AWS Directory Service 功能

AWS Managed Microsoft AD 是在 AWS 受管基礎架構上執行的實際 Microsoft Active Directory (AD)。這讓您能夠使用熟悉的 Active Directory 管理中心及 Active Directory 使用者和電腦等工具管理 AWS Managed Microsoft AD 中的使用者和裝置。

因為目錄是任務關鍵型基礎架構，所以 AWS Managed Microsoft AD 部署為高可用性且跨多個可用區域。您也可以透過部署額外的網域控制站擴展 AWS Managed Microsoft AD 目錄以提升受管目錄的彈性，藉此獲得更高的可用性。

AWS Managed Microsoft AD 在 AWS 受管基礎設施上執行，而且監控功能會自動偵測並替換故障的網域控制站。不僅如此，還為您設定了資料複寫和自動每日快照。您不需要安裝軟體，AWS 會處理所有的修補和軟體更新。

多區域複寫讓您可以跨多個 AWS 區域部署和使用單個 AWS Managed Microsoft AD 目錄。這讓您可以更輕鬆、更具成本效益地在全球範圍內部署和管理 Microsoft Windows 和 Linux 工作負載。借助自動的多區域複寫功能，您可以取得更高的彈性，而應用程式可以使用本機目錄實現最佳效能。

您可以使用 AWS Managed Microsoft AD 來建置和執行符合美國健康保險流通與責任法案 (HIPAA) 或支付卡產業資料安全標準 (PCI DSS) 規範的 AD 感知雲端應用程式。當您管理自己的 HIPAA 風險管理方案或 PCI DSS 合規認證時，AWS Managed Microsoft AD 可減少為雲端應用程式部署合規 AD 基礎架構所花費的心力。

您可以使用 AD 信任關係，輕鬆地將 AWS Managed Microsoft AD 與現有 AD 整合。使用信任讓您能夠使用現有 Active Directory，來控制哪些 AD 使用者可以存取您的 AWS 資源。

透過 AWS Managed Microsoft AD，您可以使用本機 Active Directory 群組政策物件 (GPO) 管理使用者和裝置。您可以利用群組原則管理主控台 (GPMC) 這類的現有工具來建立 GPO。

AWS Managed Microsoft AD 使用相同的 Kerberos 身份驗證，來作為您的現有內部部署 AD。透過將 AWS 資源與 AWS Managed Microsoft AD 整合，您的 AD 使用者就能夠使用單一登入資料集，以 SSO 方式登入 AWS 應用程式和資源。

AWS Managed Microsoft AD 讓您能夠針對全新和現有的適用於 Windows Server 的 Amazon EC2 和適用於 Linux 執行個體的 Amazon EC2，使用無縫網域加入。如果是全新 EC2 執行個體，您可以使用 AWS 管理主控台，選擇在啟動時要加入哪個網域。透過使用 EC2Config 服務，則可針對現有 EC2 執行個體使用無縫網域加入功能。Amazon EC2 執行個體也可以從任何 AWS 帳戶和區域內的任何 Amazon VPC 加入單一共享的目錄。

AWS Managed Microsoft AD 可讓 AWS 資源中的目錄感知工作負載使用單一目錄，例如 Amazon EC2 執行個體、Amazon RDS for SQL Server 執行個體和 Amazon WorkSpaces 等 AWS 最終使用者運算服務。共享目錄可讓您的目錄感知工作負載輕鬆地跨多個 AWS 帳戶和區域中的 Amazon VPC 管理 Amazon EC2 執行個體，也有助於避免跨多個目錄複寫和同步資料的複雜性。

您可以透過選取 AWS Managed Microsoft AD 作為身份來源，授予內部部署 AD 使用者存取權，以使用 AWS Identity Center (AWS SSO 的後繼者) 的現有 AD 憑證登入 AWS 管理主控台和 AWS CLI。這讓您的使用者能夠在登入時擔任其指派的角色之一，並根據為角色定義的許可來存取資源並對其採取動作。另一種選擇是，使用 AWS Managed Microsoft AD 讓您的使用者擔任 AWS Identity and Access Management (IAM) 角色。

AWS Managed Microsoft AD 提供內建的每日自動化快照。您也可以在關鍵應用程式更新之前拍攝額外的快照，以確保需要復原變更時有最新的資料。