AWS Directory Service 기능
개요
AWS Directory Service는 조직이 Active Directory 종속 워크로드를 클라우드로 원활하게 마이그레이션할 수 있는 경로를 제공합니다. 이 서비스는 완전관리형 네이티브 Windows Server 기반 Active Directory를 제공하여 IT 팀이 기존 AD 기술과 애플리케이션을 활용하는 동시에 향상된 보안, 신뢰성, 확장성의 이점을 활용할 수 있도록 합니다. 기업은 AD 환경을 Amazon RDS, FSx 및 EC2와 같은 클라우드 호스팅 서비스와 쉽게 통합하여 환경 전반에서 일관된 AD 관리 경험을 제공할 수 있습니다.
엔드 투 엔드 암호화 및 산업 표준 준수를 비롯한 이 서비스의 강력한 보안 기능을 통해 민감한 데이터를 보호할 수 있습니다. 또한 다중 지역 배포 및 자율 관리를 통해 AWS Directory Service는 장애가 발생하더라도 중요한 디렉터리 서비스의 가용성을 높게 유지합니다. AWS Directory Service는 IT 의사 결정권자이든, 아키텍트이든, CIO이든 관계없이 클라우드 전환 여정을 간소화하여 AD 인프라를 현대화하고 안전하고 확장 가능한 ID 관리를 통해 직원의 역량을 강화할 수 있도록 합니다.
가용성, 확장성, 복원력
모두 열기
디렉터리는 미션 크리티컬 인프라이므로 AWS Managed Microsoft AD는 고가용성 AWS 인프라의 여러 가용 영역에 걸쳐 배포됩니다. 도메인 컨트롤러는 기본적으로 한 지역의 두 가용 영역에 배포되며 Amazon 가상 사설 클라우드 (VPC) 에 연결됩니다. 백업은 일 1회 자동으로 생성되며 Amazon Elastic Block Store(EBS) 볼륨을 암호화하여 저장 중에 해당 데이터를 보호합니다. 장애가 발생한 도메인 컨트롤러는 같은 IP 주소를 사용하여 동일한 가용 영역에서 자동으로 교체되며 재해 복구는 최근 백업을 사용하여 수행됩니다.
디렉터리를 처음 생성하면 AWS Managed Microsoft AD가 여러 가용 영역에 도메인 컨트롤러 2개를 배포하는데, 이는 고가용성을 위해 필요한 것입니다. 나중에 원하는 총 도메인 컨트롤러 수를 지정하여 AWS Directory Service 콘솔을 통해 추가 도메인 컨트롤러를 배포할 수 있습니다. AWS Managed Microsoft AD는 추가 도메인 컨트롤러를 디렉터리가 실행되는 가용 영역과 VPC 서브넷에 배포합니다.
AWS 매니지드 마이크로소프트 AD는 윈도우 서버 2019로 구동되는 AWS 관리형 인프라에서 실행됩니다. 이 디렉터리 유형을 선택하고 시작하면 Virtual Private Cloud(VPC)에 연결된 고가용성 도메인 컨트롤러 페어로 디렉터리가 생성됩니다. 도메인 컨트롤러는 선택한 리전의 서로 다른 가용 영역에서 실행됩니다. 호스트 모니터링 및 복구, 데이터 복제, 스냅샷 및 소프트웨어 업데이트는 AWS Directory Service의 서비스 수준 계약 (SLA) 에 따라 고객을 위해 구성 및 관리됩니다.
AWS Managed Microsoft AD는 일일 자동 스냅샷을 기본적으로 제공합니다. 또한 중요한 애플리케이션 업데이트 전에 추가 스냅샷을 생성하여 변경 사항을 롤백해야 하는 경우에 대비하여 최신 데이터를 유지할 수 있습니다.
