FAQ sur AWS Directory Service

Questions d'ordre général

AWS Directory Service est une offre de service gérée qui fournit des répertoires contenant des informations sur votre organisation, notamment les utilisateurs, les groupes, les ordinateurs et d'autres ressources. En tant qu'offre gérée, la solution AWS Directory Service est destinée à réduire les tâches de gestion, pour vous permettre de consacrer plus de temps et d'allouer plus de ressources à votre entreprise. Il n'est pas nécessaire de concevoir votre propre topologie de répertoire complexe et hautement disponible, car chaque répertoire est déployé dans plusieurs zones de disponibilité (AZ) et le système de surveillance détecte et remplace automatiquement les contrôleurs de domaine défaillants. De plus, la réplication des données et les instantanés (snapshots) automatiques quotidiens sont configurés pour vous. Il n'y a aucun logiciel à installer. AWS se charge de tous les patchs et des mises à jour logicielles.

AWS Directory Service vous permet de configurer et d'exécuter facilement des répertoires dans le cloud AWS ou de connecter vos ressources AWS à partir d'un répertoire Microsoft Active Directory existant sur site. Une fois votre répertoire créé, vous pouvez l'utiliser pour gérer des utilisateurs et des groupes, assurer une authentification unique vers des applications et des services, créer et appliquer une stratégie de groupe, procéder à la liaison de domaines d'instances Amazon EC2, et simplifier le déploiement et la gestion de charges de travail Linux et Microsoft Windows basées sur le cloud. AWS Directory Service permet à vos utilisateurs finaux d'utiliser leurs informations d'identification existantes lorsqu'ils accèdent aux applications AWS, telles qu'Amazon WorkSpaces, Amazon WorkDocs et Amazon WorkMail, ainsi qu'aux charges de travail Microsoft prenant en charge les répertoires, notamment les applications .NET et SQL Server personnalisées. Enfin, vous pouvez utiliser vos informations d'identification d'entreprise pour administrer les ressources AWS via la fonction AWS Identity and Access Management (IAM) basée sur les rôles de gestion des accès à AWS Management Console, pour ne pas avoir à concevoir d'autres infrastructures de fédération des identités.

Vous pouvez utiliser AWS Management Console ou l'API pour créer un répertoire. Il vous suffit d'indiquer des informations élémentaires telles qu'un nom de domaine entièrement qualifié (FQDN) pour votre répertoire, un nom de compte administrateur et un mot de passe, ainsi que le VPC auquel vous souhaitez associer le répertoire.

Oui, vous pouvez utiliser AWS Management Console ou l'API pour ajouter des instances EC2 exécutant Linux ou Windows à un répertoire AWS Managed Microsoft AD.

Les API publiques sont prises en charge pour créer et gérer les répertoires. Vous pouvez dès à présent gérer les annuaires par programmation à l'aide d'API publiques. Les API sont disponibles via l'interface de ligne de commande et le kit SDK AWS. Apprenez-en davantage sur les API dans la documentation relative à AWS Directory Service.

Oui. Les actions effectuées via les API AWS Directory Service ou la console de gestion seront intégrées à vos journaux d'audit CloudTrail.

Oui. Vous pouvez configurer Amazon Simple Notification Service (SNS) de façon à recevoir des e-mails et des SMS en cas de modification du statut de votre AWS Directory Service. Amazon SNS utilise les rubriques pour collecter et distribuer les messages aux abonnés. Quand AWS Directory Service détecte un changement au niveau du statut de votre annuaire, un message est publié dans la rubrique correspondante, et ce message est alors envoyé aux abonnés de cette rubrique. Consultez la documentation pour en savoir plus.

Pour plus d'informations, consultez la page de tarification.

Oui. AWS Directory Service prend en charge le balisage de répartition des coûts. Les balises vous permettent de répartir facilement les coûts et d'optimiser vos dépenses en classant par catégories et en regroupant les ressources AWS. Par exemple, vous pouvez utiliser des balises pour regrouper les ressources par administrateur, nom d'application, centre de coûts ou projet.

Pour plus d'informations sur la disponibilité d'AWS Directory Service par région, reportez-vous à la section relative aux produits et services régionaux.

