問:什麼是 AWS Directory Service?

AWS Directory Service 是受管服務產品,提供包含貴組織相關資訊的目錄,這些資訊包括使用者、群組、電腦和其他資源。AWS Directory Service 做為一個受管產品,它的設計宗旨是減少管理工作,因此能讓您將更多的時間和資源投注在業務。您不需要建立自己的複雜、高度可用的目錄拓撲,因為每個目錄都會跨多個可用區域進行部署,並監控自動偵測並取代失敗的網域控制站。不僅如此,還為您設定了資料複寫和自動每日快照。不需要安裝任何軟體,AWS 會處理所有的修補和軟體更新。

問:AWS Directory Service 可以用來做什麼?

您可以使用 AWS Directory Service 輕鬆地在 AWS 雲端中設定和執行目錄,或將 AWS 資源連接到現有的現場部署 Microsoft Active Directory。您的目錄建立完成後,就可以用它來管理使用者和群組、為應用程式和服務提供單一登入、建立和套用群組原則、將 Amazon EC2 執行個體加入網域,也可以簡化雲端 Linux 和 Microsoft Windows 工作負載的部署和管理。AWS Directory Service 能夠讓您的最終使用者使用自己現有的公司登入資料來存取 AWS 應用程式,如 Amazon WorkSpaces、Amazon WorkDocs 和 Amazon WorkMail,也可以使用登入資料來存取目錄感知的 Microsoft 工作負載,包括自訂 .NET 和以 SQL Server 為基礎的應用程式。最後,您可以使用現有的公司登入資料,透過 AWS Identity and Access Management (IAM) 角色對 AWS 管理主控台的存取權來管理 AWS 資源,如此一來就不需要建立更多聯合身分基礎設施。

問:如何建立目錄?

您可以使用 AWS 管理主控台或 API 來建立目錄。您只需要提供一些基本資訊,例如目錄的完整網域名稱 (FQDN)、管理員帳戶名稱和密碼,以及要連接目錄的 VPC。

問:是否可以將現有的 Amazon EC2 執行個體加入 AWS Directory Service 目錄?

是,您可以使用 AWS 管理主控台或 API,將執行 Linux 或 Windows 的現有 EC2 執行個體新增到 AWS Microsoft AD。

問:AWS Directory Service 是否支援 API?

公用 API 支援建立和管理目錄。您現在可以透過程式設計方式,使用公用 API 管理目錄。API 是透過 AWS CLI 和開發套件提供使用。您可以在 AWS Directory Service 文件中進一步了解 API。

問:AWS Directory Service 是否支援 CloudTrail 日誌?

是。透過 AWS Directory Service API 或管理主控台執行的動作將包含在 CloudTrail 稽核日誌中。

問:是否可在目錄狀態變更時收到通知?

是。您可以設定 Amazon Simple Notification Service (SNS) 以在 AWS Directory Service 狀態變更時接收電子郵件和文字訊息。Amazon SNS 使用主題來收集訊息,並將訊息散發給訂閱者。當 AWS Directory Service 偵測到目錄狀態變更時,就會將訊息發佈給相關主題,再將主題傳送給主題訂閱者。請參閱文件進一步了解相關資訊。

問:AWS Directory Service 服務的費用是多少?

請參閱定價頁面以了解更多資訊。

問:是否可以標記我的目錄?

是。AWS Directory Service 支援成本分配標記。標籤透過分類和分組 AWS 資源,讓您輕鬆分配成本並優化支出。例如,您可以使用標籤,依管理員、應用程式名稱、成本中心或特定專案分組資源。

問:哪些 AWS 區域提供 AWS Directory Service?

請參閱區域性產品和服務,了解 AWS Directory Service 在不同區域的可用性詳細資訊

問:如何建立 AWS Microsoft AD 目錄?

從 AWS 管理主控台啟動 AWS Directory Service 主控台即可建立 AWS Microsoft AD 目錄。您也可以使用 AWS 開發套件或 AWS CLI。

問:AWS Microsoft AD 目錄的部署方式為何?

AWS Microsoft AD 目錄預設會在一個區域中跨兩個可用區域進行部署,並連接到您的 Amazon Virtual Private Cloud (VPC)。每天自動備份一次,而且 Amazon Elastic Block Store (EBS) 磁碟區會經過加密以確保靜態資料的安全。在同一可用區域內故障的網域控制站會使用相同 IP 地址自動取代,再使用最新的備份進行完整的災難復原。

問:是否可以設定 AWS Microsoft AD 目錄的儲存、CPU 或記憶體參數?

