AWS Directory Service 功能
概觀
AWS Directory Service 為組織提供無縫的路徑,以便將與 Active Directory 相關的工作負載遷移至雲端。透過提供全受管原生 Windows Server Active Directory,該服務讓 IT 團隊能夠利用現有的 AD 技能和應用程式,同時受益於增強的安全性、可靠性與可擴展性。企業可以輕鬆地將其 AD 環境與 Amazon RDS、FSx 和 EC2 等雲端託管服務整合,從而實現跨環境一致的 AD 管理體驗。
該服務具有強大的安全功能,包括端對端加密,符合業界標準,以及保護敏感資料。此外,憑藉多區域部署和自主管理,AWS Directory Service 確保您的關鍵目錄服務仍然具有高度可用性,即使面臨中斷。無論您是 IT 決策者、架構師,還是資訊長,AWS Directory Service 都能精簡您的雲端轉型之旅,讓您透過安全、可擴展的身分管理,讓您實現 AD 基礎設施現代化,並為員工賦能。
可用性、可擴展性和恢復能力
全部開啟
由於目錄是任務關鍵型基礎設施,因此 AWS Managed Microsoft AD 部署為高可用性 AWS 基礎設施且跨多個可用區域。網域控制器預設會在一個區域中的兩個可用區域部署,並且連線到您的 Amazon 虛擬私有雲 (VPC)。系統會每天自動備份一次,而且 Amazon Elastic Block Store (EBS) 磁碟區會經過加密以確保靜態資料的安全。在使用相同 IP 地址的同一可用區域內的網域控制站故障時,會被自動更換掉,並使用最新的備份進行災難復原。
當您首次建立目錄時,AWS Managed Microsoft AD 會跨多個可用區域部署兩個網域控制站,這是高可用性用途所必需的。稍後,您可以透過 AWS 目錄服務主控台來指定所需的網域控制站總數來部署其他網域控制站。AWS Managed Microsoft AD 會將其他網域控制站散佈到執行目錄所在的可用區域和 VPC 子網路。
AWS 管理的微軟 AD 在由 Windows 伺服器 2019 支援的 AWS 受管基礎架構上執行。當您選取並啟動此目錄類型時,會做為連線至虛擬私人雲端 (VPC) 的高可用性網域控制站配對來建立。網域控制站會在您所選區域的不同可用區域中執行。根據 AWS 目錄服務的服務層級協議 (SLA) 為您設定和管理主機監控和復原、資料複製、快照和軟體更新。
AWS Managed Microsoft AD 提供內建的每日自動化快照。您也可以在重要應用程式更新之前拍攝額外快照,以確保您擁有最新的資料,以防需要復原變更。
全球工作負載管理
全部開啟
多區域複寫可讓您在多個 AWS 區域部署和使用單一 AWS 受管理的 Microsoft AD 目錄。這讓您可以更簡單、更具成本效益地在全球範圍內部署和管理 Microsoft Windows 和 Linux 工作負載。借助自動的多區域複寫功能,您可以取得更高的彈性,而應用程式可以使用本機目錄實現更佳效能。
AWS 管理的 Microsoft AD 與 AWS 組織緊密整合,允許跨多個 AWS 帳戶無縫共用目錄。您可以與同一組織內的其他受信任 AWS 帳戶共用單一目錄,或與組織外部的其他 AWS 帳戶共用該目錄。當您的 AWS 帳戶目前不是組織成員時,您也可以共用該目錄。
原生 Windows 2019 AD 功能
全部開啟
AWS 管理的 Microsoft AD 可讓您針對全新和現有的 Windows 伺服器的 Amazon EC2,以及適用於 Linux 執行個體的亞馬遜 EC2,使用無縫網域加入。如果是全新 EC2 執行個體,您可以使用 AWS 管理主控台,選擇在啟動時要加入哪個網域。透過使用 EC2Config 服務,則可針對現有 EC2 執行個體使用無縫網域加入功能。Amazon EC2 執行個體也可以從任何 AWS 帳戶和區域內的任何 Amazon VPC 加入單一共享的目錄。
AWS 管理的 Microsoft AD 可讓您使用原生的微軟主動目錄群組原則物件 (GPO) 管理使用者和裝置。您可以利用群組原則管理主控台 (GPMC) 這類的現有工具來建立 GPO。
您可以新增物件類別和屬性,藉此來延伸 AWS Managed Microsoft AD 結構描述。您也可以使用綱要擴充功能來啟用依賴特定 Active Directory 物件類別和屬性的應用程式的支援。如果您需要將依賴於 AWS Managed Microsoft AD 的公司應用程式遷移至 AWS 雲端,這會特別有用。(來源)
管理員可以使用稱為群組受管理服務帳戶 (GMSA) 的方法來管理服務帳戶。使用 gMSA,服務管理員不再需要手動管理服務執行個體之間的密碼同步化。取而代之的是,管理員只需在 Active Directory 中建立一個 gMSA,然後設定多個服務執行個體以使用該單一 gMSA。若要授予許可,讓 AWS Managed Microsoft AD 中的使用者可以建立 gMSA,您必須將其帳戶新增為 AWS 委派受管服務帳戶管理員安全群組的成員。管理員帳戶預設會是此群組的成員。
您可以使用 AD 信任關係,將 AWS Managed Microsoft AD 與現有 AD 整合。使用信任可讓您使用現有的 Active Directory 來控制哪些 AD 使用者可以存取 AWS 資源。
