Вопросы и ответы по AWS Directory Service

Вопрос. Что такое AWS Directory Service?

AWS Directory Service – это управляемый сервис каталогов, в которых содержатся сведения о вашей организации, включая информацию о пользователях, группах, компьютерах и других ресурсах. AWS Directory Service разрабатывался как управляемый сервис, призванный сократить количество административных задач, чтобы освободить время и ресурсы пользователя для развития бизнеса. Вам не придется создавать собственную сложную высокодоступную топологию каталогов, поскольку каждый каталог развертывается во множестве зон доступности, а система мониторинга автоматически обнаруживает и заменяет отказавшие контроллеры домена. Сервис также обеспечивает репликацию данных и ежедневное автоматическое создание снимков состояния. Он не требует установки программного обеспечения, к тому же AWS берет на себя все действия по установке исправлений и обновлений ПО.

Вопрос. Какие задачи можно выполнять с помощью AWS Directory Service?

AWS Directory Service позволяет легко установить и запустить службу каталогов в облаке AWS или соединить ваши ресурсы AWS с существующим локальным сервисом Microsoft Active Directory. С помощью созданного каталога можно управлять пользователями и группами, выполнять единый вход в приложения и сервисы, создавать и применять групповые политики, подключать инстансы Amazon EC2 к доменам, а также с легкостью развертывать в облаке рабочие нагрузки Linux и Microsoft Windows и управлять ими. AWS Directory Service позволяет конечным пользователям использовать существующие корпоративные данные для доступа, чтобы подключаться к приложениям AWS, таким как Amazon WorkSpaces, Amazon WorkDocs и Amazon WorkMail, а также к рабочим нагрузкам Microsoft с поддержкой каталогов, включая собственные приложения .NET и SQL Server. И наконец, вы можете использовать существующие корпоративные данные для доступа для администрирования ресурсов AWS через Консоль управления AWS благодаря доступу на основе ролей сервиса AWS Identity and Access Management (IAM), так что вам не придется расширять инфраструктуру федерации удостоверений.

Вопрос. Как создать каталог?

Для создания каталогов можно использовать API или Консоль управления AWS. Нужно только указать некоторые основные сведения, в том числе полное доменное имя (FQDN) каталога, имя и пароль аккаунта администратора, а также VPC, к которому нужно подключить каталог.

Вопрос. Можно ли добавить существующий инстанс Amazon EC2 к каталогу AWS Directory Service?

Да, существующий инстанс EC2 на базе Linux или Windows можно добавить к каталогу AWS Managed Microsoft AD с помощью API или Консоли управления AWS.

Вопрос: Поддерживаются ли API в сервисе AWS Directory Service?

Да, поддерживаются публичные API для создания каталогов и управления ими. Вы можете управлять каталогами программным путем, используя публичные API. Получить доступ к API можно через интерфейс командной строки и SDK AWS. Подробнее об API см. в документации AWS Directory Service.

Вопрос. Поддерживаются ли в сервисе AWS Directory Service журналы CloudTrail?

Да. Действия, совершенные через API или консоль управления сервиса AWS Directory Service, будут фиксироваться в журналах аудита CloudTrail.

Вопрос. Можно ли получать оповещения при изменении состояния каталога?

Да. В сервисе Amazon Simple Notification Service (SNS) можно настроить отправку электронных писем и SMS-сообщений в случае изменения состояния каталогов AWS Directory Service. В сервисе Amazon SNS для сбора и отправки сообщений подписчикам используются темы. Когда сервис AWS Directory Service обнаруживает изменение состояния вашего каталога, он публикует сообщение в соответствующей теме, которое затем рассылается подписчикам этой темы. Подробнее см. в документации.

Вопрос. Какова стоимость использования сервиса AWS Directory Service?

Подробнее см. на странице Цены.

Вопрос. Можно ли пометить каталог тегом?

