Общие вопросы

Что такое AWS Directory Service?

AWS Directory Service – это управляемый сервис каталогов, в которых содержатся сведения о вашей организации, включая информацию о пользователях, группах, компьютерах и других ресурсах. AWS Directory Service разрабатывался как управляемый сервис, призванный сократить количество административных задач, чтобы освободить время и ресурсы пользователя для развития бизнеса. Вам не придется создавать собственную сложную высокодоступную топологию каталогов, поскольку каждый каталог развертывается во множестве зон доступности, а система мониторинга автоматически обнаруживает и заменяет отказавшие контроллеры домена. Сервис также обеспечивает репликацию данных и ежедневное автоматическое создание снимков состояния. Он не требует установки программного обеспечения, к тому же AWS берет на себя все действия по установке исправлений и обновлений ПО.

Какие задачи можно выполнять с помощью AWS Directory Service?

AWS Directory Service позволяет легко установить и запустить службу каталогов в облаке AWS или соединить ваши ресурсы AWS с существующим локальным сервисом Microsoft Active Directory. С помощью созданного каталога можно управлять пользователями и группами, выполнять единый вход в приложения и сервисы, создавать и применять групповые политики, подключать инстансы Amazon EC2 к доменам, а также с легкостью развертывать в облаке рабочие нагрузки Linux и Microsoft Windows и управлять ими. AWS Directory Service позволяет конечным пользователям использовать существующие корпоративные данные для доступа, чтобы подключаться к приложениям AWS, таким как Amazon WorkSpaces, Amazon WorkDocs и Amazon WorkMail, а также к рабочим нагрузкам Microsoft с поддержкой каталогов, включая собственные приложения .NET и SQL Server. И наконец, вы можете использовать существующие корпоративные данные для доступа для администрирования ресурсов AWS через Консоль управления AWS благодаря доступу на основе ролей сервиса AWS Identity and Access Management (IAM), так что вам не придется расширять инфраструктуру федерации удостоверений.

Как создать каталог?

Для создания каталогов можно использовать API или Консоль управления AWS. Нужно только указать некоторые основные сведения, в том числе полное доменное имя (FQDN) каталога, имя и пароль аккаунта администратора, а также VPC, к которому нужно подключить каталог.

Можно ли добавить существующий инстанс Amazon EC2 к каталогу AWS Directory Service?

Да, существующий инстанс EC2 на базе Linux или Windows можно добавить к AWS Managed Microsoft AD с помощью API или Консоли управления AWS.

Поддерживаются ли API в сервисе AWS Directory Service?

Да, поддерживаются публичные API для создания каталогов и управления ими. Вы можете управлять каталогами программным путем, используя публичные API. Получить доступ к API можно через интерфейс командной строки и SDK AWS. Подробнее об API см. в документации AWS Directory Service.

Поддерживаются ли в сервисе AWS Directory Service журналы CloudTrail?

Да. Действия, совершенные через API или консоль управления сервиса AWS Directory Service, будут фиксироваться в журналах аудита CloudTrail.

Можно ли получать оповещения при изменении состояния каталога?

Да. В сервисе Amazon Simple Notification Service (SNS) можно настроить отправку электронных писем и SMS-сообщений в случае изменения состояния каталогов AWS Directory Service. В сервисе Amazon SNS для сбора и отправки сообщений подписчикам используются темы. Когда сервис AWS Directory Service обнаруживает изменение состояния вашего каталога, он публикует сообщение в соответствующей теме, которое затем рассылается подписчикам этой темы. Подробнее см. в документации.

Какова стоимость использования сервиса AWS Directory Service?

Подробнее см. на странице Цены.

Можно ли пометить каталог тегом?

Да. Сервис AWS Directory Service поддерживает расстановку тегов для распределения расходов. Теги упрощают распределение расходов и оптимизацию затрат путем классификации и группировки ресурсов AWS. Например, можно использовать теги, чтобы сгруппировать ресурсы по администратору, по имени приложения, по центру затрат или по конкретному проекту.

