Recursos do AWS Directory Service

A replicação multirregional permite a implantação e o uso de um único diretório do AWS Managed Microsoft AD (Enterprise Edition) em várias regiões da AWS. Isso torna mais simples e econômico para você implantar e gerenciar suas workloads do Microsoft Windows e Linux globalmente. Com o recurso de replicação automatizada de várias regiões, você obtém maior resiliência, enquanto suas aplicações usam um diretório local para melhor performance.

O AWS Managed Microsoft AD se integra perfeitamente ao AWS Organizations para permitir o compartilhamento contínuo de diretórios entre várias contas da AWS. Você pode compartilhar um único diretório com outras contas confiáveis da AWS dentro da mesma organização ou compartilhar o diretório com outras contas da AWS que estão fora da sua organização. Você também pode compartilhar seu diretório quando sua conta da AWS não for atualmente membro de uma organização.

O AWS Managed Microsoft AD permite que você use o ingresso transparente em domínios para instâncias novas e existentes do Amazon EC2 para Windows Server e Amazon EC2 para Linux. Para novas instâncias do EC2, escolha o domínio no qual ingressar no momento da execução usando o Console de Gerenciamento da AWS. Você pode usar o ingresso transparente em domínios para instâncias existentes do EC2 usando o serviço EC2Config. As instâncias do Amazon EC2 de qualquer conta da AWS e de qualquer Amazon VPC em uma região podem também ingressar em um único diretório compartilhado.

O AWS Managed Microsoft AD permite gerenciar usuários e dispositivos, usando os objetos de política de grupos (GPOs) do Microsoft Active Directory. É possível criar GPOs com ferramentas atuais, como o Console de gerenciamento de política de grupo (GPMC).

Você pode estender seu esquema do AWS Managed Microsoft AD adicionando novas classes e atributos de objetos. Você também pode usar extensões de esquema para habilitar o suporte para aplicações que dependem de classes e atributos de objetos específicos do Active Directory. Isso pode ser especialmente útil no caso de você precisar migrar aplicações corporativas que dependem do AWS Managed Microsoft AD para a Nuvem AWS. (Fonte)

Os administradores podem gerenciar contas de serviço usando um método chamado Contas de serviços gerenciados em grupo (gMSAsgMSAs). Usando os gMSAs, os administradores de serviços não precisavam mais gerenciar manualmente a sincronização de senhas entre as instâncias de serviço. Em vez disso, um administrador poderia simplesmente criar um gMSA no Active Directory e depois configurar várias instâncias de serviço para usar esse único gMSA. Para conceder permissões para que os usuários do AWS Managed Microsoft AD possam criar um gMSA, você deve adicionar suas contas como membro do grupo de segurança AWS Delegated Managed Service Account Administrators. Por padrão, a conta Admin é membro desse grupo.

Integre o AWS Managed Microsoft AD aos seus AD existentes, usando os relacionamentos de confiança do AD. Usando relacionamentos de confiança, você pode usar o Active Directory existente para controlar os usuários do AD que acessam os recursos da AWS.

O AWS Managed Microsoft AD usa a mesma autenticação baseada no Kerberos usada pelo AD on-premises existente. A integração de recursos da AWS ao AWS Managed Microsoft AD permite que os usuários do AD usem o SSO para fazer login em aplicações e recursos da AWS, usando um único conjunto de credenciais.

Você pode definir configurações de diretório refinadas para seu AWS Managed Microsoft AD para atender aos seus requisitos de conformidade e segurança sem nenhum aumento na workload operacional. Nas configurações do diretório, você pode atualizar a configuração do canal seguro para protocolos e cifras usados em seu diretório. Por exemplo, você tem a flexibilidade de desativar cifras herdadas individuais, como RC4 ou DES, e protocolos, como SSL 2.0/3.0 e TLS 1.0/1.1. Em seguida, o AWS Managed Microsoft AD implanta a configuração em todos os controladores de domínio em seu diretório, gerencia as reinicializações do controlador de domínio e mantém essa configuração à medida que você aumenta a escala horizontalmente ou implanta regiões adicionais da AWS. Para todas as configurações disponíveis, consulte a lista de configurações de segurança do diretório.

O LDAPS do lado do servidor criptografa as comunicações LDAP entre suas aplicações comerciais ou domésticas compatíveis com LDAP (atuando como clientes LDAP) e o AWS Managed Microsoft AD (atuando como um servidor LDAP). Para obter mais informações, consulte Habilitar o LDAPS no lado do servidor usando o AWS Managed Microsoft AD.