Да. Сервис AWS Directory Service поддерживает расстановку тегов для распределения расходов. Теги упрощают распределение расходов и оптимизацию затрат путем классификации и группировки ресурсов AWS. Например, можно использовать теги, чтобы сгруппировать ресурсы по администратору, по имени приложения, по центру затрат или по конкретному проекту.

Вопрос. В каких регионах доступен сервис AWS Directory Service?

Подробнее о доступности сервиса AWS Directory Service по регионам см. на странице Продукты и сервисы по регионам.

Вопрос. Какие версии протокола Server Message Block (SMB) поддерживает AWS Managed Microsoft AD?

С 31.05.2020 г. для доступа к файлам, хранящимся в общих папках SYSVOL и NETLOGON контроллеров домена для каталогов AWS Managed Microsoft AD, клиентские компьютеры смогут использовать только протокол SMB версии 2.0 (SMBv2) или новее. При этом AWS рекомендует клиентам использовать протокол SMBv2 или более новой версии во всех файловых сервисах на основе SMB.

Вопрос. Как создать каталог AWS Managed Microsoft AD?

Для создания каталога AWS Managed Microsoft AD нужно перейти в консоль AWS Directory Service из Консоли управления AWS. Можно также использовать AWS SDK или интерфейс командной строки AWS.

Вопрос. Как осуществляется развертывание каталогов AWS Managed Microsoft AD?

По умолчанию каталоги AWS Managed Microsoft AD развертываются в двух зонах доступности одного региона и подключаются к облаку Amazon Virtual Private Cloud (VPC). Резервные копии автоматически создаются раз в сутки, а тома Amazon Elastic Block Store (EBS) шифруются для обеспечения защиты данных при хранении. В случае отказа контроллеров доменов происходит их автоматическая замена в той же зоне доступности с сохранением IP-адреса; кроме того, возможно полное аварийное восстановление из последней резервной копии.

Вопрос. Можно ли настраивать параметры хранилища, ЦПУ или памяти для каталога AWS Managed Microsoft AD?

Нет. В настоящий момент такие функциональные возможности не поддерживаются.

Вопрос. Как управлять пользователями и группами в AWS Managed Microsoft AD?

Для управления пользователями и группами в каталогах AWS Managed Microsoft AD можно использовать имеющиеся инструменты Active Directory на компьютерах с Windows, подключенных к домену AWS Managed Microsoft AD. Никаких дополнительных инструментов, политик и новых подходов не требуется.

Вопрос. Как отличаются административные разрешения в случае использования AWS Managed Microsoft AD и запуска службы Active Directory на собственном инстансе Amazon EC2 с Windows?

Для обеспечения работы управляемого сервиса AWS Managed Microsoft AD запрещает клиентам выполнять операции, которые могут помешать управлению сервисом. Поэтому AWS ограничивает доступ к объектам каталога, ролям и группам, требующим повышенных привилегий. AWS Managed Microsoft AD не разрешает прямой доступ хоста к контроллерам домена через подключение к удаленному рабочему столу Windows, удаленно через PowerShell, Telnet или Secure Shell (SSH). При создании каталога AWS Managed Microsoft AD с ним связывается организационное подразделение (OU) и административная учетная запись с делегированными административными правами для данного OU. Это позволяет создавать пользовательские аккаунты, группы и политики в пределах OU с помощью стандартных инструментов удаленного администрирования сервера, таких как пользователи и группы Active Directory или модуль PowerShell ActiveDirectory.

Вопрос. Можно ли использовать с AWS Managed Microsoft AD сервер политики сети Microsoft (NPS)?

Да. Административный аккаунт, созданный при настройке AWS Managed Microsoft AD, делегирует права на управление группе безопасности сервисов удаленного доступа (RAS) и аутентификации интернет-соединений (IAS). Это позволяет регистрировать сервер NPS в AWS Managed Microsoft AD и управлять политиками сетевого доступа для аккаунтов в своем домене.

Вопрос. Поддерживает ли AWS Managed Microsoft AD расширения схемы?

Да. AWS Managed Microsoft AD поддерживает расширения схемы, передаваемые сервису в виде файлов в формате LDAP Data Interchange (LDIF). Основная схема Active Directory поддается расширению, но не изменению.

