- Sicurezza, identità e conformità›
- AWS Directory Service›
- Caratteristiche
Caratteristiche di AWS Directory Service
Panoramica
Il Servizio di directory AWS offre alle organizzazioni un percorso ottimizzato per la migrazione al cloud dei carchi di lavoro che dipendono da Active Directory. Offrendo un Active Directory nativo e completamente gestito basato su Windows Server, il servizio consente ai team IT di sfruttare le competenze e le applicazioni AD esistenti, beneficiando al contempo di sicurezza, affidabilità e scalabilità migliorate. Le aziende possono integrare facilmente il proprio ambiente AD con servizi ospitati sul cloud come Amazon RDS, FSx ed EC2, consentendo un'esperienza di gestione AD coerente in tutti gli ambienti.
Le solide funzionalità di sicurezza del servizio, tra cui la crittografia end-to-end e la conformità agli standard di settore, proteggono i dati sensibili. Inoltre, con implementazioni in più regioni e gestione autonoma, AWS Directory Service garantisce che i servizi di directory critici rimangano altamente disponibili, anche in caso di interruzioni. Il Servizio di directory AWS ottimizza il percorso di trasformazione cloud per tutti, dai decisori IT agli architetti o CIO, consentendo di modernizzare l'infrastruttura AD e potenziare la forza lavoro attraverso una gestione dell'identità sicura e scalabile.
Argomenti della pagina
Disponibilità, scalabilità e resilienza
Apri tutto
Poiché le directory sono un'infrastruttura mission critical, AWS Managed Microsoft AD viene implementato nell’infrastruttura AWS altamente disponibile e su più zone di disponibilità. Per impostazione predefinita, i controller di dominio vengono distribuiti in due zone di disponibilità in una regione e connessi al tuo Amazon Virtual Private Cloud (VPC). I backup vengono eseguiti automaticamente una volta al giorno e i volumi Amazon Elastic Block Store (EBS) vengono crittografati per garantire la protezione dei dati durante i periodi di inattività. I controller di dominio con errori vengono sostituiti automaticamente nella stessa zona di disponibilità utilizzando il medesimo indirizzo IP e il backup più recente può essere impiegato per eseguire un ripristino di emergenza completo.
Quando crei la tua directory per la prima volta, AWS Managed Microsoft AD implementa due controller di dominio su più zone di disponibilità, il che è necessario per scopi di elevata disponibilità. Successivamente, puoi distribuire controller di dominio aggiuntivi tramite la console AWS Directory Service specificando il numero totale di controller di dominio che desideri. AWS Managed Microsoft AD distribuisce i controller di dominio aggiuntivi nelle zone di disponibilità e nelle sottoreti VPC su cui è in esecuzione la directory.
AWS Managed Microsoft AD viene eseguito su un'infrastruttura gestita AWS basata su Windows Server 2019. Quando si seleziona e si avvia questo tipo di directory, viene creato come una coppia di controller di dominio ad alta disponibilità connessi al tuo cloud privato virtuale (VPC). I controller di dominio vengono eseguiti in diverse zone di disponibilità in una regione a scelta. Il monitoraggio e il ripristino degli host, la replica dei dati, le istantanee e gli aggiornamenti software sono configurati e gestiti per te in base al Service Level Agreement (SLA) per AWS Directory Service.
AWS Managed Microsoft AD integra snapshot automatizzati quotidiani. Puoi anche scattare istantanee aggiuntive prima degli aggiornamenti critici delle applicazioni per assicurarti di disporre dei dati più recenti nel caso in cui sia necessario annullare una modifica.
Gestione globale del carico di lavoro
Apri tutto
La replica in più regioni consente di distribuire e utilizzare una singola directory AWS Managed Microsoft AD in più regioni AWS. Questo rende più semplice e più conveniente implementare e gestire a livello globale i carichi di lavoro di Microsoft Windows e Linux. Con la funzionalità automatizzata di replica multi-regione, ottieni una maggiore resilienza, mentre le applicazioni utilizzano una directory locale per ottenere migliori prestazioni.
AWS Managed Microsoft AD si integra strettamente con AWS Organizations per consentire una condivisione senza interruzioni delle directory tra più account AWS. Puoi condividere una singola directory con altri account AWS affidabili all'interno della stessa organizzazione o con altri account AWS esterni all'organizzazione. Puoi condividere la tua directory anche se il tuo account AWS non è correntemente membro di un'organizzazione.
