跳至主要内容

AWS Directory Service

AWS Directory Service 的功能

概览

AWS Directory Service 为组织提供了一条将依赖 Active Directory 的工作负载迁移到云的无缝途径。通过提供完全托管的、基于 Windows Server 的原生 Active Directory,该服务使 IT 团队能够利用其现有的 AD 技能和应用程序,同时受益于增强的安全性、可靠性和可扩展性。企业可以轻松地将其 AD 环境与 Amazon RDS、FSx 和 EC2 等云托管服务集成,从而实现跨环境一致的 AD 管理体验。 

该服务强大的安全功能(包括端到端加密和符合行业标准)可保护敏感数据。此外,通过多区域部署和自主管理,AWS Directory Service 确保您的关键目录服务即使面临中断,也能保持高度可用。无论您是 IT 决策者、架构师还是首席信息官,AWS Directory Service 都能简化您的云转型之旅,使您能够实现 AD 基础设施现代化,并通过安全、可扩展的身份管理增强员工队伍的能力。 

可用性、可扩展性和弹性

全部打开

    由于目录属于关键任务型基础设施,因此 AWS Managed Microsoft AD 跨多个可用区部署在高度可用的 AWS 基础设施中。默认情况下,域控制器部署在一个区域的两个可用区中,并连接到您的亚马逊虚拟私有云 (VPC)。它每天会自动备份一次,并会对 Amazon Elastic Block Store(EBS)卷进行加密,这就可以保证数据在静态状态下的安全。它会在同一可用区内使用同一 IP 地址自动更换出现故障的域控制器,并且可使用最新备份执行灾难恢复。

    当您首次创建目录时,AWS Managed Microsoft AD 会跨多个可用区部署两个域控制器,这是实现高可用性的必要条件。之后,您可以通过指定所需的域控制器总数,通过 AWS 目录服务控制台部署其他域控制器。AWS Managed Microsoft AD 会将额外的域控制器分发到运行您的目录的可用区和 VPC 子网。

    AWS 托管的微软 AD 在由 Windows Server 2019 提供支持的 AWS 托管基础设施上运行。当您选择并启动此目录类型时,它会被创建为一对连接到您的虚拟私有云(VPC)的高可用性域控制器。域控制器在所选区域的不同可用区中运行。主机监控和恢复、数据复制、快照和软件更新是根据 AWS 目录服务的服务等级协议 (SLA) 为您配置和管理的。

    AWS Managed Microsoft AD 提供内置的自动化每日快照。您还可以在关键应用程序更新之前拍摄更多快照,以确保拥有最新的数据,以防需要回滚更改。

全球工作负载管理

全部打开

    多区域复制允许您在多个 AWS 区域部署和使用单个 AWS 托管的微软 AD 目录。这使您能够更简单、更经济高效地在全球范围内部署和管理 Microsoft Windows 和 Linux 工作负载。借助自动化多区域复制功能,您可以获得更高的弹性,而应用程序则使用本地目录来获得更好的性能。

    AWS 托管的微软 AD 与 AWS 组织紧密集成,允许在多个 AWS 账户之间无缝共享目录。您可以与同一组织内其他受信任的 AWS 账户共享单个目录,也可以与组织外部的其他 AWS 账户共享该目录。如果您的 AWS 账户目前不是组织的成员,您也可以共享您的目录。

Windows 2019 原生 AD 功能

全部打开

    AWS Managed Microsoft AD 使您能够对新的和现有的适用于 Windows 服务器的亚马逊 EC2 和适用于 Linux 实例的亚马逊 EC2 使用无缝域加入。对于新的 EC2 实例,您可以在启动时使用 AWS 管理控制台选择要加入哪个域。对于现有的 EC2 实例,您可以通过 EC2Config 服务使用无缝域加入功能。Amazon EC2 实例还可以从某个区域内的任何 AWS 账户和任何 Amazon VPC 加入单个共享目录。

    AWS 托管的微软 AD 允许您使用原生微软 Active Directory 组策略对象 (GPO) 管理用户和设备。您可以使用组策略管理控制台 (GPMC) 等现有工具来创建 GPO。

    您可以通过添加新的对象类和属性来扩展 AWS Managed Microsoft AD 架构。您还可以使用架构扩展来支持依赖特定 Active Directory 对象类和属性的应用程序。当您需要将依赖于 AWS Managed Microsoft AD 的企业应用程序迁移到 AWS Cloud 时,这种方法可能特别有用。(源)

    管理员可以使用一种名为组管理服务帐户 (GMS A) 的方法管理服务帐户。使用 gMSA,服务管理员不再需要手动管理服务实例之间的密码同步。相反,管理员只需在 Active Directory 中创建一个 gMSA,然后将多个服务实例配置为使用该单个 gMSA 即可。要授予权限以便 AWS Managed Microsoft AD 中的用户可以创建 GMSA,您必须将其账户添加为 AWS 委托托管服务账户管理员安全组的成员。默认情况下,管理员账户是该群组的成员。

