Возможности AWS Directory Service
Обзор
С помощью Сервиса каталогов AWS сотрудники организаций могут легко переносить рабочие нагрузки, зависящие от Active Directory, в облако. В рамках этого сервиса предоставляется полностью управляемая встроенная система Active Directory на базе Windows Server, что позволяет ИТ-отделам использовать существующие навыки и приложения AD, получая при этом преимущества повышенной безопасности, надежности и масштабируемости. Компании могут легко интегрировать свою среду AD с облачными сервисами, такими как Amazon RDS, FSx и EC2, обеспечивая согласованное управление AD в разных средах.
С помощью надежных функций безопасности, включая сквозное шифрование и соответствие отраслевым стандартам, обеспечивается сохранность конфиденциальных данных. Кроме того, благодаря развертыванию в нескольких регионах и автономному управлению AWS Directory Service обеспечивает высокую доступность критически важных сервисов каталогов даже в условиях сбоев. Независимо от того, являетесь ли вы лицом, принимающим решения в области ИТ, архитектором или директором по информационным технологиям, Сервис каталогов AWS упрощает процесс облачной трансформации, позволяя модернизировать инфраструктуру AD и расширять возможности сотрудников за счет безопасного и масштабируемого управления идентификацией.
Доступность, масштабируемость и надежность
Открыть все
Каталоги – это критически важная инфраструктура, поэтому развертывание управляемой AWS Microsoft AD выполняется на высокодоступных инфраструктурах AWS в нескольких зонах доступности. Контроллеры домена по умолчанию развернуты в двух зонах доступности в регионе и подключены к виртуальному частному облаку Amazon (VPC). Резервные копии автоматически создаются раз в сутки, а тома Магазина эластичных блоков Amazon (EBS) шифруются для обеспечения защиты данных при хранении. В случае отказа контроллеров доменов происходит их автоматическая замена в той же зоне доступности с сохранением IP-адреса. Кроме того, возможно аварийное восстановление из последней резервной копии.
При первом создании каталога управляемая AWS Microsoft AD развертывает два контроллера домена в нескольких зонах доступности, что необходимо для обеспечения высокой доступности. Позже вы сможете развернуть дополнительные контроллеры домена через консоль AWS Directory Service, указав необходимое количество контроллеров домена. Управляемая AWS Microsoft AD распределяет дополнительные контроллеры домена по зонам доступности и подсетям VPC, в которых работает ваш каталог.
AWS Managed Microsoft AD работает в управляемой инфраструктуре AWS на базе Windows Server 2019. Когда вы выбираете и запускаете этот тип каталога, он создается в виде пары высокодоступных контроллеров домена, подключенных к вашему виртуальному частному облаку (VPC). Контроллеры домена работают в разных зонах доступности в выбранном вами регионе. Мониторинг и восстановление хостов, репликация данных, снимки состояния и обновления программного обеспечения настраиваются и управляются за вас в соответствии с Соглашением об уровне обслуживания (SLA) для AWS Directory Service.
Управляемая AWS Microsoft AD автоматически создает ежедневные снимки состояния. Вы также можете сделать дополнительные снимки перед критическими обновлениями приложений, чтобы убедиться, что у вас есть самые последние данные на случай, если вам потребуется отменить изменение.
Глобальное управление рабочей нагрузкой
Открыть все
Мультирегиональная репликация позволяет развертывать и использовать один каталог AWS Managed Microsoft AD в нескольких регионах AWS. Такое решение упрощает развертывание рабочих нагрузок Microsoft Windows и Linux и управление ими в глобальном масштабе, а также позволяет снизить затраты. Использование автоматической многорегиональной репликации приводит к повышению отказоустойчивости, при этом ваши приложения используют локальный каталог для лучшей производительности.
AWS Managed Microsoft AD тесно интегрируется с AWS Organizations, обеспечивая беспрепятственный обмен каталогами между несколькими аккаунтами AWS. Вы можете предоставить общий доступ к одному каталогу другим доверенным аккаунтам AWS в рамках одной организации или предоставить общий доступ к каталогу другим аккаунтам AWS, находящимся за пределами вашей организации. Вы также можете поделиться своим каталогом, если ваш аккаунт AWS в настоящее время не является членом организации.
