Вопрос: Что такое AWS Directory Service?

AWS Directory Service – это управляемый сервис каталогов, в которых содержатся сведения о вашей организации, включая информацию о пользователях, группах, компьютерах и других ресурсах. AWS Directory Service разрабатывался как управляемый сервис, призванный сократить количество административных задач, чтобы освободить время и ресурсы пользователя для развития бизнеса. Вам не придется создавать собственную сложную высокодоступную топологию каталогов, поскольку каждый каталог развертывается во множестве зон доступности, а система мониторинга автоматически обнаруживает и заменяет отказавшие контроллеры домена. Сервис также обеспечивает репликацию данных и ежедневное автоматическое создание снимков состояния. Он не требует установки программного обеспечения, к тому же AWS берет на себя все действия по установке исправлений и обновлений ПО.

Вопрос: Какие задачи можно выполнять с помощью AWS Directory Service?

AWS Directory Service позволяет легко установить и запустить службу каталогов в облаке AWS или соединить ваши ресурсы AWS с существующим локальным сервисом Microsoft Active Directory. С помощью созданного каталога можно управлять пользователями и группами, выполнять единый вход в приложения и сервисы, создавать и применять групповые политики, подключать инстансы Amazon EC2 к доменам, а также с легкостью развертывать в облаке рабочие нагрузки Linux и Microsoft Windows и управлять ими. AWS Directory Service позволяет конечным пользователям использовать существующие корпоративные данные для доступа, чтобы подключаться к приложениям AWS, таким как Amazon WorkSpaces, Amazon WorkDocs и Amazon WorkMail, а также к рабочим нагрузкам Microsoft с поддержкой каталогов, включая собственные приложения .NET и SQL Server. И наконец, вы можете использовать существующие корпоративные данные для доступа для администрирования ресурсов AWS через Консоль управления AWS благодаря доступу на основе ролей сервиса AWS Identity and Access Management (IAM), так что вам не придется расширять инфраструктуру федерации удостоверений.

Вопрос: Как создать каталог?

Для создания каталогов можно использовать API или Консоль управления AWS. Нужно только указать некоторые основные сведения, в том числе полностью определенное доменное имя (FQDN) каталога, имя и пароль аккаунта администратора, а также VPC, к которому нужно подключить каталог.

Вопрос: Можно ли добавить существующий инстанс Amazon EC2 к каталогу AWS Directory Service?

Да, существующий инстанс EC2 на базе Linux или Windows можно добавить к AWS Microsoft AD с помощью API или Консоли управления AWS.

Вопрос: Поддерживаются ли API в сервисе AWS Directory Service?

Да, поддерживаются публичные API для создания каталогов и управления ими. Вы можете управлять каталогами программным путем, используя публичные API. Получить доступ к API можно через интерфейс командной строки и SDK AWS. Подробнее об API см. в документации AWS Directory Service.

Вопрос: Поддерживаются ли в сервисе AWS Directory Service журналы CloudTrail?

Да. Действия, совершенные через API AWS Directory Service или консоль управления сервиса, будут фиксироваться в журналах аудита CloudTrail.

Вопрос: Можно ли получать оповещения при изменении состояния каталога?

Да. В сервисе Amazon Simple Notification Service (SNS) можно настроить отправку электронных писем и SMS-сообщений в случае изменения состояния каталогов AWS Directory Service. В сервисе Amazon SNS для сбора и отправки сообщений подписчикам используются темы. Когда сервис AWS Directory Service обнаруживает изменение состояния вашего каталога, он публикует сообщение в соответствующей теме, которое затем рассылается подписчикам этой темы. Подробнее см. в документации.

Вопрос: Какова стоимость использования сервиса AWS Directory Service?

Подробнее см. на странице Цены.

Вопрос: Можно ли пометить каталог тегом?

Да. Сервис AWS Directory Service поддерживает расстановку тегов для распределения расходов. Теги упрощают распределение расходов и оптимизацию затрат путем классификации и группировки ресурсов AWS. Например, можно использовать теги, чтобы сгруппировать ресурсы по администратору, по имени приложения, по центру затрат или по конкретному проекту.

Вопрос: В каких регионах доступен сервис AWS Directory Service?

Подробнее о доступности сервиса AWS Directory Service по регионам см. в таблице регионов

Вопрос: Как создать каталог AWS Microsoft AD?

Для создания каталога AWS Microsoft AD нужно перейти в консоль AWS Directory Service из Консоли управления AWS. Можно также использовать AWS SDK или интерфейс командной строки AWS.

Вопрос: Как осуществляется развертывание каталогов AWS Microsoft AD?

По умолчанию каталоги AWS Microsoft AD развертываются в двух зонах доступности одного региона и подключаются к облаку Amazon Virtual Private Cloud (VPC). Резервные копии автоматически создаются раз в сутки, а тома Amazon Elastic Block Store (EBS) шифруются для обеспечения защиты данных при хранении. В случае отказа контроллеров доменов происходит их автоматическая замена в той же зоне доступности с сохранением IP-адреса; кроме того, возможно полное аварийное восстановление из последней резервной копии.