否。目前不支援這個功能。

問:我如何管理 AWS Microsoft AD 的使用者和群組?

您可以使用在 Windows 電腦上執行且加入 AWS Microsoft AD 網域的現有 Active Directory 工具,以管理 AWS Microsoft AD 目錄中的使用者和群組。不需要特殊的工具、政策或行為變更。

問:我在 AWS Microsoft AD 和在自己的 Amazon EC2 Windows 執行個體執行 Active Directory 的管理許可有何不同?

為了提供受管服務體驗,AWS Microsoft AD 必須禁止會干擾服務管理的客戶操作。因此,AWS 不提供 Windows PowerShell 對目錄執行個體的存取權,而且會限制需要較高權限的目錄物件、角色和群組的存取。AWS Microsoft AD 不允許透過 Telnet、Secure Shell (SSH) 或 Windows 遠端桌面連線,對網域控制站進行直接主機存取。當您建立 AWS Microsoft AD 目錄時,系統會為您指派一個組織單位 (OU),以及擁有 OU 委派管理權利的管理帳戶。您可以使用例如 Active Directory 使用者和群組這類的標準遠端伺服器管理工具,在 OU 內建立使用者帳戶、群組和政策。

問:是否可以搭配使用 Microsoft 網路原則伺服器 (NPS) 和 AWS Microsoft AD?

是。在設定 AWS Microsoft AD 時為您所建立的管理帳戶,其擁有遠端存取服務 (RAS) 和網際網路身份驗證服務 (IAS) 安全群組的委派管理權利。這可讓您在 AWS Microsoft AD 註冊 NPS,並管理網域內各帳戶的網路存取政策。

問:AWS Microsoft AD 是否支援結構描述延伸模組?

是。AWS Microsoft AD 支援以 LDAP 資料交換格式 (LDIF) 檔案形式提交給服務的結構描述延伸模組。您可以擴展核心 Active Directory 結構描述,但不可加以修改。

問:哪些應用程式與 AWS Microsoft AD 相容?

以下應用程式與 AWS Microsoft AD 相容:

  • Amazon Chime
  • Amazon Connect
  • Amazon EC2
  • Amazon RDS for SQL Server
  • Amazon QuickSight
  • Amazon WorkDocs
  • Amazon WorkMail
  • Amazon WorkSpaces
  • AWS 管理主控台
  • Active Directory Federation Services (AD FS)
  • 應用程式伺服器 (.NET)
  • Azure Active Directory (AD) Connect
  • 企業憑證授權單位
  • 遠端桌面授權管理員
  • SharePoint Server
  • SQL Server  

請注意,並非這些應用程式的所有組態都支援。

問:是否可以將現有的現場部署 Microsoft Active Directory 遷移到 AWS Microsoft AD?

AWS 並未提供任何遷移工具可將自我管理的 Active Directory 遷移到 AWS Microsoft AD。您必須建立用於執行遷移的策略,包含密碼重設,再使用遠端伺服器管理工具來實作計劃。

問:是否可在 Directory Service 主控台設定條件式轉寄站和信任?

是。您可以使用 Directory Service 主控台以及 API 為 AWS Microsoft AD 設定條件式轉寄站和信任。

問:是否可以將其他網域控制站手動新增到 AWS Microsoft AD?

是。您可以使用 AWS Directory Service 主控台或 API 在受管網域新增額外的網域控制站。請注意,不支援手動將 Amazon EC2 執行個體升級到網域控制站。

問:是否可以搭配使用 Microsoft Office 365 和在 AWS Microsoft AD 中管理的使用者帳戶?

是。您可以使用 Azure AD Connect 將身分從 AWS Microsoft AD 同步到 Azure AD,然後使用 Windows 2016 的 Microsoft Active Directory Federation Services (AD FS) 搭配 AWS Microsoft AD 驗證 Office 365 使用者。如需逐步指示,請參閱 How to Enable Your Users to Access Office 365 with AWS Microsoft Active Directory Credentials。  

問:是否可以使用安全聲明標記語言 (SAML) 2.0 身份驗證搭配使用 AWS Microsoft AD 的雲端應用程式?

是。您可以使用 Windows 2016 的 Microsoft Active Directory Federation Services (AD FS) 搭配 AWS Microsoft AD 受管網域,在支援 SAML 的雲端應用程式驗證使用者。

問:是否可使用 LDAPS 加密應用程式和 AWS Microsoft AD 之間的通訊?