Встроенные функции Windows 2019 AD
Открыть все
AWS Managed Microsoft AD позволяет использовать беспрепятственное присоединение к доменам для новых и существующих инстансов Amazon EC2 для Windows Server и Amazon EC2 для Linux. Домен, к которому будут присоединяться новые инстансы EC2 при запуске, можно указать в Консоли управления AWS. Существующие инстансы EC2 можно без труда присоединить к домену с помощью сервиса EC2Config. Инстансы Amazon EC2 также можно подключить к единому каталогу с совместным доступом из любого аккаунта AWS и любого облака Amazon VPC в пределах региона.
AWS Managed Microsoft AD позволяет управлять пользователями и устройствами с помощью собственных объектов групповой политики (GPO) Microsoft Active Directory. GPO можно создавать с помощью имеющиеся инструментов, таких как консоль управления групповыми политиками (GPMC).
Можно расширить схему управляемой AWS Microsoft AD, добавив новые классы объектов и атрибуты. Можно также использовать расширения схемы для обеспечения поддержки приложений, использующих определенные классы и атрибуты объектов Active Directory. Это может быть особенно полезно в случае, когда вам нужно перенести в облако AWS корпоративные приложения, зависящие от управляемой AWS Microsoft AD. (Источник)
Администраторы могут управлять учетными записями служб с помощью метода, называемого Групповыми управляемыми сервисными учетными записями (GMSAS). Используя gMSA, администраторам служб больше не нужно вручную управлять синхронизацией паролей между инстансами сервиса. Вместо этого администратор может просто создать gMSA в Active Directory, а затем настроить несколько инстансов сервиса для использования одного gMSA. Чтобы предоставить пользователям управляемой AWS Microsoft AD разрешения на создание gMSA, необходимо добавить их аккаунты в группу безопасности для администраторов делегированных управляемых аккаунтов AWS. По умолчанию аккаунт администратора является членом этой группы.
Вы можете интегрировать управляемую AWS Microsoft AD с имеющейся системой AD при помощи отношений доверия в AD. Использование трастов позволяет использовать существующую Active Directory для управления доступом пользователей AD к вашим ресурсам AWS.
В управляемой AWS Microsoft AD используется тот же метод аутентификации на базе Kerberos, что и в существующей локальной системе AD. Благодаря интеграции ресурсов AWS с AWS Managed Microsoft AD пользователи AD могут входить в приложения и ресурсы AWS с помощью единого входа, используя единый набор учетных данных.
Безопасность и соответствие требованиям
Открыть все
Вы можете настроить детальные параметры каталогов для управляемой AWS Microsoft AD в соответствии с требованиями безопасности и соответствия нормативным требованиям без увеличения рабочей нагрузки. В настройках каталога вы можете обновить конфигурацию защищенного канала для протоколов и шифров, используемых в вашем каталоге. Например, вы можете отключить отдельные устаревшие шифры, такие как RC4 или DES, и протоколы, например SSL 2.0/3.0 и TLS 1.0/1.1. Затем управляемая AWS Microsoft AD развертывает конфигурацию на всех контроллерах домена в вашем каталоге, управляет перезагрузкой контроллеров домена и сохраняет эту конфигурацию при масштабировании или развертывании дополнительных регионов AWS. Все доступные настройки см. в списке настроек безопасности каталога.
LDAPS на стороне сервера шифрует связь LDAP между коммерческими или собственными приложениями, поддерживающими LDAP (действующими как клиенты LDAP), и управляемой AWS Microsoft AD (действующей как сервер LDAP). Дополнительные сведения см. в разделе Включение LDAPS на стороне сервера с помощью AWS Managed Microsoft AD.
LDAPS на стороне клиента шифрует обмен данными LDAP между приложениями AWS, такими как WorkSpaces (выступающими в качестве клиентов LDAP) и вашей самоуправляемой службой Active Directory (выступающей в качестве сервера LDAP). Дополнительные сведения см. в разделе Включение LDAPS на стороне клиента с помощью AWS Managed Microsoft AD.
Интеграция AWS Managed Microsoft AD и AD Connector с AWS Private Certificate Authority (AWS Private CA) Connector for AD позволяет регистрировать объекты, присоединенные к домену AD, включая пользователей, группы и машины, в сертификаты, выпущенные AWS Private CA. Частный CA AWS можно использовать в качестве замены самоуправляемым корпоративным центрам сертификации без необходимости развертывать, исправлять или обновлять локальные агенты или прокси-серверы. Вы можете настроить интеграцию частного CA AWS со своим каталогом вручную всего за несколько кликов или программным способом с помощью API.