글로벌 워크로드 관리
모두 열기
다중 리전 복제를 통해 단일 AWS 관리형 Microsoft AD 디렉터리를 여러 AWS 지역에 배포하고 사용할 수 있습니다. 이렇게 하면 Microsoft Windows 및 Linux 워크로드를 더욱 쉽고 비용 효율적으로 글로벌로 배포하고 관리할 수 있습니다. 자동화된 다중 리전 복제 기능은 복원력을 개선하며 애플리케이션에서 로컬 디렉터리를 사용하여 성능을 높일 수 있습니다.
AWS 관리형 Microsoft AD는 AWS 조직과 긴밀하게 통합되므로 여러 AWS 계정 간에 원활하게 디렉터리를 공유할 수 있습니다. 단일 디렉터리를 같은 조직 내의 신뢰할 수 있는 다른 AWS 계정과 공유하거나 조직 외부의 다른 AWS 계정과 공유할 수 있습니다. 보유한 AWS 계정이 현재 조직의 멤버가 아닌 경우에도 디렉터리를 공유할 수 있습니다.
기본 Windows 2019 AD 기능
모두 열기
AWS 관리형 Microsoft AD를 사용하면 Windows 서버용 Amazon EC2 및 Linux용 Amazon EC2 인스턴스의 신규 및 기존 Amazon EC2에 원활한 도메인 가입을 사용할 수 있습니다. 새로운 EC2 인스턴스의 경우 시작할 때 AWS Management Console을 사용하여 조인할 도메인을 선택할 수 있습니다. 기존 EC2 인스턴스의 경우 EC2Config 서비스를 통해 원활한 도메인 조인 기능을 사용할 수 있습니다. 또한 모든 AWS 계정과 AWS 리전 내의 모든 Amazon VPC에서 Amazon EC2 인스턴스를 단일의 공유 디렉터리에 원활하게 조인할 수 있습니다.
AWS 관리형 Microsoft AD를 사용하면 기본 Microsoft Active Directory 그룹 정책 객체 (GPO) 를 사용하여 사용자와 디바이스를 관리할 수 있습니다. Group Policy Management Console(GPMC)과 같은 기존 도구로 GPO를 생성할 수 있습니다.
새 객체 클래스와 속성을 추가하여 AWS Managed Microsoft AD 스키마를 확장할 수 있습니다. 또한 스키마 확장을 사용하여 특정 Active Directory 개체 클래스 및 특성을 사용하는 응용 프로그램을 지원할 수 있습니다. 스키마 확장은 AWS Managed Microsoft AD에 의존하는 기업 애플리케이션을 AWS 클라우드로 마이그레이션해야 하는 경우에 특히 유용할 수 있습니다. (소스)
관리자는 GMSA (그룹 관리 서비스 계정) 라는 방법을 사용하여 서비스 계정을 관리할 수 있습니다. gMSA를 사용하면 서비스 관리자가 더 이상 서비스 인스턴스 간의 암호 동기화를 수동으로 관리할 필요가 없습니다. 대신 Active Directory에서 간단히 gMSA를 만든 다음 이 단일의 gMSA를 사용하도록 여러 서비스 인스턴스를 구성할 수 있습니다. AWS Managed Microsoft AD 안의 사용자에게 gMSA 생성 권한을 부여하려면 해당 계정을 AWS Delegated Managed Service Account Administrators 보안 그룹의 멤버로 추가해야 합니다. 기본적으로 관리자 계정은 이 그룹의 멤버입니다.
AD 트러스트 관계를 사용하여 AWS Managed Microsoft AD를 기존 AD에 통합할 수 있습니다. 트러스트를 사용하면 기존 Active Directory를 사용하여 AWS 리소스에 액세스할 수 있는 AD 사용자를 제어할 수 있습니다.
AWS Managed Microsoft AD는 기존 온프레미스 AD와 마찬가지로 Kerberos 기반 인증을 사용하여 SSO를 제공합니다. AWS 리소스를 AWS 관리형 Microsoft AD와 통합하면 AD 사용자는 단일 자격 증명 세트를 사용하여 AWS 애플리케이션 및 리소스에 SSO로 로그인할 수 있습니다.