Вопрос. Какие приложения совместимы с AWS Managed Microsoft AD?

Amazon Chime
Amazon Connect
Инстансы Amazon EC2
Amazon FSx for Windows File Server
Amazon QuickSight
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
Amazon Single Sign On
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS Client VPN
Консоль управления AWS

Обратите внимание: могут поддерживаться не все конфигурации этих приложений.

Вопрос. Какое стороннее программное обеспечение совместимо с AWS Managed Microsoft AD?

Сервис AWS Managed Microsoft AD основан на реальной системе Active Directory и предоставляет самый широкий ассортимент встроенных инструментов AD, а также поддержку сторонних приложений, в том числе перечисленных ниже.

Активация с помощью Active Directory (ADBA)
Службы сертификатов Active Directory (AD CS): корпоративный центр сертификации
Службы федерации Active Directory (AD FS)
Пользователи и компьютеры Active Directory (ADUC)
Application Server (.NET)
Azure Active Directory (Azure AD)
Azure Active Directory (AD) Connect
Репликация распределенной файловой системы (DFSR)
Пространства имен распределенной файловой системы (DFSN)
Сервер лицензирования служб удаленных рабочих столов Microsoft
Microsoft SharePoint Server
Microsoft SQL Server (включая группы доступности SQL Server Always On)
Microsoft System Center Configuration Manager (SCCM)
ОС Microsoft Windows и Windows Server
Office 365

Вопрос. Какое стороннее программное обеспечение НЕ совместимо с AWS Managed Microsoft AD?

Active Directory Certificate Services (AD CS): веб-сервис регистрации сертификатов
Active Directory Certificate Services (AD CS): веб-сервис политики регистрации сертификатов
Microsoft Exchange Server
Microsoft Skype для бизнеса Server

Вопрос. Можно ли перенести существующую локальную систему Microsoft Active Directory в AWS Managed Microsoft AD?

AWS не предоставляет инструментов миграции самоуправляемых систем Active Directory в AWS Managed Microsoft AD. Для проведения миграции необходимо разработать соответствующую стратегию с учетом сброса паролей, а затем реализовать ее с помощью инструментов удаленного администрирования серверов.

Вопрос. Можно ли настроить серверы условной пересылки и доверительные отношения с помощью консоли Directory Service?

Да. Настроить серверы условной пересылки и доверительные отношения для AWS Managed Microsoft AD можно с помощью консоли Directory Service либо API. 

Вопрос. Можно ли вручную добавлять дополнительные контроллеры доменов в AWS Managed Microsoft AD?

Да. Дополнительные контроллеры доменов можно добавить к управляемому домену с помощью консоли или API AWS Directory Service. Обратите внимание: привязка инстансов Amazon EC2 к контроллерам домена вручную не поддерживается. 

Вопрос. Можно ли использовать Microsoft Office 365 с аккаунтами пользователей в AWS Managed Microsoft AD?

Да. Для аутентификации пользователей Office 365 можно синхронизировать удостоверения из AWS Managed Microsoft AD с Azure AD с помощью Azure AD Connect и использовать Microsoft Active Directory Federation Services (AD FS) для Windows 2016 с AWS Managed Microsoft AD. Пошаговые инструкции см. в материале How to Enable Your Users to Access Office 365 with AWS Microsoft Active Directory Credentials. 

Вопрос. Можно ли использовать аутентификацию на основе Security Assertion Markup Language (SAML) 2.0 с облачными приложениями, использующими AWS Managed Microsoft AD?

Да. Для аутентификации пользователей в облачных приложениях, поддерживающих SAML, можно использовать Microsoft Active Directory Federation Services (AD FS) для Windows 2016 с управляемым доменом AWS Managed Microsoft AD. 

Вопрос. Можно ли с помощью LDAPS шифровать передачу данных между приложениями и AWS Managed Microsoft AD?