Depuis le 31/05/2020, les ordinateurs clients peuvent utiliser uniquement la version 2.0 de SMB (SMBv2) ou une version plus récente pour accéder aux fichiers stockés sur les partages SYSVOL et NETLOGON des contrôleurs de domaine de leurs annuaires AD Microsoft gérés par AWS. Toutefois, AWS recommande aux clients d'utiliser uniquement SMBv2 ou plus récent pour tous les services de fichiers basés sur SMB.

AWS Managed Microsoft AD

Vous pouvez lancer la console AWS Directory Service à partir d'AWS Management Console pour créer un répertoire AWS Managed Microsoft AD. Vous pouvez également utiliser le kit SDK AWS ou l'interface de ligne de commande AWS.

Les répertoires AWS Managed Microsoft AD sont déployés dans deux zones de disponibilité dans une région par défaut et connectés à votre Amazon Virtual Private Cloud (VPC). Les sauvegardes sont automatiquement effectuées une fois par jour et les volumes Amazon Elastic Block Store (EBS) sont cryptés pour s'assurer que les données sont sécurisées au repos. Les contrôleurs de domaine défaillants sont automatiquement remplacés dans la même zone de disponibilité utilisant la même adresse IP et une reprise après sinistre complète peut être exécutée à l'aide de la dernière sauvegarde.

Non. Cette fonctionnalité n'est pas prise en charge à l'heure actuelle.

Vous pouvez utiliser vos outils Active Directory existants (exécutés sur des ordinateurs Windows liés au domaine AWS Managed Microsoft AD) pour gérer les utilisateurs et les groupes dans les répertoires AWS Managed Microsoft AD. Aucun outil, aucune politique ni aucune modification de politique spécifiques ne sont nécessaires.

Pour offrir une expérience de service géré, AWS Managed Microsoft AD doit interdire les opérations client qui interfèrent avec la gestion du service. Par conséquent, AWS restreint l'accès aux objets, rôles et groupes du répertoire qui nécessitent des privilèges élevés. AWS Managed Microsoft AD n'autorise pas l'accès hôte direct aux contrôleurs de domaine via Windows Remote Desktop Connection, PowerShell Remoting, Telnet ou Secure Shell (SSH). Lorsque vous créez un répertoire AWS Managed Microsoft AD, une unité d'organisation (UO) et un compte administratif disposant de droits d'administration délégués pour l'UO vous sont attribués. Vous pouvez créer des comptes d'utilisateur, des groupes et des politiques au sein de l'UO à l'aide des outils d'administration de serveur distant standard tels que les utilisateurs et les groupes Active Directory ou le module PowerShell ActiveDirectory.

Oui. Le compte administratif créé pour vous lors de la configuration d'AWS Managed Microsoft AD dispose de droits de gestion délégués sur le groupe de sécurité des serveurs RAS (Remote Access Service) et IAS (Internet Authentication Service). Cela vous permet d'enregistrer NPS dans AWS Managed Microsoft AD et de gérer les politiques d'accès réseau pour les comptes de votre domaine.

Oui. AWS Managed Microsoft AD prend en charge les extensions de schéma que vous soumettez au service sous la forme d'un fichier LDAP Data Interchange Format (LDIF). Vous pouvez étendre, mais ne pouvez pas modifier le schéma Active Directory central.

Amazon Chime

Amazon Connect

Instances Amazon EC2

Amazon FSx for Windows File Server

Amazon QuickSight

Amazon RDS pour MySQL

Amazon RDS pour Oracle

Amazon RDS pour PostgreSQL

Amazon RDS pour SQL Server

Amazon Single Sign On

Amazon WorkDocs

Amazon WorkMail

Amazon WorkSpaces

AWS Client VPN

AWS Management Console

Notez que toutes les configurations de ces applications peuvent ne pas être prises en charge.

