Perguntas frequentes do AWS Directory Service

P: O que é o AWS Directory Service?

O AWS Directory Service é um serviço gerenciado, fornecendo diretórios que contenham informações sobre sua organização, incluindo usuários, grupos, computadores e outros recursos. Como uma oferta gerenciada, o AWS Directory Service foi desenvolvido para reduzir as tarefas de gerenciamento, permitindo assim que você dedique mais tempo e recursos ao seu negócio. Não há necessidade de criar sua própria topologia de diretório complexa e altamente disponível, pois cada diretório é implantado em várias zonas de disponibilidade, e o monitoramento detecta e substitui automaticamente os controladores de domínio que venham a falhar. Além disso, a replicação de dados e os snapshots automáticos diários são configurados para você. Não há nenhum software a ser instalado, e a AWS cuida de todos os patches e atualizações de software.

P: O que pode ser feito com o AWS Directory Service?

O AWS Directory Service facilita a configuração e a execução de diretórios na Nuvem AWS ou a conexão dos seus recursos da AWS com um Microsoft Active Directory existente no local. Após a criação do seu diretório, será possível usá-lo para gerenciar usuários e grupos, disponibilizar aplicações e serviços de logon único, criar e aplicar políticas de grupo, associar em um domínio instâncias do Amazon EC2, como também simplificar a implantação e o gerenciamento de cargas de trabalho Linux e Microsoft Windows baseadas na nuvem. O AWS Directory Service possibilita que os usuários finais utilizem suas credenciais corporativas atuais ao acessar aplicações da AWS, como Amazon WorkSpaces, Amazon WorkDocs e Amazon WorkMail, como também cargas de trabalho da Microsoft com reconhecimento de diretório, inclusive aplicações personalizadas baseadas em servidores .NET e SQL. Por fim, você pode usar suas credenciais corporativas existentes para administrar os recursos da AWS através do acesso baseado em funções AWS Identity and Access Management (IAM) ao Console de Gerenciamento da AWS, assim você não precisa aumentar a infraestrutura de federação de identidades.

P: Como faço para criar um diretório?

É possível usar o Console de Gerenciamento da AWS ou a API para criar um diretório. Tudo o que você precisa é fornecer algumas informações básicas, como um nome de domínio totalmente qualificado (FQDN) para o seu diretório, nome e senha da conta do administrador, e a VPC à qual você deseja conectar o diretório.

P: Posso unir uma instância do Amazon EC2 a um diretório do AWS Directory Service?

Sim, é possível usar o Console de Gerenciamento da AWS ou a API para adicionar instâncias do EC2 atuais executando Linux ou Windows a um diretório do AWS Managed Microsoft AD.

P: O AWS Directory Service oferece suporte a APIs?

Há suporte para APIs públicas de criação e gerenciamento de diretórios. Com isso, você pode gerenciar os diretórios programaticamente usando APIs públicas. As APIs estão disponíveis no AWS CLI e SDK. Saiba mais sobre as APIs na documentação do AWS Directory Service.

P: O AWS Directory Service é compatível com o registro de log do CloudTrail?

Sim. As ações executadas pelas APIs ou pelo console de gerenciamento do AWS Directory Service serão incluídas nos logs de auditoria do CloudTrail.

P: Posso receber notificações quando o status do meu diretório é alterado?

Sim. Você poderá configurar o Amazon Simple Notification Service (SNS) para receber mensagens de e-mail e texto quando o status do AWS Directory Service for alterado. O Amazon SNS usa tópicos para coletar e distribuir mensagens para assinantes. Quando o AWS Directory Service detectar uma alteração no status do seu diretório, publicará uma mensagem no tópico associado, que será enviada aos assinantes do tópico. Consulte a documentação para saber mais.

P: Quanto custa o AWS Directory Service?

Consulte a página de definição de preço para obter mais informações.

P: Posso aplicar tags ao meu diretório?