Funzionalità native di Windows 2019 AD
Apri tutto
AWS Managed Microsoft AD consente di utilizzare l'aggiunta di domini senza interruzioni per istanze Amazon EC2 per Windows Server e Amazon EC2 per Linux nuove ed esistenti. Potrai scegliere a quale dominio aggiungere le nuove istanze EC2 al momento del lancio tramite la Console di gestione AWS. È possibile utilizzare la funzionalità di unione ottimizzata dei domini per le istanze EC2 esistenti con il servizio EC2Config. Le istanze Amazon EC2 possono anche essere aggiunte in una singola directory condivisa da un qualsiasi account AWS e VPC di Amazon all'interno di una regione.
AWS Managed Microsoft AD consente di gestire utenti e dispositivi utilizzando Microsoft Active Directory Group Policy Objects (GPO) nativi. Gli oggetti Criteri di gruppo possono essere creati con gli strumenti esistenti, ad esempio la Console Gestione Criteri di gruppo.
Puoi estendere lo schema AWS Managed Microsoft AD aggiungendo nuove classi di oggetti e attributi. È inoltre possibile utilizzare le estensioni dello schema per abilitare il supporto per le applicazioni che si basano su classi di oggetti e attributi specifici di Active Directory. Ciò può essere particolarmente utile nel caso in cui sia necessario migrare applicazioni aziendali che dipendono da AWS Managed Microsoft AD nel cloud AWS. (Origine)
Gli amministratori possono gestire gli account di servizio utilizzando un metodo chiamato Group Managed Service Accounts (GMSA). Con i gMSA, gli amministratori del servizio non avevano più bisogno di gestire manualmente la sincronizzazione delle password tra le istanze del servizio. Invece, potevano semplicemente creare un gMSA in Active Directory e quindi configurare più istanze di servizio per utilizzare quel singolo gMSA. Per concedere le autorizzazioni in modo che gli utenti di AWS Managed Microsoft AD possano creare un gMSA, devi aggiungere i loro account come membri del gruppo di sicurezza AWS Delegated Managed Service Account Administrators. Per impostazione predefinita, l'account Admin è un membro di questo gruppo.
Puoi integrare facilmente AWS Managed Microsoft AD con la struttura AD esistente tramite le relazioni di attendibilità di AD. L'uso dei trust ti consente di utilizzare l'Active Directory esistente per controllare quali utenti AD possono accedere alle tue risorse AWS.
AWS Managed Microsoft AD usa la stessa autenticazione basata su Kerberos dell'Active Directory on-premise esistente. Integrando le tue risorse AWS con AWS Managed Microsoft AD, i tuoi utenti AD possono accedere con SSO alle applicazioni e alle risorse AWS utilizzando un unico set di credenziali.
Sicurezza e conformità
Apri tutto
LDAPS lato server crittografa le comunicazioni LDAP tra le tue applicazioni commerciali o basate su LDAP sviluppate internamente (che agiscono come client LDAP) e AWS Managed Microsoft AD (che funge da server LDAP). Per ulteriori informazioni, consulta Abilitare LDAPS lato server utilizzando AWS Managed Microsoft AD.
LDAPS lato client crittografa le comunicazioni LDAP tra applicazioni AWS come WorkSpaces (che fungono da client LDAP) e Active Directory autogestita (che funge da server LDAP). Per ulteriori informazioni, consulta Abilitare LDAPS lato client utilizzando AWS Managed Microsoft AD.
L'integrazione di AWS Managed Microsoft AD e AD Connector con AWS Private Certificate Authority (AWS Private CA) Connector for AD consente di registrare oggetti aggiunti a domini AD, inclusi utenti, gruppi e macchine, con certificati emessi da AWS Private CA. Puoi utilizzare AWS Private CA come sostituto immediato delle CA aziendali autogestite senza la necessità di implementare, applicare patch o aggiornare agenti locali o server proxy. Puoi configurare l'integrazione di AWS Private CA con la tua directory in pochi clic o in maniera programmatica tramite API.
