Caractéristiques d'AWS Directory Service
Présentation
AWS Directory Service permet aux entreprises de migrer facilement leurs charges de travail dépendantes d’Active Directory vers le cloud. En fournissant un Active Directory natif, entièrement géré et basé sur Windows Server, le service permet aux équipes informatiques de tirer parti de leurs compétences et applications AD existantes. Il fournit également des niveaux de sécurité et de fiabilité optimisés ainsi qu’une capacité de mise à l’échelle renforcée. Les entreprises peuvent facilement intégrer leur environnement AD à des services hébergés dans le cloud tels qu'Amazon RDS, FSx et EC2, permettant ainsi une expérience de gestion AD cohérente dans tous les environnements.
Les fonctionnalités de sécurité du service, notamment le chiffrage de bout en bout et la conformité aux normes du secteur, protègent les données sensibles. En outre, grâce à des déploiements multirégionaux et à une gestion autonome, AWS Directory Service garantit la haute disponibilité de vos services d'annuaire critiques, même en cas de perturbations. Que vous soyez décideur chargé des systèmes informatiques, architecte ou directeur des systèmes d’information, AWS Directory Service rationalise votre parcours de transformation vers le cloud. Vous êtes en mesure de moderniser votre infrastructure AD et d’optimiser l’efficacité de votre personnel grâce à une gestion des identités sécurisée et évolutive.
Sujets de la page
- Disponibilité, capacité de mise à l'échelle et résilience
4
- Gestion mondiale de la charge de travail
2
- Fonctionnalités natives de Windows 2019 AD
6
- Sécurité et conformité
5
- Surveillance, journalisation et observabilité
3
- Migration des charges de travail dépendantes d'AD et intégration des applications AWS
3
Disponibilité, capacité de mise à l'échelle et résilience
Ouvrir tout
Les annuaires étant des infrastructures critiques, AWS Managed Microsoft AD est déployé dans une infrastructure AWS hautement disponible et dans plusieurs zones de disponibilité. Les contrôleurs de domaine sont déployés dans deux zones de disponibilité d'une région par défaut et connectés à votre Amazon Virtual Private Cloud (VPC). Les sauvegardes sont automatiquement effectuées une fois par jour et les volumes Amazon Elastic Block Store (EBS) sont cryptés pour s'assurer que les données sont sécurisées au repos. Les contrôleurs de domaine défaillants sont automatiquement remplacés dans la même zone de disponibilité utilisant la même adresse IP et une reprise après sinistre complète peut être exécutée à l'aide de la dernière sauvegarde.
Lorsque vous créez votre annuaire pour la première fois, AWS Managed Microsoft AD déploie deux contrôleurs de domaine dans plusieurs zones de disponibilité, ce qui est nécessaire à des fins de haute disponibilité. Plus tard, vous pourrez déployer des contrôleurs de domaine supplémentaires via la console AWS Directory Service en spécifiant le nombre total de contrôleurs de domaine que vous souhaitez. AWS Managed Microsoft AD distribue les contrôleurs de domaine supplémentaires aux zones de disponibilité et aux sous-réseaux VPC sur lesquels votre annuaire est exécuté.
AWS Managed Microsoft AD s'exécute sur une infrastructure gérée AWS optimisée par Windows Server 2019. Lorsque vous sélectionnez et lancez ce type de répertoire, il est créé sous la forme d'une paire de contrôleurs de domaine hautement disponible connectés à votre cloud privé virtuel (VPC). Les contrôleurs de domaine fonctionnent dans différentes zones de disponibilité de la région de votre choix. La surveillance et la restauration des hôtes, la réplication des données, les instantanés et les mises à jour logicielles sont configurés et gérés pour vous conformément au contrat de niveau de service (SLA) pour AWS Directory Service.
AWS Managed Microsoft AD fournit des instantanés quotidiens automatisés et intégrés. Vous pouvez également prendre des instantanés supplémentaires avant les mises à jour critiques de l'application afin de vous assurer que vous disposez des données les plus récentes au cas où vous auriez besoin d'annuler une modification.
Gestion mondiale de la charge de travail
Ouvrir tout
La réplication multirégionale vous permet de déployer et d'utiliser un seul annuaire AWS Managed Microsoft AD dans plusieurs régions AWS. Il est ainsi plus simple et plus rentable de déployer et de gérer vos charges de travail Microsoft Windows et Linux à l'échelle mondiale. Grâce à la capacité de réplication multirégionale automatisée, vous bénéficiez d'une plus grande résilience, tandis que vos applications utilisent un répertoire local pour de meilleures performances.
AWS Managed Microsoft AD s'intègre étroitement à AWS Organizations pour permettre un partage d'annuaire fluide entre plusieurs comptes AWS. Vous pouvez partager un répertoire unique avec d'autres comptes AWS approuvés au sein de la même organisation ou partager le répertoire avec d'autres comptes AWS extérieurs à votre organisation. Vous pouvez également partager votre annuaire lorsque votre compte AWS n'est actuellement pas membre d'une organisation.