В каких регионах AWS доступен сервис AWS Directory Service?

Подробнее о доступности сервиса AWS Directory Service по регионам см. на странице Продукты и сервисы по регионам

AWS Managed Microsoft AD

Как создать каталог AWS Managed Microsoft AD?

Для создания каталога AWS Managed Microsoft AD нужно перейти в консоль AWS Directory Service из Консоли управления AWS. Можно также использовать AWS SDK или интерфейс командной строки AWS.

Как осуществляется развертывание каталогов AWS Managed Microsoft AD?

По умолчанию каталоги AWS Managed Microsoft AD развертываются в двух зонах доступности одного региона и подключаются к облаку Amazon Virtual Private Cloud (VPC). Резервные копии автоматически создаются раз в сутки, а тома Amazon Elastic Block Store (EBS) шифруются для обеспечения защиты данных при хранении. В случае отказа контроллеров доменов происходит их автоматическая замена в той же зоне доступности с сохранением IP-адреса; кроме того, возможно полное аварийное восстановление из последней резервной копии.

Можно ли настраивать параметры хранилища, ЦПУ или памяти для каталога AWS Managed Microsoft AD?

Нет. В настоящий момент такие функциональные возможности не поддерживаются.

Как управлять пользователями и группами в AWS Managed Microsoft AD?

Для управления пользователями и группами в каталогах AWS Managed Microsoft AD можно использовать имеющиеся инструменты Active Directory на компьютерах с Windows, подключенных к домену AWS Managed Microsoft AD. Никаких дополнительных инструментов, политик и новых подходов не требуется.

Как отличаются административные разрешения в случае использования AWS Managed Microsoft AD и запуска службы Active Directory на собственном инстансе Amazon EC2 с Windows?

Для обеспечения работы управляемого сервиса AWS Managed Microsoft AD запрещает клиентам выполнять операции, которые могут помешать управлению сервисом. Поэтому AWS не предоставляет Windows PowerShell для доступа к инстансам каталогов и ограничивает доступ к объектам, ролям и группам каталогов, для которых требуются повышенные права доступа. AWS Managed Microsoft AD не разрешает прямой доступ хоста к контроллерам домена через Telnet, Secure Shell (SSH) или подключение к удаленному рабочему столу Windows. При создании каталога AWS Managed Microsoft AD с ним связывается организационное подразделение (OU) и административная учетная запись с делегированными административными правами для данного OU. Это позволяет создавать пользовательские аккаунты, группы и политики в пределах OU с помощью стандартных инструментов удаленного администрирования сервера, таких как пользователи и группы Active Directory.

Можно ли использовать с AWS Managed Microsoft AD сервер политики сети Microsoft (NPS)?

Да. Административный аккаунт, созданный при настройке AWS Managed Microsoft AD, делегирует права на управление группе безопасности сервисов удаленного доступа (RAS) и аутентификации интернет-соединений (IAS). Это позволяет регистрировать сервер NPS в AWS Managed Microsoft AD и управлять политиками сетевого доступа для аккаунтов в своем домене.

Поддерживает ли AWS Managed Microsoft AD расширения схемы?

Да. AWS Managed Microsoft AD поддерживает расширения схемы, передаваемые сервису в виде файлов в формате LDAP Data Interchange (LDIF). Основная схема Active Directory поддается расширению, но не изменению.

Какие приложения совместимы с AWS Managed Microsoft AD?

С AWS Managed Microsoft AD совместимы следующие приложения:

  • Amazon Chime
  • Amazon Connect
  • Amazon EC2
  • Amazon RDS для SQL Server
  • Amazon QuickSight
  • Amazon WorkDocs
  • Amazon WorkMail
  • Amazon WorkSpaces
  • Консоль управления AWS
  • Active Directory Federation Services (AD FS)
  • Application Server (.NET)
  • Azure Active Directory (AD) Connect
  • Корпоративный центр сертификации
  • Диспетчер лицензирования удаленных рабочих столов
  • SharePoint Server
  • SQL Server

Обратите внимание: поддерживаться могут не все конфигурации этих приложений.