Вопрос: Можно ли настраивать параметры хранилища, ЦПУ или памяти для каталога AWS Microsoft AD?

Нет. В настоящий момент такие функциональные возможности не поддерживаются.

Вопрос: Как управлять пользователями и группами в каталогах AWS Microsoft AD?

Для управления пользователями и группами в каталогах AWS Microsoft AD можно использовать имеющиеся инструменты Active Directory на компьютерах с Windows, подключенных к домену AWS Microsoft AD. Никаких дополнительных инструментов, политик и новых подходов не требуется.

Вопрос: Как отличаются административные разрешения в случае использования AWS Microsoft AD и запуска службы Amazon Active Directory на собственном инстансе Amazon EC2 с Windows?

Для обеспечения работы управляемого сервиса AWS Microsoft AD запрещает клиентам выполнять операции, которые могут помешать управлению сервисом. Поэтому AWS не предоставляет Windows PowerShell для доступа к инстансам каталогов и ограничивает доступ к объектам каталогов, ролям и группам, для которых требуются повышенные права доступа. AWS Microsoft AD не разрешает прямой доступ хоста к контроллерам домена через Telnet, Secure Shell (SSH) или подключение к удаленному рабочему столу Windows. При создании каталога AWS Microsoft AD с ним связывается организационное подразделение (OU) и административная учетная запись с делегированными административными правами для данного OU. Это позволяет создавать пользовательские аккаунты, группы и политики в пределах OU с помощью стандартных инструментов удаленного администрирования сервера, например Active Directory – пользователи и компьютеры.

Вопрос: Можно ли использовать с AWS Microsoft AD сервер политики сети Microsoft (NPS)?

Да. Административный аккаунт, созданный при настройке AWS Microsoft AD, делегирует права на управление группе безопасности сервисов удаленного доступа (RAS) и аутентификации интернет-соединений (IAS). Это позволяет регистрировать сервер NPS в AWS Microsoft AD и управлять политиками сетевого доступа для аккаунтов в своем домене.

Вопрос: Поддерживает ли AWS Microsoft AD расширения схемы?

Да. AWS Microsoft AD поддерживает расширения схемы, передаваемые сервису в виде файлов в формате LDAP Data Interchange (LDIF). Основная схема Active Directory поддается расширению, но не изменению.

Вопрос: Какие приложения совместимы с AWS Microsoft AD?

С AWS Microsoft AD совместимы следующие приложения:

  • Amazon Chime
  • Amazon Connect
  • Amazon EC2
  • Amazon RDS для SQL Server
  • Amazon QuickSight
  • Amazon WorkDocs
  • Amazon WorkMail
  • Amazon WorkSpaces
  • Консоль управления AWS
  • Active Directory Federation Services (AD FS)
  • Application Server (.NET)
  • Azure Active Directory (AD) Connect
  • Корпоративный центр сертификации
  • Диспетчер лицензирования удаленных рабочих столов
  • SharePoint Server
  • SQL Server

Обратите внимание: поддерживаться могут не все конфигурации этих приложений.

Вопрос: Возможен ли перенос существующего локального каталога Microsoft Active Directory в AWS Microsoft AD?

AWS не предоставляет инструментов миграции самоуправляемых систем Active Directory в AWS Microsoft AD. Для проведения миграции необходимо разработать соответствующую стратегию с учетом сброса паролей, а затем реализовать ее с помощью инструментов удаленного администрирования серверов.

Вопрос: Можно ли настроить серверы условной пересылки и доверительные отношения с помощью консоли Directory Service?

Да. Настроить серверы условной пересылки и доверительные отношения для AWS Microsoft AD можно с помощью консоли сервиса либо API.

Вопрос: Можно ли вручную добавлять дополнительные контроллеры доменов в AWS Microsoft AD?

Да. Дополнительные контроллеры доменов можно добавить к управляемому домену с помощью консоли или API AWS Directory Service. Обратите внимание: привязка инстансов Amazon EC2 к контроллерам домена вручную не поддерживается.

Вопрос: Можно ли использовать Microsoft Office 365 с аккаунтами пользователей в AWS Microsoft AD?

Да. Для аутентификации пользователей Office 365 можно синхронизировать удостоверения из AWS Microsoft AD с Azure AD с помощью Azure AD Connect и использовать Microsoft Active Directory Federation Services (AD FS) для Windows 2016 с AWS Microsoft AD. Пошаговые инструкции см. в материале How to Enable Your Users to Access Office 365 with AWS Microsoft Active Directory Credentials.

Вопрос: Можно ли использовать аутентификацию на основе Security Assertion Markup Language (SAML) 2.0 с облачными приложениями, использующими AWS Microsoft AD?

Да. Для аутентификации пользователей в облачных приложениях, поддерживающих SAML, можно использовать Microsoft Active Directory Federation Services (AD FS) для Windows 2016 с управляемым доменом AWS Microsoft AD.

Вопрос: Можно ли шифровать данные, передаваемые от приложений к AWS Microsoft AD и обратно, с помощью LDAPS?

