para armazenamento de objetos de diretório. Essa capacidade pode comportar até 5.000 usuários ou 30.000 objetos de diretório, incluindo usuários, grupos e computadores. O AWS Managed Microsoft AD (Enterprise Edition) inclui 17 GB de armazenamento de objetos de diretório. Essa capacidade pode comportar até 100.000 usuários ou 500.000 objetos. 

Sim. Você pode usá-lo como diretório principal para gerenciar usuários, grupos, computadores e objetos de política de grupos (GPOs) na nuvem. É possível gerenciar o acesso e oferecer logon único (SSO) em aplicativos e serviços da AWS, bem como para aplicativos de terceiros compatíveis com diretório executados em instâncias do Amazon EC2 na Nuvem AWS. Além disso, você pode usar o Azure AD Connect e o AD FS para oferecer suporte ao SSO em aplicativos da nuvem, incluindo o Office 365. 

Sim. Você pode usar o AWS Managed Microsoft AD como uma floresta de recursos que contém principalmente computadores e grupos com relações de confiança com um diretório no local. Assim, os usuários podem acessar aplicativos e recursos da AWS com suas credenciais do AD no local. 

A replicação multirregional é um recurso que permite a implantação e o uso de um único diretório do AWS Managed Microsoft AD em várias regiões da AWS. Isso torna mais fácil e econômico para você implantar e gerenciar suas cargas de trabalho do Microsoft Windows e Linux globalmente. Com o recurso de replicação automatizada de várias regiões, você obtém maior resiliência, enquanto suas aplicações usam um diretório local para desempenho ideal. Esse recurso só está disponível no AWS Managed Microsoft AD (Enterprise Edition). Você pode usar o recurso para diretórios novos e existentes.

Primeiramente, abra o console do AWS Directory Service na região em que seu diretório já está implantado e em execução (região primária). Selecione o diretório que você deseja expandir e escolha Add Region (Adicionar região). Em seguida, selecione a região para a qual você deseja expandir, forneça o Amazon Virtual Private Cloud (VPC) e as sub-redes nas quais você deseja implantar seu diretório. Você também pode usar APIs para expandir seu diretório. Para saber mais, consulte a documentação.

O AWS Managed Microsoft AD configura automaticamente a conectividade de rede entre regiões, implanta controladores de domínio e replica todos os seus dados de diretório, incluindo usuários, grupos, objetos de política de grupos (GPOs) e esquema, nas regiões selecionadas. Além disso, o AWS Managed Microsoft AD configura um novo site AD por região, o que melhora a autenticação do usuário e o desempenho de replicação do controlador de domínio na região, ao mesmo tempo que reduz os custos ao minimizar as transferências de dados entre as regiões. O identificador do seu diretório (directory_id) permanece o mesmo na nova região e é implantado na mesma conta da AWS que a da sua região primária.

Sim, com a replicação multirregional você tem a flexibilidade de compartilhar seu diretório com outras contas da AWS por região. As configurações de compartilhamento de diretórios não são automaticamente replicadas a partir da região primária. Para saber como compartilhar seu diretório com outras contas da AWS, consulte a documentação.

Sim, com a replicação multirregional você tem a flexibilidade de definir o número de controladores de domínio por região. Para saber como adicionar um controlador de domínio, consulte a documentação.

Com a replicação multirregional, você monitora o status do diretório em cada região, independentemente. Você precisa habilitar o Amazon Simple Notification Service (SNS) em cada região em que implantou o diretório, usando o console do AWS Directory Service ou a API. Para saber mais, consulte a documentação.

Com a replicação multirregional, você monitora os logs de segurança do diretório em cada região, independentemente. Você precisa habilitar o Amazon CloudWatch Logs em cada região em que implantou o diretório, usando o console do AWS Directory Service ou a API. Para saber mais, consulte a documentação.

Sim, você pode renomear o nome do site do AD do diretório por região usando ferramentas padrão do AD. Para saber mais, consulte a documentação.

