- Продукты›
- Безопасность, идентификация и соответствие требованиям›
- Сервис каталогов AWS›
- Вопросы и ответы по AWS Directory Service
Вопросы и ответы по AWS Directory Service
Общие вопросы
Что такое AWS Directory Service?
AWS Directory Service – это управляемый сервис каталогов, в которых содержатся сведения о вашей организации, включая информацию о пользователях, группах, компьютерах и других ресурсах. AWS Directory Service разрабатывался как управляемый сервис, призванный сократить количество административных задач, чтобы освободить время и ресурсы пользователя для развития бизнеса. Вам не придется создавать собственную сложную высокодоступную топологию каталогов, поскольку каждый каталог развертывается во множестве зон доступности, а система мониторинга автоматически обнаруживает и заменяет отказавшие контроллеры домена. Сервис также обеспечивает репликацию данных и ежедневное автоматическое создание снимков состояния. Он не требует установки программного обеспечения, к тому же AWS берет на себя все действия по установке исправлений и обновлений ПО.
Какие задачи можно выполнять с помощью AWS Directory Service?
AWS Directory Service позволяет легко установить и запустить службу каталогов в облаке AWS или соединить ваши ресурсы AWS с существующим локальным сервисом Microsoft Active Directory. С помощью созданного каталога можно управлять пользователями и группами, выполнять единый вход в приложения и сервисы, создавать и применять групповые политики, подключать инстансы Amazon EC2 к доменам, а также с легкостью развертывать в облаке рабочие нагрузки Linux и Microsoft Windows и управлять ими. AWS Directory Service позволяет конечным пользователям использовать существующие корпоративные данные для доступа, чтобы подключаться к приложениям AWS, таким как Amazon WorkSpaces, Amazon WorkDocs и Amazon WorkMail, а также к рабочим нагрузкам Microsoft с поддержкой каталогов, включая собственные приложения .NET и SQL Server. И наконец, вы можете использовать существующие корпоративные данные для доступа для администрирования ресурсов AWS через Консоль управления AWS благодаря доступу на основе ролей сервиса AWS Identity and Access Management (IAM), так что вам не придется расширять инфраструктуру федерации удостоверений.
Как создать каталог?
Для создания каталогов можно использовать API или Консоль управления AWS. Нужно только указать некоторые основные сведения, в том числе полное доменное имя (FQDN) каталога, имя и пароль аккаунта администратора, а также VPC, к которому нужно подключить каталог.
Можно ли добавить существующий инстанс Amazon EC2 к каталогу AWS Directory Service?
Да, существующий инстанс EC2 на базе Linux или Windows можно добавить к каталогу AWS Managed Microsoft AD с помощью API или Консоли управления AWS.
Поддерживаются ли API в сервисе AWS Directory Service?
Да, поддерживаются публичные API для создания каталогов и управления ими. Вы можете управлять каталогами программным путем, используя публичные API. Получить доступ к API можно через интерфейс командной строки и SDK AWS. Подробнее об API см. в документации по сервису каталогов AWS.
Поддерживаются ли в сервисе AWS Directory Service журналы CloudTrail?
Да. Действия, совершенные через API или консоль управления сервиса AWS Directory Service, будут фиксироваться в журналах аудита CloudTrail.
Можно ли получать оповещения при изменении состояния каталога?
Да. В сервисе Amazon Simple Notification Service (SNS) можно настроить отправку электронных писем и SMS-сообщений в случае изменения состояния каталогов AWS Directory Service. В сервисе Amazon SNS для сбора и отправки сообщений подписчикам используются темы. Когда сервис AWS Directory Service обнаруживает изменение состояния вашего каталога, он публикует сообщение в соответствующей теме, которое затем рассылается подписчикам этой темы. Подробнее см. в документации.
Какова стоимость использования сервиса AWS Directory Service?
Подробнее см. на странице цен.
Можно ли пометить каталог тегом?