Да. AWS Managed Microsoft AD поддерживает протокол Lightweight Directory Access Protocol (LDAP) через Secure Socket Layer (SSL) / Transport Layer Security (TLS), также известный как LDAPS, для ролей как клиента, так и сервера. При работе в роли сервера AWS Managed Microsoft AD поддерживает LDAPS через порты 636 (SSL) и 389 (TLS). Чтобы активировать LDAPS на стороне сервера, нужно установить на контроллерах домена AWS Managed Microsoft AD сертификат из центра сертификации (CA) Active Directory Certificate Services, работающего на AWS. Подробнее об этом см. в разделе документации Enable Secure LDAP (LDAPS). 

Вопрос. Можно ли с помощью AWS Managed Microsoft AD шифровать передачу данных по протоколу LDAP между приложениями AWS и самостоятельно управляемым сервисом AD?

Да. AWS Managed Microsoft AD поддерживает протокол Lightweight Directory Access Protocol (LDAP) через Secure Socket Layer (SSL) / Transport Layer Security (TLS), также известный как LDAPS, для ролей как клиента, так и сервера. При работе в роли клиента AWS Managed Microsoft AD поддерживает LDAPS через порт 636 (SSL). Чтобы активировать передачу данных по LDAPS на стороне клиента, требуется зарегистрировать в AWS сертификаты используемого центра сертификации (CA) на стороне сервера. Подробнее об этом см. в разделе документации Enable Secure LDAP (LDAPS). 

Вопрос. Какие меры приняты в AWS Managed Microsoft AD в связи с оповещением ADV190023 от Microsoft, в котором описываются изменения стандартных параметров безопасности LDAP в контроллерах доменов AD?

AWS Managed Microsoft AD поддерживает как подписи LDAP, так и LDAP через SSL/TLS (LDAPS) при работе в качестве клиентов LDAP, взаимодействующих с самоуправляемым сервисом Active Directory. Чтобы включить подписи LDAP на стороне клиента, от пользователя не требуется никаких действий. При этом также обеспечивается целостность данных. LDAPS на стороне клиента нуждается в настройке и также обеспечивает целостность и конфиденциальность данных. Подробнее см. в этом сообщении на форумах AWS. 

Вопрос. Какое количество пользователей, групп, компьютеров и объектов в целом поддерживает сервис AWS Managed Microsoft AD?

AWS Managed Microsoft AD (Standard Edition) предусматривает 1 ГБ хранилища для объектов каталога. Этого объема достаточно для поддержки до 5000 пользователей или 30 000 объектов каталога, в том числе пользователей, групп и компьютеров. AWS Managed Microsoft AD (Enterprise Edition) предусматривает 17 ГБ хранилища для объектов каталога, чего достаточно для 100 000 пользователей или 500 000 объектов. 

Вопрос. Можно ли использовать AWS Managed Microsoft AD в качестве основного каталога?

Да. Сервис можно использовать в качестве основного каталога для управления пользователями, группами, компьютерами и объектами групповых политик (GPO) в облаке. Вы можете управлять доступом и использовать технологию единого входа (SSO) в приложениях и сервисах AWS, а также в приложениях сторонних разработчиков с поддержкой каталогов, работающих на инстансах Amazon EC2 в облаке AWS. Кроме того, можно использовать Azure AD Connect и AD FS для поддержки единого входа в облачных приложениях, в том числе в Office 365. 

Вопрос. Можно ли использовать AWS Managed Microsoft AD в качестве леса ресурсов?

Да. AWS Managed Microsoft AD можно использовать в качестве леса ресурсов, который содержит прежде всего компьютеры и группы, состоящие в доверительных отношениях с локальным каталогом. Это позволяет пользователям получать доступ к приложениям и ресурсам AWS с использованием локальных учетных данных AD. 

Вопрос. Что такое многорегиональная репликация?