O LDAPS do lado do cliente criptografa as comunicações LDAP entre aplicações da AWS, como o WorkSpaces (atuando como clientes LDAP) e seu Active Directory autogerenciado (atuando como servidor LDAP). Para obter mais informações, consulte Habilitar o LDAPS do lado do cliente usando o AWS Managed Microsoft AD.

A integração do AWS Managed Microsoft AD e do AD Connector com o AWS Private Certificate Authority (AWS Private CA) Connector para AD permite que você inscreva objetos associados ao domínio AD, incluindo usuários, grupos e máquinas, com certificados emitidos pela AWS Private CA. Você pode usar o AWS Private CA como um substituto imediato para suas CAs corporativas autogerenciadas sem a necessidade de implantar, corrigir ou atualizar agentes locais ou servidores proxy. Você pode configurar a integração do AWS Private CA com seu diretório em apenas alguns cliques ou programaticamente por meio da API.

Você pode usar o AWS Managed Microsoft AD para criar e executar aplicações em nuvem com reconhecimento de anúncios que estão sujeitos ao Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP), EUA Programas de conformidade Health Insurance Portability and Accountability Act (HIPAA – Lei de portabilidade e responsabilidade de provedores de saúde) e com o Payment Card Industry Data Security Standard (PCI DSS – Padrão de segurança de dados do Setor de cartões de pagamento). O AWS Managed Microsoft AD reduz o esforço necessário para implantar a infraestrutura de AD compatível para aplicações de nuvem, quando você gerencia seus próprios programas de gerenciamento de risco da HIPAA, PCI DSS ou certificação de conformidade com o FedRAMP. Veja a lista completa dos programas de conformidade para os quais o AWS Managed AD está qualificado.

Usando o Amazon Simple Notification Service (Amazon SNS), você pode receber mensagens de e-mail ou texto (SMS) quando o status do seu diretório mudar. Você será notificado se seu diretório passar de um status Ativo para um status Deficiente ou Inoperável. Você também recebe uma notificação quando o diretório retorna ao status Ativo.

O AWS Directory Service se integra ao Amazon CloudWatch para ajudar a fornecer métricas de performance importantes para cada controlador de domínio no seu diretório. Isso significa que você pode monitorar os contadores de performance do controlador de domínio, como a utilização da CPU e da memória. Você também pode configurar alarmes e iniciar ações automatizadas para responder aos períodos de alta utilização. 

Use o console do AWS Directory Service ou as APIs para encaminhar os logs de eventos de segurança do controlador de domínio para o Amazon CloudWatch Logs. Isso ajuda a cumprir requisitos de políticas de monitoramento de segurança, auditoria e retenção de logs, proporcionando transparência dos eventos de segurança em um diretório. Você também pode encaminhar logs de eventos de segurança do seu diretório para o Amazon CloudWatch Logs na conta da Amazon Web Services (AWS) de sua escolha e monitorar centralmente os eventos usando serviços da AWS ou aplicações de terceiros, como o Splunk, um parceiro de tecnologia avançada da Rede de Parceiros da AWS (APN) com competência em segurança da AWS.

Você pode conceder acesso aos usuários do AD on-premises para que façam login no Console de Gerenciamento da AWS e na AWS CLI com as credenciais do AD existentes, usando o AWS Identity Center (sucessor do AWS SSO) e selecionando AWS Managed Microsoft AD como a fonte da identidade. Assim, os usuários podem assumir suas funções atribuídas no login, além de acessar e tomar medidas com relação aos recursos, de acordo com as permissões definidas para a função. A outra opção é usar o AWS Managed Microsoft AD para permitir que os usuários assumam um perfil do AWS Identity and Access Management (IAM).

O AWS Managed Microsoft AD permite o uso de um único diretório para workloads com reconhecimento de diretório em recursos da AWS, como instâncias do Amazon EC2 e do Amazon RDS para SQL Server, bem como para serviços do AWS End User Computing, como o Amazon WorkSpaces. O compartilhamento de um diretório permite que workloads com reconhecimento de diretório gerenciem instâncias do Amazon EC2 em várias contas da AWS e Amazon VPCs em uma região. Isso também ajuda a evitar a complexidade de replicar e sincronizar dados em vários diretórios.