Sim. O AWS Directory Service é compatível com a aplicação de tags de alocação. A aplicação de tags facilita alocar custos e otimizar gastos ao categorizar e agrupar recursos da AWS. Por exemplo, você pode usar tags para agrupar recursos por administrador, nome do aplicativo, centro de custo ou um projeto específico.

P: O AWS Directory Service está disponível em quais regiões da AWS?

Consulte os produtos e serviços regionais para obter detalhes sobre a disponibilidade do AWS Directory Service por região.

P: Há suporte para quais versões do protocolo SMB (Server Message Block) pelo AWS Managed Microsoft AD?

A partir de 31/05/2020, os computadores clientes podem usar apenas o SMB versão 2.0 (SMBv2) ou mais recente para acessar os arquivos armazenados nos compartilhamentos SYSVOL e NETLOGON dos controladores de domínio para seus diretórios do AWS Managed Microsoft AD. No entanto, a AWS recomenda que os clientes usem apenas o SMBv2 ou mais recente em todos os serviços de arquivo baseados em SMB.

P: Como faço para criar um diretório do AWS Managed Microsoft AD?

Você pode executar o console do AWS Directory Service por meio do Console de Gerenciamento da AWS para criar um diretório do AWS Managed Microsoft AD. Como alternativa, você pode usar o AWS SDK ou a AWS CLI.

P: Como os diretórios do AWS Managed Microsoft AD são implantados?

Como padrão, os diretórios do AWS Managed Microsoft AD são implantados entre duas zonas de disponibilidade em uma região e conectados à sua Amazon Virtual Private Cloud (VPC). Os backups são automaticamente feitos uma vez ao dia, e os volumes do Amazon Elastic Block Store (EBS) são criptografados para garantir que os dados estejam seguros em repouso. Os controladores de domínio com falha são automaticamente substituídos na mesma zona de disponibilidade usando o mesmo endereço IP. Além disso, a recuperação de desastres pode ser feita usando o backup mais recente.

P: Posso configurar os parâmetros de armazenamento, CPU ou memória de um diretório do AWS Managed Microsoft AD?

Não. Esta funcionalidade não é suportada neste momento.

P: Como faço para gerenciar usuários e grupos para o AWS Managed Microsoft AD?

É possível usar as suas ferramentas atuais do Active Directory – executadas em computadores Windows associados ao domínio do AWS Managed Microsoft AD – para gerenciar usuários e grupos nos diretórios do AWS Managed Microsoft AD. Não são exigidas alterações especiais em ferramentas, políticas ou comportamentos.

P: Quais as diferenças nas permissões administrativas entre o AWS Managed Microsoft AD e a execução do Active Directory em minhas próprias instâncias Windows no Amazon EC2?

Para disponibilizar uma experiência de serviço gerenciado, o AWS Managed Microsoft AD não deve permitir operações feitas por clientes que possam interferir com o gerenciamento do serviço. Portanto, a AWS restringe o acesso a objetos, funções e grupos de diretórios que necessitam de privilégios elevados. O AWS Managed Microsoft AD não permite que controladores de domínio tenham acesso direto ao host por meio do Windows Remote Desktop Connection, PowerShell Remoting, Telnet ou Secure Shell (SSH). Quando você criar um diretório do AWS Managed Microsoft AD, receberá uma unidade organizacional (OU) e uma conta administrativa com direitos administrativos delegados para essa OU. Você pode criar contas, grupos e políticas de usuários dentro da OU usando ferramentas de administração de servidor remoto padrão, como usuários e grupos do Active Directory ou o módulo ActiveDirectory do PowerShell.

P: Posso usar o Microsoft Network Policy Server (NPS) com o AWS Managed Microsoft AD?

Sim. A conta administrativa criada para você na configuração do AWS Managed Microsoft AD tem direitos de gerenciamento delegados sobre o security group do Remote Access Service (RAS – serviço de acesso remoto) e do Internet Authentication Service (IAS – serviço de autenticação da internet). Dessa forma, você pode registrar o NPS com o AWS Managed Microsoft AD e gerenciar as políticas de acesso à rede para as contas do seu domínio.