Да. Сервис AWS Directory Service поддерживает расстановку тегов для распределения расходов. Теги упрощают распределение расходов и оптимизацию затрат путем классификации и группировки ресурсов AWS. Например, можно использовать теги, чтобы сгруппировать ресурсы по администратору, по имени приложения, по центру затрат или по конкретному проекту.
В каких регионах AWS доступен сервис AWS Directory Service?
Подробнее о доступности сервиса каталогов AWS по регионам см. на странице Продукты и сервисы по регионам.
Какие версии протокола Server Message Block (SMB) поддерживает AWS Managed Microsoft AD?
С 31.05.2020 г. для доступа к файлам, хранящимся в общих папках SYSVOL и NETLOGON контроллеров домена для каталогов AWS Managed Microsoft AD, клиентские компьютеры смогут использовать только протокол SMB версии 2.0 (SMBv2) или новее. При этом AWS рекомендует клиентам использовать протокол SMBv2 или более новой версии во всех файловых сервисах на основе SMB.
AWS Managed Microsoft AD
Как создать каталог AWS Managed Microsoft AD?
Для создания каталога AWS Managed Microsoft AD нужно перейти в консоль AWS Directory Service из Консоли управления AWS. Можно также использовать AWS SDK или интерфейс командной строки AWS.
Как осуществляется развертывание каталогов AWS Managed Microsoft AD?
По умолчанию каталоги AWS Managed Microsoft AD развертываются в двух зонах доступности одного региона и подключаются к облаку Amazon Virtual Private Cloud (VPC). Резервные копии автоматически создаются раз в сутки, а тома Amazon Elastic Block Store (EBS) шифруются для обеспечения защиты данных при хранении. В случае отказа контроллеров доменов происходит их автоматическая замена в той же зоне доступности с сохранением IP-адреса; кроме того, возможно полное аварийное восстановление из последней резервной копии.
Можно ли настраивать параметры хранилища, ЦПУ или памяти для каталога AWS Managed Microsoft AD?
Нет. В настоящий момент такие функциональные возможности не поддерживаются.
Как управлять пользователями и группами в AWS Managed Microsoft AD?
Для управления пользователями и группами в каталогах AWS Managed Microsoft AD можно использовать имеющиеся инструменты Active Directory на компьютерах с Windows, подключенных к домену AWS Managed Microsoft AD. Никаких дополнительных инструментов, политик и новых подходов не требуется.
Как отличаются административные разрешения в случае использования AWS Managed Microsoft AD и запуска службы Active Directory на собственном инстансе Amazon EC2 с Windows?
Для обеспечения работы управляемого сервиса AWS Managed Microsoft AD запрещает клиентам выполнять операции, которые могут помешать управлению сервисом. Поэтому AWS ограничивает доступ к объектам каталога, ролям и группам, требующим повышенных привилегий. AWS Managed Microsoft AD не разрешает прямой доступ хоста к контроллерам домена через подключение к удаленному рабочему столу Windows, удаленно через PowerShell, Telnet или Secure Shell (SSH). При создании каталога AWS Managed Microsoft AD с ним связывается организационное подразделение (OU) и административная учетная запись с делегированными административными правами для данного OU. Это позволяет создавать пользовательские аккаунты, группы и политики в пределах подразделения с помощью стандартных инструментов удаленного администрирования сервера, таких как пользователи и группы Active Directory или модуль PowerShell ActiveDirectory.
Можно ли использовать с AWS Managed Microsoft AD сервер политики сети Microsoft (NPS)?
Да. Административный аккаунт, созданный при настройке AWS Managed Microsoft AD, делегирует права на управление группе безопасности сервисов удаленного доступа (RAS) и аутентификации интернет-соединений (IAS). Это позволяет регистрировать сервер NPS в AWS Managed Microsoft AD и управлять политиками сетевого доступа для аккаунтов в своем домене.
Поддерживает ли AWS Managed Microsoft AD расширения схемы?