    通过使用 AD 信任关系,您可以将 AWS Managed Microsoft AD 与现有 AD 集成。使用信任,您可以使用现有的 Active Directory 来控制哪些 AD 用户可以访问您的 AWS 资源。

    AWS Managed Microsoft AD 使用与您的现有本地 AD 相同的基于 Kerberos 的身份验证来提供 SSO。通过将您的 AWS 资源与 AWS 托管的微软 AD 集成,您的 AD 用户可以使用一组凭证通过 SSO 登录 AWS 应用程序和资源。

安全性与合规性

全部打开

    您可以为 AWS Managed Microsoft AD 配置精细的目录设置,在不增加运营工作负载的情况下满足您的合规性和安全性要求。在目录设置中,您可以更新目录中使用的协议和密码的安全通道配置。例如,您可以灵活地禁用单个旧密码(例如 RC4 或 DES)和协议(例如 SSL 2.0/3.0 和 TLS 1.0/1.1)。然后,AWS Managed Microsoft AD 会将配置部署到您目录中的所有域控制器,管理域控制器的重启,并在您横向扩展或部署其他 AWS 区域时保持此配置。有关所有可用设置,请参阅目录安全设置列表。

    服务器端 LDAPS 会对您的商业或自行开发的 LDAP 感知应用程序(充当 LDAP 客户端)与 AWS Managed Microsoft AD(充当 LDAP 服务器)之间的 LDAP 通信进行加密。有关更多信息,请参阅使用 AWS 托管的微软 AD 启用服务器端 LDAPS。

    客户端 LDAPS 会对 WorkSpaces(充当 LDAP 客户端)等 AWS 应用程序与您自行管理的 Active Directory(充当 LDAP 服务器)之间的 LDAP 通信进行加密。有关更多信息,请参阅使用 AWS 托管的微软 AD 启用客户端 LDAPS

    AWS 托管的微软 AD 和 AD 连接器 AWS 私有证书颁发机构 (AWS Private CA) AD 连接器的集成允许您使用 AWS 私有 CA 颁发的证书注册加入 AD 域的对象,包括用户、群组和计算机。 您可以使用 AWS Private CA 作为自行管理的企业 CA 的直接替代品,而无需部署、修补或更新本地代理或代理服务器。只需点击几下鼠标即可将 AWS Private CA 与您的目录集成,也可以通过 API 以编程方式进行集成。

监控、记录和可观测性

全部打开

    AWS 目录服务与 Amazon CloudWatch 集成,可帮助您提供目录中每个域控制器的重要性能指标。这意味着您可以监控域控制器性能计数器,例如 CPU 和内存利用率。您还可以配置警报并启动自动操作,以应对高利用率时段。 

    使用 AWS 目录服务控制台或 API 将域控制器安全事件日志转发到亚马逊 CloudWatch 日志。这可以提供目录中安全事件的透明度,帮助您满足安全监控、审计和日志保留政策要求。您还可以将安全事件日志从您的目录转发到您选择的亚马逊网络服务 (AWS) 账户中的 Amazon CloudWatch 日志,并使用 AWS 服务或第三方应用程序(例如具有 AWS 安全能力的 AWS 合作伙伴网络 (APN) 高级技术合作伙伴 Splunk)集中监控事件。

依赖于 AD 的工作负载迁移和 AWS 应用程序集成

全部打开

    AWS Managed Microsoft AD(混合版)使您能够将现有的 AD 域扩展到 AWS,从而在您的 AD 环境中创造统一的目录体验。该解决方案可实现本地和云资源之间的平稳集成,确保整个基础设施的一致身份管理。

    对于寻求专用云目录服务的组织,我们的标准版和企业版在 AWS 中创建了一个新的 AD 域,该域能够与您的现有 AD 基础设施建立安全的信任关系。这使您可以灵活地维护单独的目录服务,同时确保环境之间的无缝交互。而 AD Connector 提供的代理服务可将 AWS 服务连接到您的现有 AD,而无需将目录数据存储在云中。这是一种轻量级、经济实惠的解决方案,可帮助您在利用 AWS 服务的同时充分利用现有的 AD 投资。

    通过选择 AWS Managed Microsoft AD 作为标识源,您可以授予本地 AD 用户使用其现有 AD 凭证,通过 AWS IAM Identity Center(AWS SSO 的后继者)登录 AWS 管理控制台和 AWS CLI 的权限。这使您的用户能够在登录时担任为其分配的某个角色,并根据为该角色定义的权限来访问资源和执行操作。另一种选择是使用 AWS 托管的微软 AD 让您的用户能够代入 AWS 身份和访问管理 (IAM) 角色。

    AWS Managed Microsoft AD 使您能够使用单一目录存储 AWS 资源中的目录感知工作负载,例如亚马逊 EC2 实例、适用于 SQL Server 的亚马逊 RDS 实例以及亚马逊工作空间等 AWS 终端用户计算服务。通过共享目录,您的目录感知型工作负载能够管理某个区域内多个 AWS 账户和 Amazon VPC 中的 Amazon EC2 实例。它还有助于避免在多个目录之间复制和同步数据的复杂性。