AWS Directory Service 功能
AWS Directory Service 為組織提供無縫的路徑,以便將與 Active Directory 相關的工作負載遷移至雲端。透過提供全受管原生 Windows Server Active Directory,該服務讓 IT 團隊能夠利用現有的 AD 技能和應用程式,同時受益於增強的安全性、可靠性與可擴展性。企業可輕鬆地將內部部署 AD 與 Amazon RDS、FSx 和 EC2 等雲端託管服務整合,從而實現跨環境一致的 AD 管理體驗。該服務具有強大的安全功能,包括端對端加密,符合業界標準,以及保護敏感資料。AWS Directory Service 透過多區域部署和自主管理,確保您的關鍵目錄服務即使面臨中斷,仍可保持高度可用性。無論您是 IT 決策者、架構師,還是資訊長,AWS Directory Service 都能精簡您的雲端轉型之旅,讓您透過安全、可擴展的身分管理,讓您實現 AD 基礎設施現代化,並為員工賦能。
可用性、可擴展性和恢復能力
多可用區域
由於目錄是任務關鍵型基礎設施,因此 AWS Managed Microsoft AD 部署為高可用性 AWS 基礎設施且跨多個可用區域。網域控制站預設會在一個區域中跨兩個可用區域進行部署,並連接到您的 Amazon Virtual Private Cloud (VPC)。系統會每天自動備份一次,而且 Amazon Elastic Block Store (EBS) 磁碟區會經過加密以確保靜態資料的安全。在使用相同 IP 地址的同一可用區域內的網域控制站故障時,會被自動更換掉,並使用最新的備份進行災難復原。
使用其他網域控制站橫向擴展
當您首次建立目錄時,AWS Managed Microsoft AD 會跨多個可用區域部署兩個網域控制站,這是高可用性用途所必需的。稍後,您可以指定想要的網域控制站總數,透過 AWS Directory Service 主控台來部署其他網域控制站。AWS Managed Microsoft AD 會將其他網域控制站散佈到執行目錄所在的可用區域和 VPC 子網路。
Managed AD 基礎設施
AWS Managed Microsoft AD 在採用 Windows Server 2019 技術的 AWS 受管基礎設施上執行。當您選取並啟動此目錄類型時,會做為連線至虛擬私人雲端 (VPC) 的高可用性網域控制站配對來建立。網域控制站會在您所選區域的不同可用區域中執行。根據 AWS Directory Service 的服務水準協議 (SLA),為您設定和管理主機監控與復原、資料複寫、快照和軟體更新。
每日快照
AWS Managed Microsoft AD 提供內建的每日自動化快照。您也可以在關鍵應用程式更新之前拍攝額外的快照,以確保需要復原變更時有最新的資料。
全球工作負載管理
多區域複寫
多區域複寫讓您可以跨多個 AWS 區域部署和使用單個 AWS Managed Microsoft AD 目錄。這讓您可以更簡單、更具成本效益地在全球範圍內部署和管理 Microsoft Windows 和 Linux 工作負載。借助自動的多區域複寫功能,您可以取得更高的彈性,而應用程式可以使用本機目錄實現更佳效能。
與多個 AWS 帳戶共用目錄
AWS Managed Microsoft AD 與 AWS Organizations 緊密整合,可在多個 AWS 帳戶之間進行無縫的目錄共用。您可以與同一組織內的其他受信任 AWS 帳戶共用單一目錄,或與組織外部的其他 AWS 帳戶共用該目錄。當您的 AWS 帳戶目前不是組織成員時,您也可以共用該目錄。
原生 Windows 2019 AD 功能
無縫網域加入
AWS Managed Microsoft AD 讓您能夠針對全新和現有的適用於 Windows Server 的 Amazon EC2 和適用於 Linux 執行個體的 Amazon EC2,使用無縫網域加入。如果是全新 EC2 執行個體,您可以使用 AWS 管理主控台,選擇在啟動時要加入哪個網域。透過使用 EC2Config 服務,則可針對現有 EC2 執行個體使用無縫網域加入功能。Amazon EC2 執行個體也可以從任何 AWS 帳戶和區域內的任何 Amazon VPC 加入單一共享的目錄。
以群組為基礎的原則
透過 AWS Managed Microsoft AD,您可以使用本機 Active Directory 群組政策物件 (GPO) 管理使用者和裝置。您可以利用群組原則管理主控台 (GPMC) 這類的現有工具來建立 GPO。
結構描述延伸
您可以新增物件類別和屬性,藉此來延伸 AWS Managed Microsoft AD 結構描述。您還可以使用結構描述延伸,來支援依賴於特定 Active Directory 物件類別和屬性的應用程式。如果您需要將依賴於 AWS Managed Microsoft AD 的公司應用程式遷移至 AWS 雲端,這會特別有用。(來源)
群組受管服務帳戶
管理員可以使用稱為群組受管服務帳戶 (gMSAs) 的方法來管理服務帳戶。使用 gMSA,服務管理員不再需要手動管理服務執行個體之間的密碼同步化。取而代之的是,管理員只需在 Active Directory 中建立一個 gMSA,然後設定多個服務執行個體以使用該單一 gMSA。若要授予許可,讓 AWS Managed Microsoft AD 中的使用者可以建立 gMSA,您必須將其帳戶新增為 AWS 委派受管服務帳戶管理員安全群組的成員。管理員帳戶預設會是此群組的成員。