보안 및 규정 준수
모두 열기
AWS Managed Microsoft AD의 세분화된 디렉터리 설정을 구성하여 운영 워크로드를 늘리지 않고도 규정 준수 및 보안 요구 사항을 충족할 수 있습니다. 디렉터리 설정에서 디렉터리에 사용되는 프로토콜 및 암호에 대한 보안 채널 구성을 업데이트할 수 있습니다. 예를 들어 RC4 또는 DES와 같은 개별 레거시 암호와 SSL 2.0/3.0 및 TLS 1.0/1.1과 같은 프로토콜을 유연하게 사용 중지할 수 있습니다. AWS Managed Microsoft AD는 이 구성을 디렉터리의 모든 도메인 컨트롤러에 배포하고, 도메인 컨트롤러 재부팅을 관리하며, 스케일 아웃하거나 추가 AWS 리전을 배포할 때 이 구성을 유지합니다. 사용 가능한 모든 설정은 디렉터리 보안 설정 목록을 참조하십시오.
서버 측 LDAPS는 상용 또는 자체 개발 LDAP 인식 애플리케이션(LDAP 클라이언트 역할)과 AWS Managed Microsoft AD(LDAP 서버 역할) 간의 LDAP 통신을 암호화합니다. 자세한 내용은 AWS 관리형 Microsoft AD를 사용하여 서버 측 LDAPS 활성화를 참조하십시오.
클라이언트 측 LDAPS는 WorkSpaces(LDAP 클라이언트 역할)와 같은 AWS 애플리케이션과 자체 관리형 Active Directory(LDAP 서버 역할) 간의 LDAP 통신을 암호화합니다. 자세한 내용은 AWS 관리형 Microsoft AD를 사용하여 클라이언트 측 LDAPS 활성화를 참조하십시오.
AWS 관리형 Microsoft AD 및 AD 커넥터를 AD용 AWS 사설 인증 기관 (AWS 사설 CA) 커넥터와 통합하면 사용자, 그룹 및 컴퓨터를 포함하여 AD 도메인에 가입된 객체를 AWS 사설 CA에서 발급한 인증서로 등록할 수 있습니다. 로컬 에이전트나 프록시 서버를 배포, 패치 또는 업데이트할 필요 없이 AWS Private CA를 자체 관리형 엔터프라이즈 CA의 드롭인 대체로 사용할 수 있습니다. 클릭 몇 번 또는 API를 통한 프로그래밍 방식으로 AWS Private CA와 디렉터리의 통합을 설정할 수 있습니다.
Federal Risk and Authorization Management Program(FedRAMP), 미국 건강 보험 양도 및 책임법 (HIPAA) 및 결제 카드 산업 데이터 보안 표준 (PCI DSS) 준수 프로그램 AWS Managed Microsoft AD는 자체 HIPAA 위험 관리 프로그램 또는 PCI DSS 또는 FedRAMP 규정 준수 인증을 관리할 때 클라우드 애플리케이션을 위한 규정 준수 AD 인프라를 배포하는 데 드는 작업을 줄여줍니다. AWS Managed AD가 자격을 갖춘 규정 준수 프로그램의 전체 목록을 참조하십시오.
모니터링, 로깅 및 관찰성
모두 열기
Amazon 단순 알림 서비스 (Amazon SNS) 를 사용하면 디렉토리 상태가 변경될 때 이메일 또는 텍스트 (SMS) 메시지를 받을 수 있습니다. 디렉터리가 활성 상태에서 장애 또는 작동 불가 상태로 바뀌면 알림을 받습니다. 디렉터리가 다시 ‘Active(활성)’ 상태가 될 때에도 알림을 받습니다.