P: O AWS Managed Microsoft AD é compatível com extensões de schema?

Sim. O AWS Managed Microsoft AD é compatível com extensões de schema enviadas para o serviço na forma de um arquivo LDAP Data Interchange Format (LDIF – formato de intercâmbio de dados do LDAP). Você pode estender, mas não modificar, o schema principal do Active Directory.

P: Quais aplicativos são compatíveis com o AWS Managed Microsoft AD?

Amazon Chime
Amazon Connect
Instâncias do Amazon EC2
Amazon FSx for Windows File Server
Amazon QuickSight
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
Amazon Single Sign-On
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS Client VPN
Console de Gerenciamento da AWS

É possível que não haja suporte a todas as configurações dessas aplicações.

P: Qual software de terceiros é compatível com o AWS Managed Microsoft AD?

O AWS Managed Microsoft AD é baseado no Active Directory real e oferece a maior variedade de ferramentas nativas do AD e suporte a aplicativos de outros fornecedores, como:

Active Directory-Based Activation (ADBA)
Active Directory Certificate Services (AD CS): Enterprise Certificate Authority
Active Directory Federation Services (AD FS)
Usuários e computadores do Active Directory (ADUC)
Servidor de aplicações (.NET)
Azure Active Directory (Azure AD)
Azure Active Directory (AD) Connect
Distributed File System Replication (DFSR)
Distributed File System Namespaces (DFSN)
Servidor de licenciamento de serviços da área de trabalho remota da Microsoft
Microsoft SharePoint Server
Microsoft SQL Server (incluindo os grupos de disponibilidade Always on do SQL Server)
Microsoft System Center Configuration Manager (SCCM)
Sistemas operacionais Microsoft Windows e Windows Server
Office 365

P: Qual software de terceiros NÃO é compatível com o AWS Managed Microsoft AD?

Active Directory Certificate Services (AD CS): Certificate Enrollment Web Service
Active Directory Certificate Services (AD CS): Certificate Enrollment Policy Web Service
Microsoft Exchange Server
Microsoft Skype for Business Server

P: Posso migrar um Microsoft Active Directory on-premise existente para o AWS Managed Microsoft AD?

A AWS não disponibiliza nenhuma ferramenta para migrar um Active Directory autogerenciado para o AWS Managed Microsoft AD. Você deve estabelecer uma estratégia para executar a migração que inclua redefinições de senha, além da implementação de planos usando ferramentas de administração de servidor remoto.

P: Posso configurar encaminhadores condicionais e relações de confiança no console do Directory Service?

Sim. Você pode configurar encaminhadores condicionais e relações de confiança do AWS Managed Microsoft AD usando o console e a API do Directory Service. 

P: Posso adicionar manualmente mais controladores de domínio ao meu AWS Managed Microsoft AD?

Sim. Você pode adicionar mais controladores de domínio a um domínio gerenciado usando o console ou a API do AWS Directory Service. Não há suporte para a promoção manual de instâncias do Amazon EC2 para controladores de domínio. 

P: Posso usar o Microsoft Office 365 com contas de usuário gerenciadas no AWS Managed Microsoft AD?

Sim. Você pode sincronizar identidades do AWS Managed Microsoft AD com o Azure AD por meio do Azure AD Connect e usar o Microsoft Active Directory Federation Services (AD FS) para o Windows 2016 com o AWS Managed Microsoft AD para autenticar usuários do Office 365. Para obter instruções detalhadas, consulte How to Enable Your Users to Access Office 365 with AWS Microsoft Active Directory Credentials. 

P: Posso usar autenticação baseada no Security Assertion Markup Language (SAML) 2.0 com aplicativos da nuvem por meio do AWS Managed Microsoft AD?

Sim. Você pode usar o Microsoft Active Directory Federation Services (AD FS) para Windows 2016 com um domínio gerenciado do AWS Managed Microsoft AD para autenticar usuários em aplicativos da nuvem que oferecem suporte ao SAML. 