Да. AWS Managed Microsoft AD поддерживает расширения схемы, передаваемые сервису в виде файлов в формате LDAP Data Interchange (LDIF). Основная схема Active Directory поддается расширению, но не изменению.
Какие приложения совместимы с AWS Managed Microsoft AD?
Amazon Chime
Amazon Connect
Инстансы Amazon EC2
Amazon FSx for Windows File Server
Amazon QuickSight
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
Amazon Single Sign On
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS Client VPN
Консоль управления AWS
Обратите внимание: могут поддерживаться не все конфигурации этих приложений.
Какое стороннее программное обеспечение совместимо с AWS Managed Microsoft AD?
Сервис AWS Managed Microsoft AD основан на реальной системе Active Directory и предоставляет самый широкий ассортимент встроенных инструментов AD, а также поддержку сторонних приложений, в том числе перечисленных ниже.
Активация с помощью Active Directory (ADBA)
Службы сертификатов Active Directory (AD CS): корпоративный центр сертификации
Службы федерации Active Directory (AD FS)
Пользователи и компьютеры Active Directory (ADUC)
Application Server (.NET)
Azure Active Directory (Azure AD)
Azure Active Directory (AD) Connect
Репликация распределенной файловой системы (DFSR)
Пространства имен распределенной файловой системы (DFSN)
Сервер лицензирования служб удаленных рабочих столов Microsoft
Microsoft SharePoint Server
Microsoft SQL Server (включая группы доступности SQL Server Always On)
Microsoft System Center Configuration Manager (SCCM)
ОС Microsoft Windows и Windows Server
Office 365
Какое стороннее программное обеспечение НЕСОВМЕСТИМО с AWS Managed Microsoft AD?
Active Directory Certificate Services (AD CS): веб-сервис регистрации сертификатов
Active Directory Certificate Services (AD CS): веб-сервис политики регистрации сертификатов
Microsoft Exchange Server
Microsoft Skype для бизнеса Server
Возможен ли перенос существующего локального каталога Microsoft Active Directory в AWS Managed Microsoft AD?
AWS не предоставляет инструментов миграции самоуправляемых систем Active Directory в AWS Managed Microsoft AD. Для проведения миграции необходимо разработать соответствующую стратегию с учетом сброса паролей, а затем реализовать ее с помощью инструментов удаленного администрирования серверов.
Можно ли настроить серверы условной пересылки и доверительные отношения с помощью консоли Directory Service?
Да. Настроить серверы условной пересылки и доверительные отношения для AWS Managed Microsoft AD можно с помощью консоли сервиса каталогов, а также API.
Можно ли вручную добавлять дополнительные контроллеры доменов в AWS Managed Microsoft AD?
Да. Дополнительные контроллеры доменов можно добавить в управляемый домен с помощью консоли сервиса каталогов AWS или API. Обратите внимание: привязка инстансов Amazon EC2 к контроллерам домена вручную не поддерживается.
Можно ли использовать Microsoft Office 365 с аккаунтами пользователей в AWS Managed Microsoft AD?
Да. Для аутентификации пользователей Office 365 можно синхронизировать удостоверения из AWS Managed Microsoft AD с Azure AD с помощью Azure AD Connect и использовать Microsoft Active Directory Federation Services (AD FS) для Windows 2016 с AWS Managed Microsoft AD. Пошаговые инструкции см. в разделе Как предоставить пользователям доступ к Office 365 с учетными данными AWS Microsoft Active Directory.
Можно ли использовать аутентификацию на основе Security Assertion Markup Language (SAML) 2.0 с облачными приложениями, использующими AWS Managed Microsoft AD?
Да. Для аутентификации пользователей в облачных приложениях, поддерживающих SAML, можно использовать Microsoft Active Directory Federation Services (AD FS) для Windows 2016 с управляемым доменом AWS Managed Microsoft AD.
Можно ли с помощью LDAPS шифровать передачу данных между приложениями и AWS Managed Microsoft AD?