Fonctionnalités natives de Windows 2019 AD
Ouvrir tout
AWS Managed Microsoft AD vous permet d'utiliser une jointure de domaine fluide pour les instances Amazon EC2 pour Windows Server et Amazon EC2 pour Linux nouvelles et existantes. Dans le cas des nouvelles instances EC2, vous pouvez choisir le domaine à lier au moment du lancement grâce à la console de gestion AWS. Vous pouvez utiliser la liaison de domaine transparente pour les instances EC2 existantes grâce au service EC2Config. Les instances Amazon EC2 peuvent également se lier à un seul annuaire partagé depuis n'importe quel compte AWS et Amazon VPC au sein d'une région AWS.
AWS Managed Microsoft AD vous permet de gérer les utilisateurs et les appareils à l'aide des objets de stratégie de groupe (GPO) natifs de Microsoft Active Directory. Vous pouvez créer des objets Stratégie de groupe en utilisant les outils existantes tels que Console de gestion des stratégies de groupe.
Vous pouvez étendre votre schéma AWS Managed Microsoft AD en ajoutant de nouvelles classes d'objets et de nouveaux attributs. Vous pouvez également utiliser des extensions de schéma pour activer la prise en charge des applications qui s'appuient sur des classes d'objets et des attributs Active Directory spécifiques. Cela peut être particulièrement utile lorsque vous devez migrer des applications d'entreprise qui dépendent d'AWS Managed Microsoft AD vers le cloud AWS. (Source)
Les administrateurs peuvent gérer les comptes de service à l'aide d'une méthode appelée comptes de service gérés en groupe (GMSA). Grâce aux gMSAs, les administrateurs de services n'ont plus besoin de gérer manuellement la synchronisation des mots de passe entre les instances de service. Au lieu de cela, un administrateur pourrait simplement créer un gMSAs dans Active Directory, puis configurer plusieurs instances de service pour utiliser ce seul gMSAs. Pour accorder des autorisations permettant aux utilisateurs d'AWS Managed Microsoft AD de créer un gMSAs, vous devez ajouter leurs comptes en tant que membre du groupe de sécurité AWS Delegated Managed Service Account Administrators. Par défaut, le compte Admin est membre de ce groupe.
Vous pouvez facilement intégrer AWS Managed Microsoft AD à votre annuaire AD existant en utilisant les relations de confiance AD. L'utilisation des approbations vous permet d'utiliser votre Active Directory existant pour contrôler quels utilisateurs AD peuvent accéder à vos ressources AWS.
AWS Managed Microsoft AD utilise la même authentification Kerberos que votre annuaire AD sur site. En intégrant vos ressources AWS à AWS Managed Microsoft AD, vos utilisateurs AD peuvent se connecter avec SSO aux applications et ressources AWS à l'aide d'un seul ensemble d'informations d'identification.
Sécurité et conformité
Ouvrir tout
Vous pouvez configurer des paramètres de répertoire précis pour votre AWS Managed Microsoft AD afin de répondre à vos exigences de conformité et de sécurité sans augmenter la charge de travail opérationnelle. Dans les paramètres du répertoire, vous pouvez mettre à jour la configuration des canaux sécurisés pour les protocoles et les chiffrements utilisés dans votre répertoire. Par exemple, vous avez la possibilité de désactiver les anciens chiffrements individuels, tels que RC4 ou DES, et les protocoles, tels que SSL 2.0/3.0 et TLS 1.0/1.1. AWS Managed Microsoft AD déploie ensuite la configuration sur tous les contrôleurs de domaine de votre annuaire, gère les redémarrages des contrôleurs de domaine et maintient cette configuration à mesure que vous montez en puissance ou déployez des régions AWS supplémentaires. Pour tous les paramètres disponibles, consultez la liste des paramètres de sécurité du répertoire.
Le protocole LDAPS côté serveur chiffre les communications LDAP entre vos applications commerciales ou locales compatibles LDAP (agissant en tant que clients LDAP) et AWS Managed Microsoft AD (agissant en tant que serveur LDAP). Pour plus d'informations, consultez Activer le LDAPS côté serveur à l'aide d'AWS Managed Microsoft AD.
Le protocole LDAPS côté client chiffre les communications LDAP entre les applications AWS telles que WorkSpaces (agissant en tant que clients LDAP) et votre Active Directory autogéré (agissant en tant que serveur LDAP). Pour plus d'informations, consultez Activer le LDAPS côté client à l'aide d'AWS Managed Microsoft AD.