AWS Managed Microsoft AD repose sur Active Directory et fournit la plus large éventail 'outils AD natifs et le support d'applications tierces telles que :

Active Directory-Based Activation (ADBA)

Active Directory Certificate Services (AD CS) : Enterprise Certificate Authority

Active Directory Federation Services (AD FS)

Active Directory Users and Computers (ADUC)

Serveur d'application (.NET)

Azure Active Directory (Azure AD)

Azure Active Directory (AD) Connect

Distributed File System Replication (DFSR)

Distributed File System Namespaces (DFSN)

Microsoft Remote Desktop Services Licensing Server

Microsoft SharePoint Server

Microsoft SQL Server (y compris SQL Server Always On Availability Groups)

Microsoft System Center Configuration Manager (SCCM)

Microsoft Windows and Windows Server OS

Office 365

Active Directory Certificate Services (AD CS) : Certificate Enrollment Web Service

Active Directory Certificate Services (AD CS) : Certificate Enrollment Policy Web Service

Microsoft Exchange Server

Microsoft Skype for Business Server

AWS ne fournit aucun outil de migration pour migrer un répertoire Active Directory autogéré vers AWS Managed Microsoft AD. Vous devez établir une stratégie pour effectuer une migration, notamment des réinitialisations de mots de passe, et mettre en place les plans en utilisant les outils d'administration de serveur distant.

Oui. Vous pouvez configurer des redirecteurs et des approbations conditionnels pour AWS Managed Microsoft AD en vous servant de la console Directory Service, ainsi que de l'API

Oui. Vous pouvez ajouter d'autres contrôleurs de domaine à votre domaine géré à l'aide de la console AWS Directory Service ou d'une API. Notez que la promotion manuelle d'instances Amazon EC2 vers des contrôleurs de domaine n'est pas prise en charge. 

Oui. Vous pouvez synchroniser des identités depuis AWS Managed Microsoft AD vers Azure AD à l'aide d'Azure AD Connect et utiliser Microsoft Active Directory Federation Services (AD FS) pour Windows 2016 avec AWS Managed Microsoft AD pour authentifier les utilisateurs Office 365. Pour avoir des instructions détaillées, consultez la section Comment permettre à vos utilisateurs d'accéder à Office 365 avec les informations d'identification Active Directory Microsoft d'AWS.  

Oui. Vous pouvez utiliser Microsoft Active Directory Federation Services (AD FS) pour Windows 2016 avec votre domaine géré AWS Managed Microsoft AD pour authentifier des utilisateurs dans des applications cloud prenant en charge SAML. 

Oui. AWS Managed Microsoft AD prend en charge Lightweight Directory Access Protocol (LDAP) sur Secure Socket Layer (SSL) / Transport Layer Security (TLS), aussi connu comme étant LDAPS, dans des rôles client et serveur. Dans le rôle de serveur, AWS Managed Microsoft AD prend en charge LDAPS sur les ports 636 (SSL) et 389 (TLS). Vous activez la communication LDAPS côté serveur en installant un certificat sur vos contrôleurs de domaine AWS Managed Microsoft AD à partir d'une autorité de certification (CA) Active Directory Certificate Services basée sur AWS. Pour en savoir plus, consultez Activer LDAP sécurisé (LDAPS)

Oui. AWS Managed Microsoft AD prend en charge Lightweight Directory Access Protocol (LDAP) sur Secure Socket Layer (SSL) / Transport Layer Security (TLS), aussi connu comme étant LDAPS, dans des rôles client et serveur. Dans le rôle de client, AWS Managed Microsoft AD prend en charge LDAPS sur les ports 636 (SSL). Vous activez la communication LDAPS côté client en enregistrant les certificats de l'autorité de certification (CA) de votre émetteur de certificats de serveur dans AWS. Pour en savoir plus, consultez Activer LDAP sécurisé (LDAPS)

AWS Managed Microsoft AD prend en charge la signature LDAP et LDAP sur SSL/TLS (LDAPS) lorsqu'ils agissent en tant que clients LDAP communiquant avec Active Directory autogéré. La signature LDAP côté client ne nécessite aucune action du client pour l'activer et assure l'intégrité des données. LDAPS côté client nécessite une configuration et assure l'intégrité et la confidentialité des données. Pour plus d'informations, consultez cet article AWS Forums

AWS Managed Microsoft AD (édition Standard) inclut 1 Go de stockage d'objets de répertoire. Cette capacité peut prendre en charge jusqu'à 5 000 utilisateurs ou 30 000 objets de répertoire, dont des utilisateurs, des groupes et des ordinateurs. AWS Managed Microsoft AD (édition Enterprise) inclut 17 Go de stockage d'objets de répertoire pouvant prendre en charge jusqu'à 100 000 utilisateurs ou 500 000 objets. 