Возможен ли перенос существующего локального каталога Microsoft Active Directory в AWS Managed Microsoft AD?

AWS не предоставляет инструментов миграции самоуправляемых систем Active Directory в AWS Managed Microsoft AD. Для проведения миграции необходимо разработать соответствующую стратегию с учетом сброса паролей, а затем реализовать ее с помощью инструментов удаленного администрирования серверов.

Можно ли настроить серверы условной пересылки и доверительные отношения с помощью консоли Directory Service?

Да. Настроить серверы условной пересылки и доверительные отношения для AWS Managed Microsoft AD можно с помощью консоли Directory Service либо API.

Можно ли вручную добавлять дополнительные контроллеры доменов в AWS Managed Microsoft AD?

Да. Дополнительные контроллеры доменов можно добавить к управляемому домену с помощью консоли или API AWS Directory Service. Обратите внимание: привязка инстансов Amazon EC2 к контроллерам домена вручную не поддерживается.

Можно ли использовать Microsoft Office 365 с аккаунтами пользователей в AWS Managed Microsoft AD?

Да. Для аутентификации пользователей Office 365 можно синхронизировать удостоверения из AWS Managed Microsoft AD с Azure AD с помощью Azure AD Connect и использовать Microsoft Active Directory Federation Services (AD FS) для Windows 2016 с AWS Managed Microsoft AD. Пошаговые инструкции см. в материале How to Enable Your Users to Access Office 365 with AWS Microsoft Active Directory Credentials.

Можно ли использовать аутентификацию на основе Security Assertion Markup Language (SAML) 2.0 с облачными приложениями, использующими AWS Managed Microsoft AD?

Да. Для аутентификации пользователей в облачных приложениях, поддерживающих SAML, можно использовать Microsoft Active Directory Federation Services (AD FS) для Windows 2016 с управляемым доменом AWS Managed Microsoft AD.

Можно ли шифровать данные, передаваемые от приложений к AWS Managed Microsoft AD и обратно, с помощью LDAPS?

Да. AWS Managed Microsoft AD поддерживает протокол Lightweight Directory Access Protocol (LDAP) через Secure Socket Layer (SSL) на порту 636 и LDAP через Transport Layer Security (TLS) на порту 389, также известный как LDAPS. Можно активировать оба типа LDAPS, установив на контроллерах домена AWS Managed Microsoft AD сертификат из центра сертификации Microsoft Certificate Authority (CA). Подробнее см. в материале How to Enable LDAPS for Your AWS Managed Microsoft AD Directory.

Какое количество пользователей, групп, компьютеров и объектов в целом поддерживает сервис AWS Managed Microsoft AD?

AWS Managed Microsoft AD (Standard Edition) предусматривает 1 ГБ хранилища для объектов каталога. Этого объема достаточно для поддержки до 5000 пользователей или 30 000 объектов каталога, в том числе пользователей, групп и компьютеров. AWS Managed Microsoft AD (Enterprise Edition) предусматривает 17 ГБ хранилища для объектов каталога, чего достаточно для 100 000 пользователей или 500 000 объектов.

Можно ли использовать AWS Managed Microsoft AD в качестве основного каталога?

Да. Сервис можно использовать в качестве основного каталога для управления пользователями, группами, компьютерами и объектами групповых политик (GPO) в облаке. Вы можете управлять доступом и использовать технологию единого входа (SSO) в приложениях и сервисах AWS, а также в приложениях сторонних разработчиков с поддержкой каталогов, работающих на инстансах Amazon EC2 в облаке AWS. Кроме того, можно использовать Azure AD Connect и AD FS для поддержки единого входа в облачных приложениях, в том числе в Office 365.