Многорегиональная репликация – это функция, с помощью которой можно развернуть и использовать один каталог AWS Managed Microsoft AD в нескольких регионах AWS. Такое решение упрощает развертывание рабочих нагрузок Microsoft Windows и Linux и управление ими в глобальном масштабе, а также позволяет снизить затраты. Использование автоматической многорегиональной репликации приводит к повышению отказоустойчивости, при этом ваши приложения используют локальный каталог для оптимальной производительности. Эта функция доступна только в AWS Managed Microsoft AD (Enterprise Edition). Ее можно использовать для новых и имеющихся каталогов.

Вопрос. Как добавить регион AWS в каталог?

Сначала откройте консоль AWS Directory Service в регионе, где ваш каталог уже запущен и работает (основной регион). Выберите каталог, который необходимо развернуть, затем нажмите Add Region (Добавить регион). После этого укажите нужный регион, Amazon Virtual Private Cloud (VPC) и подсети, в которых вы хотите развернуть свой каталог. Для развертывания каталога также можно использовать API. Подробнее см. в документации.

Вопрос. Как работает многорегиональная репликация после добавления нового региона AWS?

AWS Managed Microsoft AD автоматически настраивает межрегиональное сетевое подключение, развертывает контроллеры домена и реплицирует все данные вашего каталога, включая пользователей, группы, объекты групповой политики (GPO) и схему, в выбранных вами регионах. Кроме того, AWS Managed Microsoft AD настраивает новый сайт AD для каждого региона, что позволяет оптимизировать аутентификацию пользователей и производительность репликации контроллера домена в регионе, а также снизить затраты за счет сведения передачи данных между регионами к минимуму. Для нового региона используется тот же идентификатор каталога (directory_id), что и в учетной записи AWS для вашего основного региона.

Вопрос. Могу ли я поделиться своим каталогом с другими аккаунтами AWS в новом регионе AWS?

Да. Используя функцию многорегиональной репликации вы можете поделиться своим каталогом с другими учетными записями AWS в каждом регионе. Настройки доступа к каталогу не реплицируются автоматически из основного региона. Подробнее о том, как поделиться вашим каталогом с другими аккаунтами AWS, см. в документации.

Вопрос. Могу ли я добавить дополнительные контроллеры домена в мой каталог в новом регионе AWS?

Да, с помощью многорегиональной репликации вы можете легко определять количество контроллеров домена для каждого региона. Подробнее о том, как добавить контроллер домена, см. в документации.

Вопрос. Как отслеживать статус каталога в нескольких регионах AWS?

В случае применения функции многорегиональной репликации вы отслеживаете статус каталога отдельно для каждого региона. Используя консоль AWS Directory Service или API, необходимо активировать Amazon Simple Notification Service (SNS) в каждом регионе, где вы развернули свой каталог. Подробнее см. в документации.

Вопрос. Как отслеживать журналы безопасности каталогов в нескольких регионах AWS?

В случае применения функции многорегиональной репликации вы отслеживаете статус журнала безопасности каталога отдельно для каждого региона. Используя консоль AWS Directory Service или API, необходимо активировать Amazon CloudWatch Logs в каждом регионе, где вы развернули свой каталог. Подробнее см. в документации.

Вопрос. Могу ли я переименовать название сайта AD моего каталога?

Да, вы можете переименовать название сайта AD вашего каталога для каждого региона, используя стандартные инструменты AD. Подробнее см. в документации.

Вопрос. Могу ли я удалить регион AWS из каталога?

Да. Если у вас нет приложений AWS, зарегистрированных в каталоге, и вы не предоставили доступ к каталогу ни одной учетной записи AWS в регионе, можно удалить регион из вашего каталога с помощью AWS Managed Microsoft AD. Основной регион можно удалить только вместе с каталогом.

Вопрос. Какие приложения и сервисы AWS можно использовать вместе с функцией многорегиональной репликации?

Функция многорегиональной репликации можно использовать вместе с Amazon EC2, Amazon RDS (SQL Server, Oracle, MySQL, PostgreSQL и MariaDB), Amazon Aurora (MySQL и PostgreSQL) и Amazon FSx для файлового сервера Windows. Вы также можете интегрировать другие приложения AWS, такие как Amazon WorkSpaces, AWS Single Sign-On, AWS Client VPN, Amazon QuickSight, Amazon Connect, Amazon WorkDocs, Amazon WorkMail и Amazon Chime, с вашим каталогом в новых регионах, настроив AD Connector в соответствии с каталогом AWS Managed Microsoft AD для каждого региона.

