Возможности AWS Directory Service

AWS Managed Microsoft AD – это реальная система Microsoft Active Directory (AD) на базе инфраструктуры под управлением AWS. Сервис позволяет управлять пользователями и устройствами в AWS Managed Microsoft AD с помощью привычных инструментов, таких как Центр администрирования Active Directory или оснастка «Active Directory – пользователи и компьютеры».

Каталоги – это критически важная инфраструктура, поэтому развертывание каталогов AWS Managed Microsoft AD выполняется на высокодоступных серверах в нескольких зонах доступности. Каталоги AWS Managed Microsoft AD поддерживают горизонтальное масштабирование. Развертывание дополнительных контроллеров домена повышает отказоустойчивость управляемого каталога и обеспечивает еще более высокую доступность.

AWS Managed Microsoft AD работает на базе инфраструктуры под управлением AWS, система мониторинга которой автоматически выявляет и заменяет отказавшие контроллеры доменов. Сервис также обеспечивает репликацию данных и ежедневное автоматическое создание снимков состояния. Вам не требуется устанавливать программное обеспечение, при этом AWS берет на себя все действия по установке исправлений и обновлений ПО.

С помощью многорегиональной репликации можно развернуть и использовать один каталог AWS Managed Microsoft AD в нескольких регионах AWS. Такое решение упрощает развертывание рабочих нагрузок Microsoft Windows и Linux и управление ими в глобальном масштабе, а также позволяет снизить затраты. Использование автоматической многорегиональной репликации приводит к повышению отказоустойчивости, при этом ваши приложения используют локальный каталог для оптимальной производительности.

AWS Managed Microsoft AD можно использовать для создания и запуска облачных приложений, связанных с AD, в соответствии с требованиями Акта о передаче и защите данных учреждений здравоохранения (HIPAA) США или стандарта безопасности данных индустрии платежных карт (PCI DSS). AWS Managed Microsoft AD сокращает трудозатраты на развертывание соответствующей требованиям инфраструктуры AD для облачных приложений при реализации собственных программ управления рисками в соответствии с HIPAA или сертификации соответствия требованиям PCI DSS.

Вы можете легко интегрировать AWS Managed Microsoft AD с имеющейся системой AD при помощи отношений доверия в AD. Благодаря отношениям доверия вы можете использовать существующую систему Active Directory для управления доступом пользователей AD к ресурсам AWS.

AWS Managed Microsoft AD дает возможность управлять пользователями и устройствами при помощи встроенных в Active Directory объектов групповой политики (GPO). GPO можно создавать с помощью имеющихся инструментов, таких как консоль управления групповыми политиками (GPMC).

В AWS Managed Microsoft AD используется тот же метод аутентификации на базе Kerberos, что и в существующей локальной системе AD. Благодаря интеграции ресурсов AWS с AWS Managed Microsoft AD пользователи AD могут подключаться к приложениям и ресурсам AWS с помощью SSO, используя один набор данных для доступа.

AWS Managed Microsoft AD дает возможность без труда присоединять к домену новые и существующие инстансы Amazon EC2 для Windows Server и Amazon EC2 для Linux. Домен, к которому будут присоединяться новые инстансы EC2 при запуске, можно указать в Консоли управления AWS. Существующие инстансы EC2 можно без труда присоединить к домену с помощью сервиса EC2Config. Инстансы Amazon EC2 также можно подключить к единому каталогу с совместным доступом из любого аккаунта AWS и любого облака Amazon VPC в пределах региона.

AWS Managed Microsoft AD дает возможность использовать единый каталог для всех связанных с каталогами рабочих нагрузок, которые размещены в ресурсах AWS, включая инстансы Amazon EC2, инстансы Amazon RDS for SQL Server, а также вычислительные сервисы AWS для конечных пользователей, такие как Amazon WorkSpaces. Наличие совместного доступа к каталогу позволяет рабочим нагрузкам, связанным с каталогами, без труда управлять инстансами Amazon EC2 в нескольких аккаунтах AWS и облаках Amazon VPC в пределах региона. Это также позволяет избежать сложностей, связанных с репликацией и синхронизацией данных между несколькими каталогами.

Вы можете предоставить локальным пользователям AD возможность входа в Консоль управления AWS и интерфейс командной строки AWS при помощи имеющихся данных AD для доступа и AWS Identity Center (преемник AWS SSO), выбрав AWS Managed Microsoft AD в качестве источника удостоверений. Благодаря этому пользователи могут принимать назначенные им роли при входе и работать с ресурсами в соответствии с разрешениями, назначенными этой роли. С помощью AWS Managed Microsoft AD также можно дать пользователям возможность принять роль AWS Identity and Access Management (IAM).

AWS Managed Microsoft AD автоматически создает ежедневные снимки состояния. Перед обновлением важных приложений можно создать дополнительные снимки состояния, чтобы сохранить самые актуальные данные для восстановления, если потребуется откатить изменения.