Можно ли использовать AWS Managed Microsoft AD в качестве леса ресурсов?

Да. AWS Managed Microsoft AD можно использовать в качестве леса ресурсов, который содержит прежде всего компьютеры и группы, состоящие в доверительных отношениях с локальным каталогом. Это позволяет пользователям получать доступ к приложениям и ресурсам AWS с использованием локальных учетных данных AD.

Простое присоединение к домену

Что такое простое присоединение к домену?

Простое присоединение к домену – это возможность, позволяющая легко присоединять к домену инстансы Amazon EC2 для Windows Server во время их запуска, используя для этого Консоль управления AWS. При запуске каталога AWS Managed Microsoft AD в облаке AWS к нему можно присоединять свои инстансы.

Как выполнить простое присоединение инстанса к домену?

Создав и запустив через Консоль управления AWS инстанс EC2 под управлением Windows, вы можете выбрать, к какому домену присоединить этот инстанс. Подробнее см. в документации.

Существует ли простой способ присоединить к домену существующие инстансы EC2 под управлением Windows Server?

Для существующих инстансов EC2 под управлением Windows Server нельзя использовать функцию простого присоединения к домену из Консоли управления AWS, однако можно присоединить существующие инстансы к домену с помощью API EC2 или с помощью PowerShell на инстансе. Подробнее см. в документации.

Интеграция с IAM

Как в AWS Directory Service реализована технология единого входа (SSO) в Консоль управления AWS?

В AWS Directory Service можно назначать роли IAM пользователям и группам AWS Managed Microsoft AD или Simple AD в облаке AWS, а также существующим локальным пользователям и группам Microsoft Active Directory с помощью AD Connector. Эти роли на основе присвоенных им политик IAM будут контролировать доступ пользователей к сервисам AWS. Сервис AWS Directory Service предоставит для каждого клиента индивидуальный URL, по которому можно войти в Консоль управления AWS, используя существующие корпоративные данные для доступа. Подробнее об этой возможности см. в документации.

Соответствие требованиям

Можно ли использовать AWS Managed Microsoft AD для рабочих нагрузок облака AWS, которые должны соответствовать нормативным стандартам?

Да. В AWS Managed Microsoft AD реализованы элементы управления, необходимые для обеспечения соответствия требованиям Акта о передаче и защите данных учреждений здравоохранения (HIPAA) США; кроме того, этот сервис включен в качестве соответствующего сервиса в Отчет о подтверждении соответствия и ответственности стандарта безопасности данных индустрии платежных карт (PCI DSS).

Как можно получить доступ к отчетам о соответствии требованиям и безопасности?

Чтобы получить доступ к полному перечню документов, связанных с обеспечением соответствия требованиям и безопасностью в облаке AWS, обратитесь к сервису AWS Artifact.

Что такое модель общей ответственности AWS?

Вопросы безопасности, включая соответствие требованиям HIPAA и PCI DSS, – это общая ответственность AWS и клиента. Например, в зону ответственности клиента входит настройка политик паролей AWS Managed Microsoft AD в соответствии с требованиями PCI DSS при использовании AWS Managed Microsoft AD. Для получения дополнительной информации о действиях, которые могут потребоваться для обеспечения соответствия требованиям HIPAA и PCI DSS, изучите документацию о соответствии требованиям для AWS Managed Microsoft AD, материал Создание архитектуры, соответствующей требованиям HIPAA на странице технических описаний Amazon Web Services, а также разделы Соответствие облака AWS нормативным требованиямСоответствие требованиям HIPAA и Соответствие требованиям PCI DSS.


Ответы на вопросы по AD Connector и Simple AD см. в разделе AWS Directory Service: дополнительные возможности каталогов.

Готовы приступить к разработке?
Начать работу с AWS Directory Service
Есть вопросы?
Свяжитесь с нами