Oui. Vous pouvez l'utiliser comme répertoire primaire pour gérer des utilisateurs, des groupes, des ordinateurs et des objets de politique de groupe (GPO) dans le cloud. Vous pouvez gérer l'accès et proposer l'authentification unique (SSO) pour les applications et services AWS et pour des applications compatibles avec des répertoires tiers s'exécutant sur des instances Amazon EC2 dans le cloud AWS. De plus, vous pouvez utiliser Azure AD Connect et AD FS pour prendre en charge l'authentification unique pour les applications cloud, dont Office 365. 

Oui. Vous pouvez utiliser AWS Managed Microsoft AD comme forêt de ressources contenant principalement des ordinateurs et des groupes avec des relations de confiance avec votre répertoire sur site. Cela permet à vos utilisateurs d'accéder aux applications et ressources AWS avec leurs identifiants AD sur site. 

Réplication multi-régions

La réplication multi-régions est une fonctionnalité qui vous permet de déployer et d'utiliser un répertoire AWS Managed Microsoft AD unique dans plusieurs régions AWS. Cela vous permet de déployer et de gérer vos charges de travail à l'échelle mondiale de manière plus simple et plus rentable. Grâce à la fonctionnalité automatisée de réplication multi-régions, vous obtenez une meilleure résilience tandis que vos applications utilisent un répertoire local pour des performances optimales. Cette fonctionnalité est disponible dans AWS Managed Microsoft AD (édition Enterprise) uniquement. Vous pouvez l'utiliser avec les répertoires existants ainsi qu'avec les nouveaux.

Tout d'abord, ouvrez la console AWS Directory Service dans la région où votre répertoire est déjà en cours d'exécution (région principale). Sélectionnez le répertoire que vous souhaitez développer, puis sélectionnez Add Region (Ajouter une région). Ensuite, sélectionnez la région, fournissez l'Amazon Virtual Private Cloud (VPC) ainsi que les sous-réseaux dans lesquels vous souhaitez développer votre répertoire. Vous pouvez également utiliser des API pour développer votre répertoire. Pour en savoir plus, consultez la documentation.

AWS Managed Microsoft AD exécute automatiquement les actions suivantes sur l'ensemble des régions sélectionnées : configuration de la mise en réseau et de la connectivité inter-régions, déploiement des contrôleurs de domaine et réplication de toutes vos données de répertoire, y compris les utilisateurs, les groupes, les objets de politique de groupe (GPO) et les schémas. De plus, AWS Managed Microsoft AD configure un nouveau site AD par région, ce qui améliore l'authentification des utilisateurs et les performances de réplication des contrôleurs de domaine au sein d'une région, tout en réduisant les coûts en minimisant les transferts de données entre les régions. Votre identifiant de répertoire (directory_id) reste le même dans la nouvelle région, et il est déployé dans le même compte AWS que votre région principale.

Oui, grâce à la réplication multi-régions, vous pouvez partager votre répertoire avec d'autres comptes AWS par région. Les configurations de partage de répertoire ne sont pas automatiquement répliquées depuis la région principale. Pour apprendre à partager votre répertoire avec d'autres comptes AWS, consultez la documentation.

Oui, grâce à la réplication multi-régions, vous pouvez définir le nombre de contrôleurs de domaine par région. Pour apprendre à ajouter un contrôleur de domaine, consultez la documentation.

Grâce à la réplication multi-régions, vous pouvez surveiller le statut de votre répertoire par région de manière indépendante. Vous devez activer Amazon Simple Notification Service (SNS) dans chaque région où vous avez déployé votre répertoire, à l'aide de la console AWS Directory Service ou d'une API. Pour en savoir plus, consultez la documentation.

Grâce à la réplication multi-régions, vous pouvez surveiller les journaux de sécurité de votre répertoire par région de manière indépendante. Vous devez activer Amazon CloudWatch Logs dans chaque région où vous avez déployé votre répertoire, à l'aide de la console AWS Directory Service ou d'une API. Pour en savoir plus, consultez la documentation.

Oui, vous pouvez changer le nom de site AD de votre répertoire par région en utilisant des outils AD standard. Pour en savoir plus, consultez la documentation.

Oui. Si vous n'avez aucune application AWS enregistrée sur votre répertoire et si vous n'avez pas partagé le répertoire avec un compte AWS de la région, AWS Managed Microsoft AD vous permet de supprimer une région AWS de votre répertoire. Vous ne pouvez pas supprimer la région principale, sauf si vous supprimez le répertoire.