Да. AWS Managed Microsoft AD поддерживает протокол Lightweight Directory Access Protocol (LDAP) через Secure Socket Layer (SSL) / Transport Layer Security (TLS), также известный как LDAPS, для ролей как клиента, так и сервера. При работе в роли сервера AWS Managed Microsoft AD поддерживает LDAPS через порты 636 (SSL) и 389 (TLS). Чтобы активировать LDAPS на стороне сервера, нужно установить на контроллерах домена AWS Managed Microsoft AD сертификат из центра сертификации (CA) Active Directory Certificate Services, работающего на AWS. Подробнее об этом см. в разделе Включение защищенного протокола LDAP (LDAPS).
Можно ли с помощью AWS Managed Microsoft AD шифровать передачу данных по протоколу LDAP между приложениями AWS и самостоятельно управляемым сервисом AD?
Да. AWS Managed Microsoft AD поддерживает протокол Lightweight Directory Access Protocol (LDAP) через Secure Socket Layer (SSL) / Transport Layer Security (TLS), также известный как LDAPS, для ролей как клиента, так и сервера. При работе в роли клиента AWS Managed Microsoft AD поддерживает LDAPS через порт 636 (SSL). Чтобы активировать передачу данных по LDAPS на стороне клиента, требуется зарегистрировать в AWS сертификаты используемого центра сертификации (CA) на стороне сервера. Подробнее об этом см. в разделе Включение защищенного протокола LDAP (LDAPS).
Какие меры приняты в AWS Managed Microsoft AD в связи с оповещением ADV190023 от Microsoft, в котором описываются изменения стандартных параметров безопасности LDAP в контроллерах доменов AD?
AWS Managed Microsoft AD поддерживает как подписи LDAP, так и LDAP через SSL/TLS (LDAPS) при работе в качестве клиентов LDAP, взаимодействующих с самоуправляемым сервисом Active Directory. Чтобы включить подписи LDAP на стороне клиента, от пользователя не требуется никаких действий. При этом также обеспечивается целостность данных. LDAPS на стороне клиента нуждается в настройке и также обеспечивает целостность и конфиденциальность данных. Подробнее см. в этом сообщении на форумах AWS.
Какое количество пользователей, групп, компьютеров и объектов в целом поддерживает сервис AWS Managed Microsoft AD?
AWS Managed Microsoft AD (Standard Edition) предусматривает 1 ГБ хранилища для объектов каталога. Этого объема достаточно для поддержки до 5000 пользователей или 30 000 объектов каталога, в том числе пользователей, групп и компьютеров. AWS Managed Microsoft AD (Enterprise Edition) предусматривает 17 ГБ хранилища для объектов каталога, чего достаточно для 100 000 пользователей или 500 000 объектов.
Можно ли использовать AWS Managed Microsoft AD в качестве основного каталога?
Да. Сервис можно использовать в качестве основного каталога для управления пользователями, группами, компьютерами и объектами групповых политик (GPO) в облаке. Вы можете управлять доступом и использовать технологию единого входа (SSO) в приложениях и сервисах AWS, а также в приложениях сторонних разработчиков с поддержкой каталогов, работающих на инстансах Amazon EC2 в облаке AWS. Кроме того, можно использовать Azure AD Connect и AD FS для поддержки единого входа в облачных приложениях, в том числе в Office 365.
Можно ли использовать AWS Managed Microsoft AD в качестве леса ресурсов?
Да. AWS Managed Microsoft AD можно использовать в качестве леса ресурсов, который содержит прежде всего компьютеры и группы, состоящие в доверительных отношениях с локальным каталогом. Это позволяет пользователям получать доступ к приложениям и ресурсам AWS с использованием локальных учетных данных AD.
Многорегиональная репликация
Что такое многорегиональная репликация?