Puoi utilizzare AWS Managed Microsoft AD per creare ed eseguire applicazioni cloud basate su AD soggette ai Programmi di conformità all'Health Insurance Portability and Accountability Act (HIPAA) e al Payment Card Industry Data Security Standard (PCI DSS). AWS Managed Microsoft AD riduce gli sforzi necessari per implementare una infrastruttura AD conforme per le applicazioni cloud quando devi tenere conto di programmi di gestione del rischio per la normativa HIPAA, PCI DSS o della certificazione di conformità FedRAMP. Consulta l'elenco completo dei programmi di conformità idonei per AWS Managed AD.
Monitoraggio, registrazione e osservabilità
Apri tutto
Utilizzando Amazon Simple Notification Service (Amazon SNS), puoi ricevere messaggi di posta elettronica o di testo (SMS) quando lo stato della tua directory cambia. Riceverai una notifica se la tua directory passa da uno stato Attivo a uno stato Compromesso o Inutilizzabile. Riceverai la notifica anche quando la directory ritorna allo stato Attivo.
AWS Directory Service si integra con Amazon CloudWatch per aiutarti a fornire importanti metriche prestazionali per ogni controller di dominio nella tua directory. Ciò significa che è possibile monitorare i contatori delle prestazioni dei controller di dominio, ad esempio l'utilizzo della CPU e della memoria. È inoltre possibile configurare allarmi e avviare azioni automatiche per rispondere a periodi di utilizzo elevato.
Utilizza la console o le API di AWS Directory Service per inoltrare i log degli eventi di sicurezza dei controller di dominio ad Amazon CloudWatch Logs. Questo consente di soddisfare i requisiti di monitoraggio di sicurezza, audit e policy di retention di log offrendo trasparenza degli eventi di sicurezza nella directory. Puoi anche inoltrare i log degli eventi di sicurezza dalla tua directory ad Amazon CloudWatch Logs nell'account Amazon Web Services (AWS) di tua scelta e monitorare centralmente gli eventi utilizzando servizi AWS o applicazioni di terze parti come Splunk, un partner tecnologico avanzato di AWS Partner Network (APN) con AWS Security Competency.
Migrazione dei carichi di lavoro dipendenti da AD e integrazione delle applicazioni AWS
Apri tuttoAWS Managed Microsoft AD (Hybrid Edition) ti consente di estendere il tuo dominio AD esistente in AWS, creando un'esperienza di directory unificata nei tuoi ambienti AD. Questa soluzione consente un'integrazione fluida tra le risorse locali e cloud, garantendo una gestione coerente delle identità in tutta l'infrastruttura.
Per le organizzazioni che cercano un servizio di directory cloud dedicato, le nostre edizioni Standard ed Enterprise creano un nuovo dominio AD in AWS con la capacità di stabilire relazioni di fiducia sicure con l'infrastruttura AD esistente. Ciò offre la flessibilità necessaria per mantenere servizi di directory separati garantendo al contempo una perfetta interazione tra gli ambienti. Mentre AD Connector offre un servizio proxy che collega i servizi AWS al tuo AD esistente senza archiviare i dati delle directory nel cloud. Si tratta di una soluzione leggera ed economica che ti aiuta a sfruttare gli investimenti AD esistenti sfruttando al contempo i servizi AWS.
Potrai permettere agli utenti AD on-premise di accedere alla Console di gestione AWS e all'interfaccia della linea di comando AWS con le credenziali AD esistenti tramite AWS Identity Center (in sostituzione di AWS SSO) selezionando AWS Managed Microsoft AD come origine identità. In questo modo, gli utenti possono assumere uno dei ruoli assegnati in fase di accesso, quindi accedere e intervenire sulle risorse in base alle autorizzazioni definite per quel ruolo. Un'opzione alternativa consiste nell'utilizzare AWS Managed Microsoft AD per consentire agli utenti di assumere un ruolo AWS Identity and Access Management (IAM).
AWS Managed Microsoft AD consente di utilizzare una singola directory per i carichi di lavoro compatibili con le directory nelle risorse AWS come le istanze Amazon EC2, le istanze Amazon RDS per SQL Server e i servizi AWS End User Computing, come Amazon WorkSpaces. La condivisione di una directory permette ai carichi di lavoro basati su di essa di gestire le istanze Amazon EC2 su più account AWS e VPC Amazon all'interno di una Regione. AWS Managed Microsoft AD solleva dal dover gestire la complessità di replica e sincronizzazione dei dati tra più directory.