P: Posso criptografar a comunicação entre os aplicativos e o AWS Managed Microsoft AD usando o LDAPS?

Sim. O AWS Managed Microsoft AD oferece suporte ao Lightweight Directory Access Protocol (LDAP) sobre Secure Socket Layer (SSL)/Transport Layer Security (TLS), também conhecido como LDAPS, nas funções de cliente e servidor. Atuando como servidor, o AWS Managed Microsoft AD oferece suporte ao LDAPS nas portas 636 (SSL) e 389 (TLS). Você habilita a comunicação do LDAPS no lado do servidor instalando nos controladores de domínio do AWS Managed Microsoft AD um certificado de uma autoridade de certificados (AC) do Active Directory Certificate Services baseado na AWS. Para saber mais, consulte Enable Secure LDAP (LDAPS). 

P: Posso criptografar as comunicações do LDAP entre aplicativos da AWS e um AD autogerenciado usando o AWS Managed Microsoft AD?

Sim. O AWS Managed Microsoft AD oferece suporte ao Lightweight Directory Access Protocol (LDAP) sobre Secure Socket Layer (SSL)/Transport Layer Security (TLS), também conhecido como LDAPS, nas funções de cliente e servidor. Atuando como cliente, o AWS Managed Microsoft AD oferece suporte ao LDAPS na porta 636 (SSL). Você habilita a comunicação do LDAPS no lado do cliente registrando certificados da autoridade de certificação (AC) da emissora do certificado do servidor na AWS. Para saber mais, consulte Enable Secure LDAP (LDAPS). 

P: Como o Microsoft AD gerenciado pela AWS processa o aviso ADV190023 da Microsoft, que descreve alterações nas configurações padrão de segurança do LDAP em controladores de domínio do AD?

O Microsoft AD gerenciado pela AWS é compatível com a assinatura do LDAP e o LDAP sobre SSL/TLS (LDAPS) quando atua como clientes LDAP que se comunicam com o Active Directory autogerenciado. A assinatura do LDAP no lado do cliente não exige ação do cliente para ser habilitada e proporciona integridade de dados. O LDAPS no lado do cliente exige configuração e proporciona integridade de confidencialidade. Para obter mais informações, consulte esta publicação do AWS Forums. 

P: Para quantos usuários, grupos, computadores e total de objetos o AWS Managed Microsoft AD oferece suporte?

O AWS Managed Microsoft AD (Standard Edition) inclui 1 GB para armazenamento de objetos de diretório. Essa capacidade pode comportar até 5.000 usuários ou 30.000 objetos de diretório, incluindo usuários, grupos e computadores. O AWS Managed Microsoft AD (Enterprise Edition) inclui 17 GB de armazenamento de objetos de diretório. Essa capacidade pode comportar até 100.000 usuários ou 500.000 objetos. 

P: Posso usar o AWS Managed Microsoft AD como diretório principal?

Sim. Você pode usá-lo como diretório principal para gerenciar usuários, grupos, computadores e objetos de política de grupos (GPOs) na nuvem. É possível gerenciar o acesso e oferecer logon único (SSO) em aplicativos e serviços da AWS, bem como para aplicativos de terceiros compatíveis com diretório executados em instâncias do Amazon EC2 na Nuvem AWS. Além disso, você pode usar o Azure AD Connect e o AD FS para oferecer suporte ao SSO em aplicativos da nuvem, incluindo o Office 365. 

P: Posso usar o AWS Managed Microsoft AD como uma floresta de recursos?

Sim. Você pode usar o AWS Managed Microsoft AD como uma floresta de recursos que contém principalmente computadores e grupos com relações de confiança com um diretório no local. Assim, os usuários podem acessar aplicativos e recursos da AWS com suas credenciais do AD no local. 

P: O que é replicação multirregional?