是。AWS Microsoft AD 在連接埠 636 支援透過 Secure Socket Layer (SSL) 的輕量型目錄存取通訊協定 (LDAP),以及在連接埠 389 支援透過 Transport Layer Security (TLS) 的 LDAP,也稱為 LDAPS。您可以從 Microsoft 憑證授權單位 (CA) 將憑證安裝到 AWS Microsoft AD 網域控制站,以啟用這兩種類型的 LDAPS 通訊。要進一步了解,請參閱 How to Enable LDAPS for Your AWS Microsoft AD Directory

問:AWS Microsoft AD 支援多少個使用者、群組、電腦和物件總數?

AWS Microsoft AD (Standard Edition) 包括 1 GB 的目錄物件儲存。這個容量可支援高達 5,000 個使用者或 30,000 個目錄物件,包括使用者、群組和電腦。AWS Microsoft AD (Enterprise Edition) 包括 17 GB 的目錄物件儲存,可支援高達 100,000 個使用者或 500,000 個物件。

問:是否可使用 AWS Microsoft AD 做為主要目錄?

是。您可以使用它做為主要目錄來管理雲端的使用者、群組、電腦和群組原則物件 (GPO)。同時為 AWS 應用程式和服務及 AWS 雲端中 Amazon EC2 執行個體上執行的第三方目錄感知應用程式管理存取和提供單一登入 (SSO)。此外,還可使用 Azure AD Connect 和 AD FS 支援雲端應用程式的 SSO,包括 Office 365。

問:是否可使用 AWS Microsoft AD 做為資源樹系?

是。您可以使用 AWS Microsoft AD 做為主要包含與現場部署目錄有信任關係的電腦和群組的資源樹系。這可讓您的使用者使用現場部署 AD 登入資料存取 AWS 應用程式和資源。

問:什麼是無縫網域加入?

無縫網域加入是一項功能,允許您在啟動時,從 AWS 管理主控台將適用於 Windows Server 的 Amazon EC2 執行個體無縫加入網域。您可以將 AWS 雲端中啟動的執行個體加入 AWS Microsoft AD。

問:如何將執行個體無縫加入網域?

當您從 AWS 管理主控台建立和啟動 EC2 for Windows 執行個體時,可以選擇執行個體要加入哪個網域。如需進一步了解,請參閱文件

問:是否可將適用於 Windows Server 的現有 EC2 執行個體無縫加入網域?

您無法針對適用於 Windows Server 的現有 EC2 執行個體使用 AWS 管理主控台的無縫網域加入功能,但可以使用 EC2 API 或執行個體上的 PowerShell 將現有的執行個體加入網域。如需進一步了解,請參閱文件

問:AWS Directory Service 如何啟用單一登入 (SSO) 到 AWS 管理主控台?

AWS Directory Service 允許您將 IAM 角色指派到 AWS 雲端的 AWS Microsoft AD 或簡易 AD 使用者和群組,以及使用 AD Connector 指派到現有的現場部署 Microsoft Active Directory 使用者和群組。這些角色會根據指派給它的 IAM 政策來控制使用者對 AWS 服務的存取。AWS Directory Service 將為 AWS 管理主控台提供客戶特定 URL,使用者可以使用該 URL 以自己現有的公司登入資料來登入。如需這個功能的詳細資訊,請參閱我們的文件

問:是否可在受合規標準規範的 AWS 雲端工作負載使用 AWS Microsoft AD?

是。AWS Microsoft AD 已實作符合美國健康保險流通與責任法案 (HIPAA) 需求的必要控制,也是支付卡產業資料安全標準 (PCI DSS) 合規聲明文件和責任摘要中的合格服務。  

問:如何存取合規和安全報告?

若要存取 AWS 雲端合規和安全的相關文件完整清單,請參閱 AWS Artifact。 

問:什麼是 AWS 共同的責任模型?

HIPAA 和 PCI DSS 合規等安全性是 AWS 和您之間共同的責任。例如,使用 AWS Microsoft AD 時,您必須負責設定 AWS Microsoft AD 密碼政策以符合 PCI DSS 需求。要進一步了解符合 HIPAA 和 PCI DSS 合規需求必須採取的動作,請參閱 AWS Microsoft AD 合規文件、閱讀 Amazon Web Services 上的 HIPAA 安全與合規架構白皮書,以及參閱 AWS 雲端合規HIPAA 合規PCI DSS 合規


關於 AD Connector 或簡易 AD 的問題,請參閱 AWS Directory Service,其他目錄選項