Многорегиональная репликация – это функция, с помощью которой можно развернуть и использовать один каталог AWS Managed Microsoft AD в нескольких регионах AWS. Такое решение упрощает развертывание рабочих нагрузок Microsoft Windows и Linux и управление ими в глобальном масштабе, а также позволяет снизить затраты. Использование автоматической многорегиональной репликации приводит к повышению отказоустойчивости, при этом ваши приложения используют локальный каталог для оптимальной производительности. Эта функция доступна только в AWS Managed Microsoft AD (Enterprise Edition). Ее можно использовать для новых и имеющихся каталогов.
Как добавить регион AWS в каталог?
Сначала откройте консоль AWS Directory Service в регионе, где ваш каталог уже запущен и работает (основной регион). Выберите каталог, который необходимо развернуть, затем нажмите Add Region (Добавить регион). После этого укажите нужный регион, Amazon Virtual Private Cloud (VPC) и подсети, в которых вы хотите развернуть свой каталог. Для развертывания каталога также можно использовать API. Подробнее см. в документации.
Как работает многорегиональная репликация после добавления нового региона AWS?
AWS Managed Microsoft AD автоматически настраивает межрегиональное сетевое подключение, развертывает контроллеры домена и реплицирует все данные вашего каталога, включая пользователей, группы, объекты групповой политики (GPO) и схему, в выбранных вами регионах. Кроме того, AWS Managed Microsoft AD настраивает новый сайт AD для каждого региона, что позволяет оптимизировать аутентификацию пользователей и производительность репликации контроллера домена в регионе, а также снизить затраты за счет сведения передачи данных между регионами к минимуму. Для нового региона используется тот же идентификатор каталога (directory_id), что и в учетной записи AWS для вашего основного региона.
Можно ли поделиться своим каталогом с другими аккаунтами AWS в новом регионе AWS?
Да. Используя функцию многорегиональной репликации вы можете поделиться своим каталогом с другими учетными записями AWS в каждом регионе. Настройки доступа к каталогу не реплицируются автоматически из основного региона. Подробнее о том, как поделиться каталогом с другими аккаунтами AWS, см. в документации.
Можно ли добавить дополнительные контроллеры домена в каталог в новом регионе AWS?
Да, с помощью многорегиональной репликации вы можете легко определять количество контроллеров домена для каждого региона. Подробнее о том, как добавить контроллер домена, см. в документации.
Как отслеживать статус каталога в нескольких регионах AWS?
В случае применения функции многорегиональной репликации вы отслеживаете статус каталога отдельно для каждого региона. Используя консоль AWS Directory Service или API, необходимо активировать Amazon Simple Notification Service (SNS) в каждом регионе, где вы развернули свой каталог. Подробнее см. в документации.
Как отслеживать журналы безопасности каталогов в нескольких регионах AWS?
В случае применения функции многорегиональной репликации вы отслеживаете статус журнала безопасности каталога отдельно для каждого региона. Используя консоль AWS Directory Service или API, необходимо активировать Amazon CloudWatch Logs в каждом регионе, где вы развернули свой каталог. Подробнее см. в документации.
Можно ли переименовать название сайта AD моего каталога?
Да, вы можете переименовать название сайта AD вашего каталога для каждого региона, используя стандартные инструменты AD. Подробнее см. в документации.
Можно ли удалить регион AWS из каталога?
Да. Если у вас нет приложений AWS, зарегистрированных в каталоге, и вы не предоставили доступ к каталогу ни одной учетной записи AWS в регионе, можно удалить регион из вашего каталога с помощью AWS Managed Microsoft AD. Основной регион можно удалить только вместе с каталогом.
Какие приложения и сервисы AWS можно использовать вместе с функцией многорегиональной репликации?
Функция многорегиональной репликации можно использовать вместе с Amazon EC2, Amazon RDS (SQL Server, Oracle, MySQL, PostgreSQL и MariaDB), Amazon Aurora (MySQL и PostgreSQL) и Amazon FSx для файлового сервера Windows. Вы также можете интегрировать другие приложения AWS, такие как Amazon WorkSpaces, AWS Single Sign-On, AWS Client VPN, Amazon QuickSight, Amazon Connect, Amazon WorkDocs, Amazon WorkMail и Amazon Chime, с вашим каталогом в новых регионах, настроив AD Connector в соответствии с каталогом AWS Managed Microsoft AD для каждого региона.