A replicação multirregional é um recurso que permite a implantação e o uso de um único diretório do AWS Managed Microsoft AD em várias regiões da AWS. Isso torna mais fácil e econômico para você implantar e gerenciar suas cargas de trabalho do Microsoft Windows e Linux globalmente. Com o recurso de replicação automatizada de várias regiões, você obtém maior resiliência, enquanto suas aplicações usam um diretório local para desempenho ideal. Esse recurso só está disponível no AWS Managed Microsoft AD (Enterprise Edition). Você pode usar o recurso para diretórios novos e existentes.

P: Como adiciono uma região da AWS ao meu diretório?

Primeiramente, abra o console do AWS Directory Service na região em que seu diretório já está implantado e em execução (região primária). Selecione o diretório que você deseja expandir e escolha Add Region (Adicionar região). Em seguida, selecione a região para a qual você deseja expandir, forneça o Amazon Virtual Private Cloud (VPC) e as sub-redes nas quais você deseja implantar seu diretório. Você também pode usar APIs para expandir seu diretório. Para saber mais, consulte a documentação.

P: Como a replicação multirregional funciona quando adiciono uma nova região da AWS?

O AWS Managed Microsoft AD configura automaticamente a conectividade de rede entre regiões, implanta controladores de domínio e replica todos os seus dados de diretório, incluindo usuários, grupos, objetos de política de grupos (GPOs) e esquema, nas regiões selecionadas. Além disso, o AWS Managed Microsoft AD configura um novo site AD por região, o que melhora a autenticação do usuário e o desempenho de replicação do controlador de domínio na região, ao mesmo tempo que reduz os custos ao minimizar as transferências de dados entre as regiões. O identificador do seu diretório (directory_id) permanece o mesmo na nova região e é implantado na mesma conta da AWS que a da sua região primária.

P: Posso compartilhar meu diretório com outras contas da AWS na nova região da AWS?

Sim, com a replicação multirregional você tem a flexibilidade de compartilhar seu diretório com outras contas da AWS por região. As configurações de compartilhamento de diretórios não são automaticamente replicadas a partir da região primária. Para saber como compartilhar seu diretório com outras contas da AWS, consulte a documentação.

P: Posso adicionar mais controladores de domínio ao meu diretório na nova região da AWS?

Sim, com a replicação multirregional você tem a flexibilidade de definir o número de controladores de domínio por região. Para saber como adicionar um controlador de domínio, consulte a documentação.

P: Como monitoro o status do diretório em várias regiões da AWS?

Com a replicação multirregional, você monitora o status do diretório em cada região, independentemente. Você precisa habilitar o Amazon Simple Notification Service (SNS) em cada região em que implantou o diretório, usando o console do AWS Directory Service ou a API. Para saber mais, consulte a documentação.

P: Como monitoro os logs de segurança do diretório em várias regiões da AWS?

Com a replicação multirregional, você monitora os logs de segurança do diretório em cada região, independentemente. Você precisa habilitar o Amazon CloudWatch Logs em cada região em que implantou o diretório, usando o console do AWS Directory Service ou a API. Para saber mais, consulte a documentação.

P: Posso renomear o nome do site do AD do diretório?

Sim, você pode renomear o nome do site do AD do diretório por região usando ferramentas padrão do AD. Para saber mais, consulte a documentação.

P: Posso remover uma região da AWS do meu diretório?

Sim. Se você não tiver aplicativos da AWS registrados no seu diretório e não tiver compartilhado o diretório com alguma conta da AWS na região, o AWS Managed Microsoft AD permitirá que você remova uma região da AWS do diretório. Você não pode remover a região primária, a não ser que exclua o diretório.

P: Que aplicativos e serviços da AWS são compatíveis com aplicativos multirregionais?

A replicação multirregional é compatível com o Amazon EC2, com o Amazon RDS (SQL Server, Oracle, MySQL, PostgreSQL e MariaDB), Amazon Aurora (MySQL e PostgreSQL) e Amazon FSx for Windows File Server nativamente. Você também pode fazer a integração de outros aplicativos da WS, como o Amazon WorkSpaces, o AWS Single Sign-On, o AWS Client VPN, o Amazon QuickSight, o Amazon Connect, o Amazon WorkDocs, o Amazon WorkMail e o Amazon Chime com seu diretório nas noc=vas regiões configurando o AD Connector com seu diretório do AWS Managed Microsoft AD por região.