La réplication multi-régions est compatible avec Amazon EC2, Amazon RDS (SQL Server, Oracle, MySQL, PostgreSQL et MariaDB), Amazon Aurora (MySQL et PostgreSQL) et Amazon FSx for Windows File Server de manière native. Vous pouvez également intégrer d'autres applications AWS à votre répertoire dans de nouvelles régions, telles que Amazon WorkSpaces, AWS Single Sign-On, AWS Client VPN, Amazon QuickSight, Amazon Connect, Amazon WorkDocs, Amazon WorkMail et Amazon Chime, en configurant l'AD Connector en fonction de votre répertoire AWS Managed Microsoft AD par région.

Liaison de domaines en toute transparence

Une liaison de domaine transparente est une fonction qui vous permet de lier de manière transparente vos instances Amazon EC2 pour Windows Server et Amazon EC2 pour Linux à un domaine,au lancement et depuis AWS Management Console. Vous pouvez lier des instances à AWS Managed Microsoft AD que vous lancez dans le Cloud AWS.

Lorsque vous créez une instance EC2 pour Windows ou une instance Amazon EC2 pour Linux depuis AWS Management Console, vous avez la possibilité de sélectionner le domaine auquel votre instance sera liée. Pour en savoir plus, consultez la documentation.

Vous ne pouvez pas utiliser la fonction de liaison transparente à un domaine depuis AWS Management Console pour les instances EC2 pour Windows Server et EC2 pour Linux existantes. Cependant, vous pouvez lier des instances existantes à un domaine grâce à l'API EC2 ou en exécutant PowerShell sur l'instance. Pour en savoir plus, consultez la documentation.

La fonction de liaison de domaine transparente est actuellement disponible pour Amazon Linux, Amazon Linux 2, CentOS 7 ou version ultérieure, RHEL 7.5 ou version ultérieure et Ubuntu 14 à 18.

Intégration d'IAM

AWS Directory Service vous permet d'attribuer des rôles IAM à des utilisateurs et des groupes AWS Managed Microsoft AD ou Simple AD dans le cloud AWS, ainsi qu'à des utilisateurs et groupes Microsoft Active Directory existants sur site à l'aide du connecteur AD. Ces rôles contrôlent l'accès des utilisateurs aux services AWS en fonction des politiques IAM attribuées aux rôles. AWS Directory Service fournit alors une URL spécifique pour les clients renvoyant vers AWS Management Console, que les utilisateurs peuvent utiliser pour se connecter avec leurs informations d'identification d'entreprise. Pour en savoir plus sur cette fonctionnalité, consultez notre documentation

Conformité

Oui. AWS Managed Microsoft AD a implémenté les contrôles nécessaires pour vous permettre de répondre aux exigences de la loi américaine U.S. Health Insurance Portability and Accountability Act (HIPAA) et est inclus en tant que service compris dans l'attestation de conformité et le récapitulatif des responsabilités Payment Card Industry Data Security Standard (PCI DSS)

Pour accéder à une liste complète de documents relatifs à la conformité et à la sécurité dans le cloud AWS, consultez AWS Artifact.

La sécurité, notamment la conformité HIPAA et PCI DSS, est une responsabilité partagée entre AWS et vous. Par exemple, il vous incombe de configurer vos politiques de mot de passe AWS Managed Microsoft AD pour répondre aux exigences PCI DSS lorsque vous utilisez AWS Managed Microsoft AD. Pour en savoir plus sur les mesures que vous devez prendre pour répondre aux exigences de conformité HIPAA et PCI DSS, consultez la documentation de conformité pour AWS Managed Microsoft AD, lisez le livre blanc Architecture pour la sécurité et la conformité HIPAA sur Amazon Web Services et consultez les sections Conformité dans le cloud AWS, Conformité HIPAA et Conformité PCI DSS.

En savoir plus sur la tarification Directory Service

Consultez des exemples de tarification et calculez vos coûts.

En savoir plus 
Créer un compte AWS
Créer gratuitement un compte

Obtenez un accès instantané à l'offre gratuite d'AWS. 

S'inscrire 
Commencez à créer avec Directory Service
Commencez à créer sur la console

Commencez à créer avec AWS Directory Service dans la console AWS.

Se connecter