Да. AWS Microsoft AD поддерживает протокол Lightweight Directory Access Protocol (LDAP) через Secure Socket Layer (SSL) на порте 636 и LDAP через Transport Layer Security (TLS) на порте 389, также известный как LDAPS. Можно активировать оба типа LDAPS, установив на контроллерах домена AWS Microsoft AD сертификат из центра сертификации Microsoft Certificate Authority (CA). Подробнее см. в материале How to Enable LDAPS for Your AWS Microsoft AD Directory.

Вопрос: Какое количество пользователей, групп, компьютеров и объектов в целом поддерживает служба AWS Microsoft AD?

AWS Microsoft AD (Standard Edition) включает 1 ГБ объектного хранилища каталогов. Этого объема достаточно для поддержки 5000 пользователей или 30 000 объектов каталога, в том числе пользователей, групп и компьютеров. AWS Microsoft AD (Enterprise Edition) включает 17 ГБ объектного хранилища каталогов, которого достаточно для 100 000 пользователей или 500 000 объектов.

Вопрос: Можно ли использовать AWS Microsoft AD в качестве основного каталога?

Да. Сервис можно использовать в качестве основного каталога для управления пользователями, группами, компьютерами и объектами групповых политик (GPO) в облаке. Вы можете управлять доступом и использовать технологию единого входа (SSO) в приложениях и сервисах AWS, а также в приложениях сторонних разработчиков с поддержкой каталогов, работающих на инстансах Amazon EC2 в облаке AWS. Кроме того, можно использовать Azure AD Connect и AD FS для поддержки SSO в облачных приложениях, в том числе в Office 365.

Вопрос: Можно ли использовать AWS Microsoft AD в качестве леса ресурсов?

Да. AWS Microsoft AD можно использовать в качестве леса ресурсов, который содержит прежде всего компьютеры и группы, состоящие в доверительных отношениях с локальным каталогом. Это позволяет пользователям получать доступ к приложениям и ресурсам AWS с использованием локальных учетных данных AD.

Вопрос: Что такое простое добавление к домену?

Простое добавление к домену – это возможность, позволяющая легко добавлять к домену инстансы EC2 под управлением Windows во время их запуска, используя для этого Консоль управления AWS. При запуске каталога AWS Microsoft AD в облаке AWS к нему можно добавить свои инстансы.

Вопрос: Как выполнить простое добавление инстанса к домену?

Создав через Консоль управления AWS инстанс EC2 под управлением Windows, можно выбрать, к какому домену добавить этот инстанс. Подробнее см. в документации.

Вопрос: Существует ли простой способ добавить к домену существующие инстансы EC2 под управлением Windows Server?

Для существующих инстансов EC2 под управлением Windows Server нельзя использовать функцию простого добавления к домену из Консоли управления AWS, однако можно добавить существующие инстансы к домену с помощью API EC2 или с помощью PowerShell на инстансе. Подробнее см. в документации.

Вопрос: Как в AWS Directory Service реализована технология единого входа (SSO) в Консоль управления AWS?

В AWS Directory Service можно назначать роли IAM пользователям и группам AWS Microsoft AD или Simple AD в облаке AWS, а также существующим локальным пользователям и группам Microsoft Active Directory с помощью AD Connector. Эти роли на основе присвоенных им политик IAM будут контролировать доступ пользователей к сервисам AWS. Сервис AWS Directory Service предоставит для каждого клиента индивидуальный URL, по которому можно войти в Консоль управления AWS, используя существующие корпоративные данные для доступа. Подробнее об этой возможности см. в документации.

Вопрос: Можно ли использовать AWS Microsoft AD для облачных рабочих нагрузок AWS, которые должны соответствовать нормативным стандартам?

Да. В сервисе AWS Microsoft AD реализованы элементы управления, необходимые для обеспечения соответствия требованиям Акта о передаче и защите данных учреждений здравоохранения (HIPAA) США; кроме того, этот сервис включен в качестве соответствующего сервиса в Отчет о подтверждении соответствия и ответственности стандарта безопасности данных индустрии платежных карт (PCI DSS).

Вопрос: Как можно получить доступ к отчетам о соответствии требованиям и безопасности?

Чтобы получить доступ к полному перечню документов, связанных с обеспечением соответствия требованиям и безопасностью в облаке AWS, обратитесь к сервису AWS Artifact.

Вопрос: Что такое модель общей ответственности AWS?

Вопросы безопасности, включая соответствие требованиям HIPAA и PCI DSS, – это общая ответственность AWS и клиента. Например, в зону ответственности клиента входит настройка политик паролей AWS Microsoft AD в соответствии с требованиями PCI DSS при использовании AWS Microsoft AD. Для получения дополнительной информации о действиях, которые могут потребоваться для обеспечения соответствия требованиям HIPAA и PCI DSS, изучите документацию о соответствии требованиям для AWS Microsoft AD, материал Создание архитектуры, соответствующей требованиям HIPAA на странице технических описаний Amazon Web Services, а также разделы Соответствие облака AWS нормативным требованиямСоответствие требованиям HIPAA и Соответствие требованиям PCI DSS.


Ответы на вопросы по AD Connector и Simple AD см. в разделе AWS Directory Service: дополнительные возможности каталогов.