P: O que é o ingresso transparente em domínios?

O ingresso transparente em domínios é um recurso que permite ingressar facilmente as instâncias do Amazon EC2 for Windows Server e do Amazon EC2 for Linux nos domínios, no momento em que são executadas e por meio do Console de Gerenciamento da AWS. Você pode ingressar instâncias no AWS Managed Microsoft AD executado na Nuvem AWS.

P: Como uma instância pode ingressar facilmente em um domínio?

Ao criar e executar uma instância do EC2 for Windows ou EC2 for Linux no Console de Gerenciamento da AWS, você poderá selecionar em qual domínio a instância será ingressada. Para saber mais, consulte a documentação.

P: Posso ingressar instâncias existentes do EC2 for Windows Server facilmente em um domínio?

Você não pode usar o recurso de ingresso transparente em domínios do Console de Gerenciamento da AWS para instâncias do EC2 for Windows Server e EC2 for Linux, mas pode ingressar instâncias existentes em um domínio usando a API do EC2 ou o PowerShell na instância. Para saber mais, consulte a documentação.

Quais distribuições e versões do Linux são compatíveis com o recurso de ingresso transparente em domínios?

O recurso de ingresso transparente em domínios está atualmente disponível para o Amazon Linux, Amazon Linux 2, CentOS 7 ou mais novo, RHEL 7.5 mais novo e Ubuntu 14 to 18.

P: Como o AWS Directory Service permite o login único (SSO) no Console de Gerenciamento da AWS?

O AWS Directory Service permite que você atribua funções do IAM aos usuários e grupos do AWS Manage Microsoft AD ou do Simple AD na Nuvem AWS, bem como a usuários e grupos existentes do Microsoft Active Directory no local usando o AD Connector. Essas funções controlam o acesso do usuário aos serviços do AWS baseado em políticas do IAM atribuídas às funções. O AWS Directory Service fornece um URL específico do cliente para o Console de Gerenciamento da AWS, que os usuários podem utilizar para fazer login com suas credenciais corporativas existentes. Consulte a nossa documentação para obter mais informações sobre esse recurso. 

P: Posso usar o AWS Managed Microsoft AD para cargas de trabalho da Nuvem AWS sujeitas a padrões de conformidade?

Sim. O AWS Managed Microsoft AD implementou os controles necessários para o cumprimento dos requisitos da Health Insurance Portability and Accountability Act (HIPAA – Lei de Portabilidade e Responsabilidade de Provedores de Saúde) dos EUA e está incluído como um serviço dentro do escopo no atestado de conformidade e resumo das responsabilidades do Payment Card Industry Data Security Standard (PCI DSS – Padrão de Segurança de dados do Setor de Cartões de Pagamento). 

P: Como posso acessar relatórios de conformidade e segurança?

Para acessar uma lista abrangente de documentos relevantes para a conformidade e a segurança na Nuvem AWS, consulte o AWS Artifact.

P: O que é o modelo de responsabilidade compartilhada da AWS?

A segurança, incluindo a conformidade com a HIPAA e o PCI DSS, é uma responsabilidade compartilhada entre você e a AWS. Por exemplo, é sua responsabilidade configurar as políticas de senha do AWS Managed Microsoft AD para cumprir os requisitos do PCI DSS relacionados ao uso do AWS Managed Microsoft AD. Para saber mais sobre as ações que podem ser necessárias para cumprir requisitos de conformidade com a HIPAA e o PCI DSS, consulte a documentação de conformidade do AWS Managed Microsoft AD, leia o artigo técnico Como definir a arquitetura para a segurança e a conformidade da HIPAA na Amazon Web Services e consulte os documentos sobre conformidade da Nuvem AWS, conformidade com a HIPAA e conformidade com o PCI DSS.

Se tiver dúvidas sobre o AD Connector ou o Simple AD, consulte AWS Directory Service, Outras Opções de Diretório.