Возможности AWS Directory Service

Каталоги – это критически важная инфраструктура, поэтому развертывание управляемой AWS Microsoft AD выполняется на высокодоступных инфраструктурах AWS в нескольких зонах доступности. По умолчанию контроллеры домена развертываются в двух зонах доступности одного региона и подключаются к виртуальному частному облаку (VPC). Резервные копии автоматически создаются раз в сутки, а тома Магазина эластичных блоков Amazon (EBS) шифруются для обеспечения защиты данных при хранении. В случае отказа контроллеров доменов происходит их автоматическая замена в той же зоне доступности с сохранением IP-адреса. Кроме того, возможно аварийное восстановление из последней резервной копии.

При первом создании каталога управляемая AWS Microsoft AD развертывает два контроллера домена в нескольких зонах доступности, что необходимо для обеспечения высокой доступности. Позже вы сможете развернуть дополнительные контроллеры домена через консоль Сервиса каталогов AWS, указав общее количество нужных контроллеров домена. Управляемая AWS Microsoft AD распределяет дополнительные контроллеры домена по зонам доступности и подсетям VPC, в которых работает ваш каталог.

Управляемая AWS Microsoft AD работает в контролируемой инфраструктуре AWS под управлением Windows Server 2019. Когда вы выбираете и запускаете этот тип каталога, он создается в виде пары высокодоступных контроллеров домена, подключенных к вашему виртуальному частному облаку (VPC). Контроллеры домена работают в разных зонах доступности в выбранном вами регионе. Мониторинг и восстановление хостов, репликация данных, снимки и обновления программного обеспечения настраиваются и управляются вами в соответствии с соглашением об уровне обслуживания (SLA) для Сервиса каталогов AWS.

Управляемая AWS Microsoft AD автоматически создает ежедневные снимки состояния. Перед обновлением важных приложений можно создать дополнительные снимки состояния, чтобы сохранить самые актуальные данные для восстановления, если потребуется откатить изменения.

С помощью многорегиональной репликации можно развернуть и использовать один каталог управляемой AWS Microsoft AD в нескольких регионах AWS. Такое решение упрощает развертывание рабочих нагрузок Microsoft Windows и Linux и управление ими в глобальном масштабе, а также позволяет снизить затраты. Использование автоматической многорегиональной репликации приводит к повышению отказоустойчивости, при этом ваши приложения используют локальный каталог для лучшей производительности.
 

Управляемая AWS Microsoft AD тесно интегрируется с Организациями AWS, обеспечивая беспрепятственный обмен каталогами между несколькими аккаунтами AWS. Вы можете предоставить общий доступ к одному каталогу другим доверенным аккаунтам AWS в рамках одной организации или предоставить общий доступ к каталогу другим аккаунтам AWS, находящимся за пределами вашей организации. Вы также можете поделиться своим каталогом, если ваш аккаунт AWS в настоящее время не является членом организации.

Управляемая AWS Microsoft AD дает возможность без труда присоединять к домену новые и существующие инстансы Amazon EC2 для Windows Server и Amazon EC2 для Linux. Домен, к которому будут присоединяться новые инстансы EC2 при запуске, можно указать в Консоли управления AWS. Существующие инстансы EC2 можно без труда присоединить к домену с помощью сервиса EC2Config. Инстансы Amazon EC2 также можно подключить к единому каталогу с совместным доступом из любого аккаунта AWS и любого облака Amazon VPC в пределах региона.

Управляемая AWS Microsoft AD дает возможность управлять пользователями и устройствами при помощи встроенных в Microsoft Active Directory объектов групповой политики (GPO). GPO можно создавать с помощью имеющихся инструментов, таких как консоль управления групповыми политиками (GPMC).
 

Можно расширить схему управляемой AWS Microsoft AD, добавив новые классы объектов и атрибуты. Можно также использовать расширения схемы для поддержки приложений, использующих определенные классы и атрибуты объектов Active Directory. Это может быть особенно полезно в случае, когда вам нужно перенести в облако AWS корпоративные приложения, зависящие от управляемой AWS Microsoft AD. (Источник)

Администраторы могут управлять сервисными аккаунтами с помощью метода под названием Групповые управляемые сервисные аккаунты (gMSA). Используя gMSA, администраторам служб больше не нужно вручную управлять синхронизацией паролей между инстансами сервиса. Вместо этого администратор может просто создать gMSA в Active Directory, а затем настроить несколько инстансов сервиса для использования одного gMSA. Чтобы предоставить пользователям управляемой AWS Microsoft AD разрешения на создание gMSA, необходимо добавить их аккаунты в группу безопасности для администраторов делегированных управляемых аккаунтов AWS. По умолчанию аккаунт администратора является членом этой группы.

Вы можете интегрировать управляемую AWS Microsoft AD с имеющейся системой AD при помощи отношений доверия в AD. Благодаря отношениям доверия вы можете использовать существующую систему Active Directory для управления доступом пользователей AD к ресурсам AWS.
 

В управляемой AWS Microsoft AD используется тот же метод аутентификации на базе Kerberos, что и в существующей локальной системе AD. Благодаря интеграции ресурсов AWS с управляемой AWS Microsoft AD пользователи AD могут подключаться к приложениям и ресурсам AWS с помощью SSO, используя один набор данных для доступа.
 