L'intégration d'AWS Managed Microsoft AD et AD Connector avec le connecteur AWS Private Certificate Authority (AWS Private CA) pour AD vous permet d'inscrire des objets joints à un domaine AD, y compris des utilisateurs, des groupes et des machines, avec des certificats émis par AWS Private CA. Vous pouvez utiliser AWS Private CA pour remplacer les autorités de certification autogérées de votre entreprise sans avoir à déployer, corriger ou mettre à jour des agents locaux ou des serveurs proxy. Vous pouvez configurer l'intégration d'AWS Private CA à votre annuaire en quelques clics ou par programmation via une API.
Vous pouvez utiliser AWS Managed Microsoft AD pour créer et exécuter des applications cloud compatibles avec la publicité qui sont soumises au programme fédéral de gestion des risques et des autorisations (FedRAMP), États-Unis. Programmes de conformité à la loi HIPAA (Health Insurance Portability and Accountability Act) et à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). AWS Managed Microsoft AD réduit les efforts requis pour déployer une infrastructure AD conforme pour vos applications en nuage, car vous gérez vos propres programmes de gestion des risques HIPAA, PCI DSS ou la certification de conformité FedRAMP. Consultez la liste complète des programmes de conformité éligibles à AWS Managed AD.
Surveillance, journalisation et observabilité
Ouvrir tout
Grâce à Amazon Simple Notification Service (Amazon SNS), vous pouvez recevoir des e-mails ou des SMS lorsque l'état de votre annuaire change. Vous recevez une notification si votre répertoire passe de l'état Actif à l'état Inactif ou Inutilisable. Vous recevez également une notification lorsque l'annuaire redevient actif.
AWS Directory Service s'intègre à Amazon CloudWatch pour vous fournir des indicateurs de performance importants pour chaque contrôleur de domaine de votre annuaire. Cela signifie que vous pouvez surveiller les compteurs de performance des contrôleurs de domaine, tels que l'utilisation du processeur et de la mémoire. Vous pouvez également configurer des alarmes et lancer des actions automatisées pour répondre aux périodes de forte utilisation.
Utilisez la console AWS Directory Service ou les API pour transmettre les journaux des événements de sécurité du contrôleur de domaine à Amazon CloudWatch Logs. Cela vous aide à répondre à vos exigences en matière de sécurité, d'audit et de conservation des journaux en assurant la transparence des événements de sécurité dans votre répertoire. Vous pouvez également transférer les journaux des événements de sécurité depuis votre annuaire vers Amazon CloudWatch Logs sur le compte Amazon Web Services (AWS) de votre choix, et surveiller les événements de manière centralisée à l'aide des services AWS ou d'applications tierces telles que Splunk, un partenaire technologique avancé du réseau de partenaires AWS (APN) doté de la compétence en matière de sécurité AWS.
Migration des charges de travail dépendantes d'AD et intégration des applications AWS
Ouvrir toutAWS Managed Microsoft AD (édition hybride) vous permet d'étendre votre domaine AD existant à AWS, créant ainsi une expérience d'annuaire unifiée dans tous vos environnements AD. Cette solution permet une intégration fluide entre vos ressources sur site et dans le cloud, garantissant ainsi une gestion cohérente des identités dans l'ensemble de votre infrastructure.
Pour les organisations qui recherchent un service d'annuaire cloud dédié, nos éditions Standard et Enterprise créent un nouveau domaine AD dans AWS avec la possibilité d'établir des relations de confiance sécurisées avec votre infrastructure AD existante. Cela vous donne la flexibilité nécessaire pour gérer des services d'annuaire distincts tout en garantissant une interaction fluide entre les environnements. Alors qu'AD Connector propose un service proxy qui connecte les services AWS à votre AD existant sans stocker les données d'annuaire dans le cloud. Il s'agit d'une solution légère et rentable qui vous permet de tirer parti de vos investissements AD existants tout en tirant parti des services AWS.
Vous pouvez permettre à vos utilisateurs AD sur site de se connecter à la console de gestion AWS et à AWS CLI avec leurs informations d'identification AD existantes avec AWS Identity Center (successeur d'AWS SSO) en sélectionnant AWS Managed Microsoft AD comme source d'identité. Ainsi, les utilisateurs peuvent assurer l'un des rôles qui leur ont été attribués lors de l'inscription, et accéder aux ressources et d'agir sur celles-ci selon les autorisations définies pour le rôle. Une autre option consiste à utiliser AWS Managed Microsoft AD pour permettre à vos utilisateurs d'assumer un rôle AWS Identity and Access Management (IAM).
AWS Managed Microsoft AD vous permet d'utiliser un répertoire unique pour vos charges de travail sensibles aux répertoires dans les ressources AWS telles que les instances Amazon EC2, Amazon RDS pour les instances SQL Server et les services informatiques pour utilisateurs finaux AWS, tels qu'Amazon WorkSpaces. Le partage d'un annuaire permet à vos charges de travail compatibles avec l'annuaire de gérer des instances Amazon EC2 sur plusieurs comptes AWS et Amazon VPC au sein d'une région. De plus, vous n'avez pas besoin de répliquer et de synchroniser les données entre plusieurs répertoires.