參考部署

CMMC-Ready Microsoft Active Directory on AWS

準備符合 CMMC 標準的 Active Directory 環境

檢視部署指南

本 Quick Start 適用於需要部署 Microsoft Active Directory 環境的使用者,並且該環境已準備好符合網路安全成熟度模型認證 (CMMC) 標準。美國國防部承包商通常需要 CMMC 認證。

Quick Start 架構專為執行工作負載的組織設計,這些組織需要以更安全、低延遲的方式連線至 Active Directory 網域服務、網域名稱系統和 Certificate Authority 服務,同時保持 CMMC 合規。 

Quick Start 範本使用多種服務和資源,包括 AWS Key Management Service (AWS KMS)、Amazon API Gateway、客戶控制的檔案下載來源,以及國防資訊系統機構安全技術實作指南的實作。

部署此快速入門不保證組織遵循任何法律、認證、政策或其他法規。

AWS 標誌

此快速入門由 AWS 開發。

  •  您將建置的項目

  • 快速入門會設定以下內容:

    • 跨兩個可用區域的高可用性架構。*
    • 根據 AWS 最佳實務,設定包含公有和私有子網路的 VPC,能在 AWS 上為您提供自己的虛擬網路。*
    • 在公有子網路中:
      • 部署受管網路位址轉譯 (NAT) 閘道,允許對私有子網路中的資源進行對外網際網路存取。*
      • Auto Scaling 群組中的遠端桌面閘道 (RD Gateway) 允許透過對內遠端桌面協定 (RDP) 來存取公有和私有子網路中的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。僅當可用區域 1 變得不可用時,才會在可用區域 2 中部署 RD 閘道。*
    • 在私有子網路中:
      • 離線根憑證授權單位。
      • 兩個 Active Directory 網域控制器。
      • 線上從屬憑證授權單位。
    • Amazon Simple Storage Service (Amazon S3) 聯邦資訊處理標準 (FIPS) 端點,可用於存取群組政策物件 (GPO)、日誌、憑證撤銷清單和設定檔案。
    • 用於檢查和匯入新 GPO 的 Lambda 函數。
    • AWS Systems Manager Automation,可用於匯入 GPO,並設定 Active Directory 網域控制器和憑證授權單位。
    • AWS Secrets Manager,可用於存放登入資料。
    • AWS KMS 客戶主要金鑰,可與 Amazon Elastic Block Store (Amazon EBS) 和 AWS Secrets Manager 加密功能配合使用。
    • 加密 Amazon EBS 磁碟區,適用於 Amazon EC2 執行個體。

    * 用來將 Quick Start 部署至現有 VPC 的範本,會略過標有星號的元件,並提示您輸入現有的 VPC 組態。 

  •  部署方式

  • 若要部署 CMMC-Ready Microsoft Active Directory,請按照部署指南中的指示進行操作。標準部署大約需要 1 小時,包括以下步驟:

    1. 如果您還沒有 AWS 帳戶,請在 https://aws.amazon.com 註冊並登入您的帳戶。
    2. 將 Quick Start 部署至新的或現有的 VPC。在建立堆疊之前,從頂部工具列中選擇 Region (區域)。 
    3. 執行部署後任務。 

    Amazon 可能會與 AWS 合作夥伴 (與 AWS 在此解決方案上協作的合作夥伴) 分享使用者部署資訊。  

    檢視部署指南以了解詳細資訊
  •  成本和授權

  • 本 Quick Start 會啟動 Microsfot Windows Server 2019 的 Amazon Machine Image (AMI),並包含 Windows Server 作業系統的授權。AMI 會定期更新為作業系統最新的 Service Pack,因此您不必安裝任何更新。Windows Server AMI 包括兩個 Microsoft 遠端桌面服務授權。Windows Server AMI 不需要用戶端存取授權。欲了解詳情,請參閱 AWS 上的 Microsoft 授權

    執行此 Quick Start 參考部署時,您須自行支付使用 AWS 服務和任何第三方授權的相關費用。使用 Quick Start 無須另外付費。

    此快速入門的 AWS CloudFormation 範本包含可以自訂的組態參數。其中某些設定 (例如執行個體類型) 會影響到部署的費用。若要估算成本,請查看您所使用每項 AWS 服務的定價頁面。價格可能隨時變更。

    提示:部署 Quick Start 之後,建立 AWS Cost and Usage Report,來追蹤與 Quick Start 關聯的成本。這些報告會向您帳戶中的 Amazon Simple Storage Service (Amazon S3) 儲存貯體提供各個帳單指標。它們會根據每個月的用量提供成本估算,並在月底彙總正式的資料。如需詳細資訊,請參閱 什麼是 AWS Cost and Usage Report?