信任支援
您可以使用 AD 信任關係,將 AWS Managed Microsoft AD 與現有 AD 整合。使用信任讓您能夠使用現有 Active Directory,來控制哪些 AD 使用者可以存取您的 AWS 資源。
Single Sign-On
AWS Managed Microsoft AD 使用相同的 Kerberos 身份驗證,來作為您的現有內部部署 AD。透過將 AWS 資源與 AWS Managed Microsoft AD 整合,您的 AD 使用者就能夠使用單一憑證集,以 SSO 方式登入 AWS 應用程式和資源。
安全與合規
目錄安全設定
您可以為 AWS Managed Microsoft AD 設定精細的目錄設定,以滿足您的合規與安全要求,而不會增加營運工作負載。在目錄設定中,您可以為目錄中使用的通訊協定和密碼更新安全通道組態。例如,您可以靈活地停用個別舊式密碼 (例如 RC4 或 DES),以及 SSL 2.0/3.0 和 TLS 1.0/1.1 等通訊協定。然後,AWS Managed Microsoft AD 會將組態部署到目錄中的所有網域控制站、管理網域控制站重新啟動,以及在橫向擴展或部署其他 AWS 區域時維護此組態。如需所有可用的設定,請參閱目錄安全性設定清單。
伺服器端 LDAP
伺服器端 LDAPS 可對您的商業或本土開發的 LDAP 感知應用程式 (充當 LDAP 用戶端),與 AWS Managed Microsoft AD (充當 LDAP 伺服器) 之間的 LDAP 通訊進行加密。如需詳細資訊,請參閱使用 AWS Managed Microsoft AD 啟用伺服器端 LDAPS。
用戶端 LDAPS
用戶端 LDAPS 可對 AWS 應用程式之間的 LDAP 通訊進行加密,例如 WorkSpaces (充當 LDAP 用戶端) 與您的自我管理 Active Directory (充當 LDAP 伺服器)。如需詳細資訊,請參閱使用 AWS Managed Microsoft AD 啟用用戶端 LDAPS。
適用於 Active Directory (AD) 的 AWS Private CA 連接器
AWS Managed Microsoft AD 和 AD 連接器與 AWS 私有憑證認證機構 (AWS Private CA) 連接器整合,可讓您使用 AWS Private CA 簽發的憑證來註冊 AD 網域聯結物件,包括使用者、群組和機器。 您可以使用 AWS Private CA 做為自我管理企業 CA 的即用替代方案,無需部署、修補或更新本機代理程式或代理伺服器。只需按幾下滑鼠,或透過 API 以程式設計方式,即可設定 AWS Private CA 與目錄的整合。
監控、記錄與可觀測性
目錄狀態監控
使用 Amazon Simple Notification Service (Amazon SNS),您可以在目錄狀態變更時收到電子郵件或簡訊 (SMS)。如果您的目錄從「使用中」狀態變為「受損」或「無法操作」狀態,您會收到通知。當目錄返回到「作用中」狀態時,您也會收到通知。
網域控制站指標
AWS Directory Service 與 Amazon CloudWatch 整合,可協助您為目錄中的每個網域控制站提供重要的效能指標。這意味著您可以監控網域控制站效能計數器,例如 CPU 和記憶體使用率。您還可以設定警示並啟用自動化動作,以在高使用率期間做出回應。
監控 Amazon CloudWatch 等服務中的日誌
使用 AWS Directory Service 主控台或 API,將網域控制站安全事件日誌轉傳至 Amazon CloudWatch Logs。這可讓目錄中的安全事件公開透明,協助滿足安全監控、稽核和日誌保留政策需求。您還可以將安全事件日誌從目錄轉傳至您選擇的 Amazon Web Services (AWS) 帳戶中的 Amazon CloudWatch Logs,並使用 AWS 服務或第三方應用程式來集中監控事件,例如具有 AWS 安全能力的 AWS 合作夥伴網路 (APN) 進階技術合作夥伴的 Splunk。
AWS 應用程式整合
AWS 帳戶和應用程式的聯合存取
您可以透過選取 AWS Managed Microsoft AD 作為身份來源,授予內部部署 AD 使用者存取權,以使用 AWS Identity Center (AWS SSO 的後繼者) 的現有 AD 憑證登入 AWS 管理主控台和 AWS CLI。這讓您的使用者能夠在登入時擔任其指派的角色之一,並根據為角色定義的許可來存取資源並對其採取動作。另一種選擇是,使用 AWS Managed Microsoft AD 讓您的使用者擔任 AWS Identity and Access Management (IAM) 角色。
與 AWS 應用程式的無縫目錄整合
AWS Managed Microsoft AD 可讓 AWS 資源中的目錄感知工作負載使用單一目錄,例如 Amazon EC2 執行個體、Amazon RDS for SQL Server 執行個體和 Amazon WorkSpaces 等 AWS 最終使用者運算服務。透過共用目錄,您的目錄感知工作負載可跨多個 AWS 帳戶和區域中的 Amazon VPC 來管理 Amazon EC2 執行個體,也有助於避免跨多個目錄複寫和同步資料的複雜性。