AWS 디렉터리 서비스는 Amazon CloudWatch와 통합되어 디렉터리의 각 도메인 컨트롤러에 대한 중요한 성능 지표를 제공합니다. 즉, CPU 및 메모리 사용률과 같은 도메인 컨트롤러의 성능 카운터를 모니터링할 수 있습니다. 또한 사용률이 높은 기간에는 경보를 구성하고 자동화된 작업을 시작하여 대응할 수 있습니다.
AWS 디렉토리 서비스 콘솔 또는 API를 사용하여 도메인 컨트롤러 보안 이벤트 로그를 Amazon CloudWatch 로그에 전달합니다. 이렇게 하면 디렉터리의 보안 이벤트를 투명하게 확인하여 보안 모니터링, 감사 및 로그 보존 정책 요구 사항을 충족하는 데 도움이 됩니다. 또한 디렉터리의 보안 이벤트 로그를 선택한 Amazon Web Services (AWS) 계정의 Amazon CloudWatch Logs로 전달하고, AWS 보안 컴피턴시를 갖춘 AWS 파트너 네트워크 (APN) 고급 기술 파트너인 Splunk와 같은 AWS 서비스 또는 타사 애플리케이션을 사용하여 이벤트를 중앙에서 모니터링할 수 있습니다.
AD 종속 워크로드 마이그레이션 및 AWS 애플리케이션 통합
모두 열기AWS 관리형 Microsoft AD (하이브리드 에디션) 를 사용하면 기존 AD 도메인을 AWS로 확장하여 AD 환경 전체에 통합된 디렉터리 환경을 구축할 수 있습니다. 이 솔루션을 사용하면 온프레미스와 클라우드 리소스 간의 원활한 통합이 가능하므로 인프라 전체에서 일관된 ID 관리가 보장됩니다.
전용 클라우드 디렉터리 서비스를 원하는 조직을 위해 Standard 및 Enterprise 에디션은 기존 AD 인프라와 안전한 신뢰 관계를 구축할 수 있는 기능을 갖춘 새로운 AD 도메인을 AWS에 생성합니다. 이를 통해 환경 간의 원활한 상호 작용을 보장하면서 별도의 디렉터리 서비스를 유지 관리할 수 있는 유연성을 제공합니다. 반면 AD Connector는 디렉터리 데이터를 클라우드에 저장하지 않고도 AWS 서비스를 기존 AD에 연결하는 프록시 서비스를 제공합니다. 이 솔루션은 AWS 서비스를 활용하면서 기존 AD 투자를 활용하는 데 도움이 되는 가볍고 비용 효율적인 솔루션입니다.
AWS Managed Microsoft AD를 ID 소스로 선택하면 온프레미스 AD 사용자에게 기존 AD 보안 인증 정보와 AWS Identity Center(AWS SSO의 후속 서비스)를 사용하여 AWS Management Console 및 AWS CLI에 로그인할 수 있는 액세스 권한을 부여할 수 있습니다. 이렇게 하면 사용자가 로그인할 때 할당된 역할 중 하나를 수임하며 해당 역할에 정의된 권한에 따라 리소스에 액세스하고 작업을 수행할 수 있습니다. 다른 방법으로는 AWS 관리형 Microsoft AD를 사용하여 사용자가 AWS ID 및 액세스 관리 (IAM) 역할을 맡을 수 있도록 하는 것입니다.
AWS 관리형 Microsoft AD를 사용하면 Amazon EC2 인스턴스, SQL Server용 Amazon RDS 인스턴스, Amazon WorkSpaces와 같은 AWS 최종 사용자 컴퓨팅 서비스와 같은 AWS 리소스의 디렉토리 인식 워크로드에 단일 디렉터리를 사용할 수 있습니다. 디렉터리를 공유하면 디렉터리 인식 워크로드를 통해 한 리전의 여러 AWS 계정과 Amazon VPC에 걸쳐 있는 Amazon EC2 인스턴스를 관리할 수 있습니다. 또한 여러 디렉터리에서 복잡하게 데이터를 복제하고 동기화하지 않아도 됩니다.