Простое присоединение к домену
Что такое простое присоединение к домену?
Простое присоединение к домену – это возможность, позволяющая легко присоединять к домену инстансы Amazon EC2 для Windows Server и Amazon EC2 для Linux во время их запуска, используя для этого Консоль управления AWS. При запуске сервиса AWS Managed Microsoft AD в облаке AWS к нему можно присоединять свои инстансы.
Как выполнить простое присоединение инстанса к домену?
Создав и запустив через Консоль управления AWS инстанс EC2 для Windows или EC2 для Linux, вы можете выбрать, к какому домену присоединить этот инстанс. Подробнее см. в документации.
Существует ли простой способ присоединить к домену существующие инстансы EC2 под управлением Windows Server?
Для существующих инстансов EC2 для Windows Server и EC2 для Linux недоступна функция простого присоединения к домену из Консоли управления AWS, но вы можете присоединить существующие инстансы к домену с помощью API EC2 или при помощи PowerShell в инстансе. Подробнее см. в документации.
Какие дистрибутивы и версии Linux поддерживает функция простого присоединения к домену?
В настоящее время функция простого присоединения к домену доступна для Amazon Linux, Amazon Linux 2, CentOS 7 (и более поздних версий), RHEL 7.5 (и более поздних версий) и Ubuntu 14–18.
Интеграция с IAM
Как в AWS Directory Service реализована технология единого входа (SSO) в Консоль управления AWS?
В AWS Directory Service можно назначать роли IAM пользователям и группам AWS Managed Microsoft AD или Simple AD в облаке AWS, а также существующим локальным пользователям и группам Microsoft Active Directory с помощью AD Connector. Эти роли на основе присвоенных им политик IAM будут контролировать доступ пользователей к сервисам AWS. Сервис AWS Directory Service предоставит для каждого клиента индивидуальный URL, по которому можно войти в Консоль управления AWS, используя существующие корпоративные данные для доступа. Подробнее об этой функции см. в документации.
Соответствие требованиям
Можно ли использовать AWS Managed Microsoft AD для рабочих нагрузок облака AWS, которые должны соответствовать нормативным стандартам?
Да. В AWS Managed Microsoft AD реализованы средства управления, необходимые для обеспечения соответствия требованиям Закона США о передаче и защите данных учреждений здравоохранения (HIPAA). Кроме того, этот сервис включен в качестве соответствующего сервиса в Отчет о подтверждении соответствия и ответственности Стандарта безопасности данных индустрии платежных карт (PCI DSS).
Как можно получить доступ к отчетам о соответствии требованиям и безопасности?
Чтобы получить доступ к полному перечню документов, связанных с обеспечением соответствия требованиям и безопасностью в облаке AWS, обратитесь к сервису AWS Artifact.
Что такое модель общей ответственности AWS?
Обеспечение безопасности, включая соответствие требованиям HIPAA и PCI DSS, — это сфера общей ответственности AWS и клиента. Например, в зону ответственности клиента входит настройка политик паролей управляемой AWS Microsoft AD в соответствии с требованиями PCI DSS при использовании управляемой AWS Microsoft AD. Для получения дополнительной информации о действиях, которые могут потребоваться для обеспечения соответствия требованиям HIPAA и PCI DSS, изучите документацию о соответствии требованиям для AWS Managed Microsoft AD, материал Создание архитектуры, соответствующей требованиям HIPAA на странице технических описаний Amazon Web Services, а также разделы Соответствие облака AWS нормативным требованиям, Соответствие требованиям HIPAA и Соответствие требованиям PCI DSS.
Ознакомьтесь с примерами расчета стоимости и рассчитайте свои расходы.
Получите мгновенный доступ к уровню бесплатного пользования AWS.
Начните разработку с использованием AWS Directory Service в Консоли AWS.