AWS Managed Microsoft AD 使用相同的 Kerberos 身份驗證,來作為您的現有內部部署 AD。透過將您的 AWS 資源與 AWS 管理的 Microsoft AD 整合,您的 AD 使用者可以使用單一憑證集以 SSO 登入 AWS 應用程式和資源。
安全與合規
全部開啟
您可以為 AWS Managed Microsoft AD 設定精細的目錄設定,以滿足您的合規與安全要求,而不會增加營運工作負載。在目錄設定中,您可以為目錄中使用的通訊協定和密碼更新安全通道組態。例如,您可以靈活地停用個別舊式密碼 (例如 RC4 或 DES),以及 SSL 2.0/3.0 和 TLS 1.0/1.1 等通訊協定。然後,AWS Managed Microsoft AD 會將組態部署到目錄中的所有網域控制站、管理網域控制站重新啟動,以及在橫向擴展或部署其他 AWS 區域時維護此組態。如需所有可用的設定,請參閱目錄安全性設定清單。
伺服器端 LDAPS 可對您的商業或本土開發的 LDAP 感知應用程式 (充當 LDAP 用戶端),與 AWS Managed Microsoft AD (充當 LDAP 伺服器) 之間的 LDAP 通訊進行加密。如需詳細資訊,請參閱使用 AWS 受管的 Microsoft AD 啟用伺服器端 LDAPS。
用戶端 LDAPS 可對 AWS 應用程式之間的 LDAP 通訊進行加密,例如 WorkSpaces (充當 LDAP 用戶端) 與您的自我管理 Active Directory (充當 LDAP 伺服器)。如需詳細資訊,請參閱使用 AWS 受管的 Microsoft AD 啟用用戶端 LDAPS 。
AWS 管理的 Microsoft AD 和 AD 連接器與 AWS 專用憑證授權單位 (AWS 私有 CA) AD 連接器整合可讓您使用 AWS 私有 CA 發行的憑證註冊 AD 網域加入的物件 (包括使用者、群組和機器)。 您可以使用 AWS Private CA 做為自我管理企業 CA 的即用替代方案,無需部署、修補或更新本機代理程式或代理伺服器。只需按幾下滑鼠,或透過 API 以程式設計方式,即可設定 AWS Private CA 與目錄的整合。
監控、記錄與可觀測性
全部開啟
使用 Amazon 簡單通知服務 (Amazon SNS),當目錄狀態發生變更時,您可以接收電子郵件或短信 (SMS) 訊息。如果您的目錄從「作用中」狀態轉為「受損」 或「無法操作」狀態,則會收到通知。當目錄返回到「作用中」狀態時,您也會收到通知。
AWS 目錄服務與 Amazon CloudWatch 整合,協助您為目錄中每個網域控制站提供重要的效能指標。這意味著您可以監控網域控制站效能計數器,例如 CPU 和記憶體使用率。您還可以設定警示並啟用自動化動作,以在高使用率期間做出回應。
使用 AWS 目錄服務主控台或 API,將網域控制器安全事件記錄轉寄到 Amazon CloudWatch 記錄檔。這可讓目錄中的安全事件公開透明,協助滿足安全監控、稽核和日誌保留政策需求。您也可以將安全事件記錄從目錄轉寄至您選擇的 Amazon Web 服務 (AWS) 帳戶中的 Amazon CloudWatch 記錄檔,並使用 AWS 服務或第三方應用程式集中監控事件,例如擁有 AWS 安全能力的 AWS 合作夥伴網路 (APN) 進階技術合作夥伴 Splunk 。
AD 依賴工作負載移轉和 AWS 應用程式整合
全部開啟AWS 管理的 Microsoft AD (混合版) 可讓您將現有的 AD 網域擴展到 AWS,從而在您的 AD 環境中建立統一目錄體驗。此解決方案可在內部部署和雲端資源之間順暢整合,確保整個基礎架構的一致身分管理。
對於尋求專用雲端目錄服務的組織,我們的標準版和企業版本會在 AWS 中建立新的 AD 網域,能夠與您現有 AD 基礎架構建立安全的信任關係。這為您提供了彈性來維護單獨的目錄服務,同時確保環境之間的無縫互動。AD 連接器提供代理服務,可將 AWS 服務連接到您現有的 AD,而無需將目錄資料儲存在雲端中。這是一個輕巧、具成本效益的解決方案,可協助您在利用 AWS 服務的同時利用現有 AD 投資。
您可以透過選取 AWS Managed Microsoft AD 作為身份來源,授予內部部署 AD 使用者存取權,以使用 AWS Identity Center (AWS SSO 的後繼者) 的現有 AD 憑證登入 AWS 管理主控台和 AWS CLI。這讓您的使用者能夠在登入時擔任其指派的角色之一,並根據為角色定義的許可來存取資源並對其採取動作。另一個選項是使用 AWS 管理的 Microsoft AD 讓您的使用者擔任 AWS 身分與存取管理 (IAM) 角色。
AWS 管理的 Microsoft AD 可讓您在 AWS 資源中使用單一目錄來處理目錄感知工作負載,例如 Amazon EC2 執行個體、用於 SQL Server 執行個體的 Amazon RDS 以及 AWS 終端使用者運算服務 (例如 Amazon WorkSpaces)。透過共用目錄,您的目錄感知工作負載可跨多個 AWS 帳戶和區域中的 Amazon VPC 來管理 Amazon EC2 執行個體,也有助於避免跨多個目錄複寫和同步資料的複雜性。