Вы можете настроить детальные параметры каталогов для управляемой AWS Microsoft AD в соответствии с требованиями безопасности и соответствия нормативным требованиям без увеличения рабочей нагрузки. В настройках каталога вы можете обновить конфигурацию защищенного канала для протоколов и шифров, используемых в вашем каталоге. Например, вы можете отключить отдельные устаревшие шифры, такие как RC4 или DES, и протоколы, например SSL 2.0/3.0 и TLS 1.0/1.1. Затем управляемая AWS Microsoft AD развертывает конфигурацию на всех контроллерах домена в вашем каталоге, управляет перезагрузкой контроллеров домена и сохраняет эту конфигурацию при масштабировании или развертывании дополнительных регионов AWS. Все доступные настройки см. в списке настроек безопасности каталога.

LDAPS на стороне сервера шифрует связь LDAP между коммерческими или собственными приложениями, поддерживающими LDAP (действующими как клиенты LDAP), и управляемой AWS Microsoft AD (действующей как сервер LDAP). Дополнительные сведения см. в разделе Включение LDAPS на стороне сервера с помощью управляемой AWS Microsoft AD.

LDAPS на стороне клиента шифрует обмен данными LDAP между приложениями AWS, такими как WorkSpaces (выступающими в качестве клиентов LDAP) и вашей самоуправляемой службой Active Directory (выступающей в качестве сервера LDAP). Дополнительные сведения см. в разделе Включение LDAPS на стороне клиента с помощью управляемой AWS Microsoft AD.

Интеграция управляемой AWS Microsoft AD и AD Connector с коннектором Частного центра сертификации AWS (частного CA AWS) для AD позволяет регистрировать подключенные к домену AD объекты, включая пользователей, группы и машины, с помощью сертификатов, выпущенных частным CA AWS. Частный CA AWS можно использовать в качестве замены самоуправляемым корпоративным центрам сертификации без необходимости развертывать, исправлять или обновлять локальные агенты или прокси-серверы. Вы можете настроить интеграцию частного CA AWS со своим каталогом вручную всего за несколько кликов или программным способом с помощью API.  

Управляемую AWS Microsoft AD можно использовать для создания и запуска облачных приложений, связанных с AD, в соответствии с требованиями Федеральной программы управления рисками и авторизацией (FedRAMP), Акта о передаче и защите данных учреждений здравоохранения (HIPAA) США и программами соответствия требованиям стандарта безопасности данных индустрии платежных карт (PCI DSS). Управляемая AWS Microsoft AD сокращает трудозатраты на развертывание соответствующей требованиям инфраструктуры AD для облачных приложений при реализации собственных программ управления рисками в соответствии с HIPAA или сертификации соответствия требованиям PCI DSS либо FedRAMP. Ознакомьтесь с полным списком программ соответствия требованиям, которым соответствует управляемая AWS AD.

С Простым сервисом уведомлений Amazon (Amazon SNS) вы можете получать электронные письма или SMS-сообщения при изменении статуса каталога. Вы получаете уведомление, если ваш каталог переходит из состояния Active (Активный) в состояние Impaired (Поврежденный) или Inoperable (Нерабочий). Вы также получите уведомление, когда каталог вернется в состояние Active (Активный).

Сервис каталогов AWS интегрируется с Amazon CloudWatch, что позволяет получать важные метрики производительности для каждого контроллера домена в вашем каталоге. Это означает, что вы можете отслеживать счетчики производительности контроллера домена, такие как использование ЦПУ и памяти. Можно также настроить аварийные сигналы и инициировать автоматические действия для реагирования на периоды высокой загрузки.  

Используйте консоль Сервиса каталогов AWS или API для пересылки журналов событий безопасности контроллера домена в Журналы Amazon CloudWatch. Это поможет вам выполнить требования к мониторингу безопасности, аудиту и политике хранения журналов, обеспечивая прозрачность событий безопасности в вашем каталоге. Можно также пересылать журналы событий безопасности из своего каталога в Журналы Amazon CloudWatch в выбранном вами аккаунте Amazon Web Services (AWS) и централизованно отслеживать события с помощью сервисов AWS или сторонних приложений, таких как Splunk, Партнерская сеть AWS (APN) по передовым технологиям в рамках программы AWS Competency в сфере безопасности.

Вы можете предоставить локальным пользователям AD возможность входа в Консоль управления AWS и интерфейс командной строки AWS при помощи имеющихся данных AD для доступа и Центра идентификации AWS (преемника AWS SSO), выбрав управляемую AWS Microsoft AD в качестве источника удостоверений. Благодаря этому пользователи могут принимать назначенные им роли при входе и работать с ресурсами в соответствии с разрешениями, назначенными этой роли. С помощью управляемой AWS Microsoft AD также можно дать пользователям возможность принять роль управления идентификацией и доступом AWS (IAM).

Управляемая AWS Microsoft AD дает возможность использовать единый каталог для всех связанных с каталогами рабочих нагрузок, которые размещены в ресурсах AWS, включая инстансы Amazon EC2, инстансы Amazon RDS для SQL Server, а также вычислительные сервисы AWS для конечных пользователей, такие как Amazon WorkSpaces. Наличие совместного доступа к каталогу позволяет рабочим нагрузкам, связанным с каталогами, управлять инстансами Amazon EC2 в нескольких аккаунтах AWS и облаках Amazon VPC в пределах региона. Это также позволяет избежать сложностей, связанных с репликацией и синхронизацией данных между несколькими каталогами.