Sim. Se você não tiver aplicativos da AWS registrados no seu diretório e não tiver compartilhado o diretório com alguma conta da AWS na região, o AWS Managed Microsoft AD permitirá que você remova uma região da AWS do diretório. Você não pode remover a região primária, a não ser que exclua o diretório.

A replicação multirregional é compatível com o Amazon EC2, com o Amazon RDS (SQL Server, Oracle, MySQL, PostgreSQL e MariaDB), Amazon Aurora (MySQL e PostgreSQL) e Amazon FSx for Windows File Server nativamente. Você também pode fazer a integração de outros aplicativos da AWS, como o Amazon WorkSpaces, o AWS Single Sign-On, o AWS Client VPN, o Amazon QuickSight, o Amazon Connect, o Amazon WorkDocs, o Amazon WorkMail e o Amazon Chime com seu diretório nas noc=vas regiões configurando o AD Connector com seu diretório do AWS Managed Microsoft AD por região.

O ingresso transparente em domínios é um recurso que permite ingressar facilmente as instâncias do Amazon EC2 for Windows Server e do Amazon EC2 for Linux nos domínios, no momento em que são executadas e por meio do Console de Gerenciamento da AWS. Você pode ingressar instâncias no AWS Managed Microsoft AD executado na Nuvem AWS.

Ao criar e executar uma instância do EC2 for Windows ou EC2 for Linux no Console de Gerenciamento da AWS, você poderá selecionar em qual domínio a instância será ingressada. Para saber mais, consulte a documentação.

Você não pode usar o recurso de ingresso transparente em domínios do Console de Gerenciamento da AWS para instâncias do EC2 for Windows Server e EC2 for Linux, mas pode ingressar instâncias existentes em um domínio usando a API do EC2 ou o PowerShell na instância. Para saber mais, consulte a documentação.

O recurso de ingresso transparente em domínios está atualmente disponível para o Amazon Linux, Amazon Linux 2, CentOS 7 ou mais novo, RHEL 7.5 mais novo e Ubuntu 14 to 18.

O AWS Directory Service permite que você atribua funções do IAM aos usuários e grupos do AWS Manage Microsoft AD ou do Simple AD na Nuvem AWS, bem como a usuários e grupos existentes do Microsoft Active Directory no local usando o AD Connector. Essas funções controlam o acesso do usuário aos serviços do AWS baseado em políticas do IAM atribuídas às funções. O AWS Directory Service fornece um URL específico do cliente para o Console de Gerenciamento da AWS, que os usuários podem utilizar para fazer login com suas credenciais corporativas existentes. Consulte a nossa documentação para obter mais informações sobre esse atributo. 

Sim. O AWS Managed Microsoft AD implementou os controles necessários para o cumprimento dos requisitos da Health Insurance Portability and Accountability Act (HIPAA – Lei de Portabilidade e Responsabilidade de Provedores de Saúde) dos EUA e está incluído como um serviço dentro do escopo no atestado de conformidade e resumo das responsabilidades do Payment Card Industry Data Security Standard (PCI DSS – Padrão de Segurança de dados do Setor de Cartões de Pagamento). 

Para acessar uma lista abrangente de documentos relevantes para a conformidade e a segurança na Nuvem AWS, consulte o AWS Artifact.

A segurança, incluindo a conformidade com a HIPAA e o PCI DSS, é uma responsabilidade compartilhada entre você e a AWS. Por exemplo, é sua responsabilidade configurar as políticas de senha do AWS Managed Microsoft AD para cumprir os requisitos do PCI DSS relacionados ao uso do AWS Managed Microsoft AD. Para saber mais sobre as ações que podem ser necessárias para cumprir requisitos de conformidade com a HIPAA e o PCI DSS, consulte a documentação de conformidade do AWS Managed Microsoft AD, leia o artigo técnico Como definir a arquitetura para a segurança e a conformidade da HIPAA na Amazon Web Services e consulte os documentos sobre conformidade da Nuvem AWS, conformidade com a HIPAA e conformidade com o PCI DSS.