Вопрос. Что такое простое добавление к домену?

Простое присоединение к домену – это возможность, позволяющая легко присоединять к домену инстансы Amazon EC2 для Windows Server и Amazon EC2 для Linux во время их запуска, используя для этого Консоль управления AWS. При запуске сервиса AWS Managed Microsoft AD в облаке AWS к нему можно присоединять свои инстансы.

Вопрос. Как выполнить простое добавление инстанса к домену?

Создав и запустив через Консоль управления AWS инстанс EC2 для Windows или EC2 для Linux, вы можете выбрать, к какому домену присоединить этот инстанс. Подробнее см. в документации.

Вопрос. Существует ли простой способ добавить к домену существующие инстансы EC2 под управлением Windows Server?

Для существующих инстансов EC2 для Windows Server и EC2 для Linux недоступна функция простого присоединения к домену из Консоли управления AWS, но вы можете присоединить существующие инстансы к домену с помощью API EC2 или при помощи PowerShell в инстансе. Подробнее см. в документации.

Какие дистрибутивы и версии Linux поддерживает функция простого присоединения к домену?

В настоящее время функция простого присоединения к домену доступна для Amazon Linux, Amazon Linux 2, CentOS 7 (и более поздних версий), RHEL 7.5 (и более поздних версий) и Ubuntu 14–18.

Вопрос. Как в AWS Directory Service реализована технология единого входа (SSO) в Консоль управления AWS?

В AWS Directory Service можно назначать роли IAM пользователям и группам AWS Managed Microsoft AD или Simple AD в облаке AWS, а также существующим локальным пользователям и группам Microsoft Active Directory с помощью AD Connector. Эти роли на основе присвоенных им политик IAM будут контролировать доступ пользователей к сервисам AWS. Сервис AWS Directory Service предоставит для каждого клиента индивидуальный URL, по которому можно войти в Консоль управления AWS, используя существующие корпоративные данные для доступа. Подробнее об этой возможности см. в документации. 

Вопрос. Можно ли использовать AWS Managed Microsoft AD для рабочих нагрузок облака AWS, которые должны соответствовать нормативным стандартам?

Да. В AWS Managed Microsoft AD реализованы элементы управления, необходимые для обеспечения соответствия требованиям Акта Закон о передаче и защите данных учреждений здравоохранения (HIPAA) США; кроме того, этот сервис включен в качестве соответствующего сервиса в Отчет о подтверждении соответствия и ответственности стандарта безопасности данных индустрии платежных карт (PCI DSS). 

Вопрос. Как можно получить доступ к отчетам о соответствии требованиям и безопасности?

Чтобы получить доступ к полному перечню документов, связанных с обеспечением соответствия требованиям и безопасностью в облаке AWS, обратитесь к сервису AWS Artifact.

Вопрос. Что такое модель общей ответственности AWS?

Вопросы безопасности, включая соответствие требованиям HIPAA и PCI DSS, – это общая ответственность AWS и клиента. Например, в зону ответственности клиента входит настройка политик паролей управляемой AWS Microsoft AD в соответствии с требованиями PCI DSS при использовании управляемой AWS Microsoft AD. Для получения дополнительной информации о действиях, которые могут потребоваться для обеспечения соответствия требованиям HIPAA и PCI DSS, изучите документацию о соответствии требованиям для управляемой AWS Microsoft AD, материал Создание архитектуры, соответствующей требованиям HIPAA на странице технических описаний Amazon Web Services, а также разделы Соответствие облака AWS нормативным требованиям, Соответствие требованиям HIPAA и Соответствие требованиям PCI DSS.

Ответы на вопросы по AD Connector и Simple AD см. в разделе Сервис каталогов AWS: дополнительные возможности каталогов.