Управляемую AWS Microsoft AD можно использовать для создания и запуска облачных приложений, связанных с AD, в соответствии с требованиями Федеральной программы управления рисками и авторизацией (FedRAMP), Закон о переносе и подотчетности медицинского страхования (HIPAA) и программы соответствия стандартам безопасности данных индустрии платежных карт (PCI DSS). Управляемая AWS Microsoft AD сокращает трудозатраты на развертывание соответствующей требованиям инфраструктуры AD для облачных приложений при реализации собственных программ управления рисками в соответствии с HIPAA или сертификации соответствия требованиям PCI DSS либо FedRAMP. Ознакомьтесь с полным списком программ соответствия требованиям, на которые распространяется сервис AWS Managed AD.
Мониторинг, ведение журналов и наблюдаемость
Открыть все
Используя Amazon Simple Notification Service (Amazon SNS), вы можете получать электронные или текстовые сообщения (SMS) при изменении статуса каталога. Вы получите уведомление, если ваш каталог перейдет из статуса «Активный» в статус «Неработоспособный» или «Неработоспособный». Вы также получите уведомление, когда каталог вернется в состояние Active (Активный).
AWS Directory Service интегрируется с Amazon CloudWatch, чтобы предоставить вам важные метрики производительности для каждого контроллера домена в вашем каталоге. Это означает, что вы можете отслеживать счетчики производительности контроллера домена, такие как использование ЦПУ и памяти. Можно также настроить аварийные сигналы и инициировать автоматические действия для реагирования на периоды высокой загрузки.
Используйте консоль AWS Directory Service или API для пересылки журналов событий безопасности контроллера домена в Amazon CloudWatch Logs. Это поможет вам выполнить требования к мониторингу безопасности, аудиту и политике хранения журналов, обеспечивая прозрачность событий безопасности в вашем каталоге. Вы также можете пересылать журналы событий безопасности из своего каталога в Amazon CloudWatch Logs в выбранном вами аккаунте Amazon Web Services (AWS) и централизованно отслеживать события с помощью сервисов AWS или сторонних приложений, таких как Splunk, партнер по передовым технологиям партнерской сети AWS (APN), обладающий компетенцией AWS в области безопасности.
Перенос рабочих нагрузок, зависящих от AD, и интеграция приложений AWS
Открыть всеAWS Managed Microsoft AD (гибридная версия) позволяет расширить существующий домен AD до AWS, создав унифицированный интерфейс каталогов во всех средах AD. Это решение обеспечивает плавную интеграцию локальных и облачных ресурсов, обеспечивая согласованное управление идентификацией во всей инфраструктуре.
Для организаций, которым требуется выделенный облачный сервис каталогов, наши версии Standard и Enterprise создают новый домен AD в AWS с возможностью установления безопасных доверительных отношений с существующей инфраструктурой AD. Это позволяет гибко обслуживать отдельные службы каталогов, обеспечивая при этом беспрепятственное взаимодействие между средами. В то время как AD Connector предлагает прокси-сервис, который соединяет сервисы AWS с существующей AD без хранения данных каталога в облаке. Это легкое и экономичное решение, которое поможет вам использовать существующие инвестиции в AD, одновременно используя преимущества сервисов AWS.
Вы можете предоставить локальным пользователям AD возможность входа в Консоль управления AWS и интерфейс командной строки AWS при помощи имеющихся данных AD для доступа и Центра идентификации AWS (преемника AWS SSO), выбрав управляемую AWS Microsoft AD в качестве источника удостоверений. Благодаря этому пользователи могут принимать назначенные им роли при входе и работать с ресурсами в соответствии с разрешениями, назначенными этой роли. Альтернативный вариант — использование AWS Managed Microsoft AD, чтобы дать пользователям возможность взять на себя роль AWS Identity and Access Management (IAM).
AWS Managed Microsoft AD позволяет использовать один каталог для рабочих нагрузок, связанных с каталогами, в ресурсах AWS, таких как инстансы Amazon EC2, Amazon RDS для инстансов SQL Server и вычислительные сервисы AWS для конечных пользователей, такие как Amazon WorkSpaces. Наличие совместного доступа к каталогу позволяет рабочим нагрузкам, связанным с каталогами, управлять инстансами Amazon EC2 в нескольких аккаунтах AWS и облаках Amazon VPC в пределах региона. Это также позволяет избежать сложностей, связанных с репликацией и синхронизацией данных между несколькими каталогами.