Recursos do AWS Directory Service
Visão geral
O AWS Directory Service fornece um caminho perfeito para as organizações migrarem suas workloads dependentes do Active Directory para a nuvem. Ao oferecer um Active Directory totalmente gerenciado e nativo baseado no Windows Server, o serviço capacita as equipes de TI a aproveitar suas habilidades e aplicações de AD existentes, ao mesmo tempo em que se beneficiam de segurança, confiabilidade e escalabilidade aprimoradas. As empresas podem integrar facilmente seu ambiente AD com serviços hospedados na nuvem, como Amazon RDS, FSx e EC2, permitindo uma experiência consistente de gerenciamento de AD em todos os ambientes.
Os recursos de segurança robustos do serviço, incluindo criptografia de ponta a ponta e conformidade com os padrões do setor, protegem dados confidenciais. Além disso, com implantações multirregionais e gerenciamento autônomo, o AWS Directory Service garante que seus serviços de diretório essenciais permaneçam altamente disponíveis, mesmo em face de interrupções. Seja você um tomador de decisões de TI, arquiteto ou CIO, o AWS Directory Service simplifica sua jornada de transformação na nuvem, permitindo que você modernize sua infraestrutura de AD e capacite sua força de trabalho por meio de um gerenciamento de identidade seguro e escalável.
Disponibilidade, escalabilidade e resiliência
Abrir tudo
Como os diretórios são uma infraestrutura essencial à missão, o AWS Managed Microsoft AD é implantado em uma infraestrutura altamente disponível da AWS e em várias zonas de disponibilidade. Os controladores de domínio são implantados em duas zonas de disponibilidade em uma região por padrão e conectados à sua Amazon Virtual Private Cloud (VPC). Os backups são automaticamente feitos uma vez ao dia, e os volumes do Amazon Elastic Block Store (EBS) são criptografados para que os dados estejam seguros em repouso. Os controladores de domínio com falha são automaticamente substituídos na mesma zona de disponibilidade usando o mesmo endereço IP. Além disso, a recuperação de desastres pode ser feita usando o backup mais recente.
Quando você cria seu diretório pela primeira vez, o AWS Managed Microsoft AD implanta dois controladores de domínio em várias zonas de disponibilidade, o que é necessário para fins de alta disponibilidade. Posteriormente, você pode implantar controladores de domínio adicionais por meio do console do AWS Directory Service especificando o número total de controladores de domínio que você deseja. O AWS Managed Microsoft AD distribui os controladores de domínio adicionais para as zonas de disponibilidade e sub-redes VPC nas quais seu diretório está sendo executado.
O AWS Managed Microsoft AD é executado na infraestrutura gerenciada pela AWS com tecnologia Windows Server 2019. Quando você seleciona e inicia esse tipo de diretório, ele é criado como um par altamente disponível de controladores de domínio conectados à sua nuvem privada virtual (VPC). Os controladores de domínio são executados em diferentes zonas de disponibilidade em uma região de sua escolha. O monitoramento e a recuperação do host, a replicação de dados, os snapshots e as atualizações de software são configurados e gerenciados para você de acordo com o Acordo de Nível de Serviço (SLA) do AWS Directory Service.
Diariamente, o AWS Managed Microsoft AD disponibiliza snapshots integrados automáticos. Você também pode tirar instantâneos adicionais antes das atualizações críticas do aplicativo para garantir que tenha os dados mais recentes, caso precise reverter uma alteração.
Gerenciamento global da workload
Abrir tudo
A replicação multirregional permite que você implante e use um único diretório AWS Managed Microsoft AD em várias regiões da AWS. Isso torna mais simples e econômico para você implantar e gerenciar suas workloads do Microsoft Windows e Linux globalmente. Com o recurso de replicação automatizada de várias regiões, você obtém maior resiliência, enquanto suas aplicações usam um diretório local para melhor performance.
O AWS Managed Microsoft AD se integra estreitamente com o AWS Organizations para permitir o compartilhamento contínuo de diretórios em várias contas da AWS. Você pode compartilhar um único diretório com outras contas confiáveis da AWS dentro da mesma organização ou compartilhar o diretório com outras contas da AWS que estão fora da sua organização. Você também pode compartilhar seu diretório quando sua conta da AWS não for atualmente membro de uma organização.
Atributos do AD nativos do Windows 2019
Abrir tudo
O AWS Managed Microsoft AD permite que você use a união perfeita de domínios para instâncias novas e existentes do Amazon EC2 para Windows Server e do Amazon EC2 para Linux. Para novas instâncias do EC2, escolha o domínio no qual ingressar no momento da execução usando o Console de Gerenciamento da AWS. Você pode usar o ingresso transparente em domínios para instâncias existentes do EC2 usando o serviço EC2Config. As instâncias do Amazon EC2 de qualquer conta da AWS e de qualquer Amazon VPC em uma região podem também ingressar em um único diretório compartilhado.
O AWS Managed Microsoft AD permite que você gerencie usuários e dispositivos usando objetos de política de grupo (GPOs) nativos do Microsoft Active Directory. É possível criar GPOs com ferramentas atuais, como o Console de gerenciamento de política de grupo (GPMC).
Você pode estender seu esquema do AWS Managed Microsoft AD adicionando novas classes e atributos de objetos. Você também pode usar extensões de esquema para habilitar o suporte para aplicativos que dependem de classes e atributos de objetos específicos do Active Directory. Isso pode ser especialmente útil no caso de você precisar migrar aplicações corporativas que dependem do AWS Managed Microsoft AD para a Nuvem AWS. (Fonte)
Os administradores podem gerenciar contas de serviço usando um método chamado Contas de Serviço Gerenciadas por Grupo (GMSAs ). Usando os gMSAs, os administradores de serviços não precisavam mais gerenciar manualmente a sincronização de senhas entre as instâncias de serviço. Em vez disso, um administrador poderia simplesmente criar um gMSA no Active Directory e depois configurar várias instâncias de serviço para usar esse único gMSA. Para conceder permissões para que os usuários do AWS Managed Microsoft AD possam criar um gMSA, você deve adicionar suas contas como membro do grupo de segurança AWS Delegated Managed Service Account Administrators. Por padrão, a conta Admin é membro desse grupo.
Integre o AWS Managed Microsoft AD aos seus AD existentes, usando os relacionamentos de confiança do AD. O uso de relações de confiança permite que você use seu Active Directory existente para controlar quais usuários do AD podem acessar seus recursos da AWS.
O AWS Managed Microsoft AD usa a mesma autenticação baseada no Kerberos usada pelo AD on-premises existente. Ao integrar seus recursos da AWS com o AWS Managed Microsoft AD, seus usuários do AD podem fazer login com SSO em aplicativos e recursos da AWS usando um único conjunto de credenciais.
Segurança e conformidade
Abrir tudo
Você pode definir configurações de diretório refinadas para seu AWS Managed Microsoft AD para atender aos seus requisitos de conformidade e segurança sem nenhum aumento na workload operacional. Nas configurações do diretório, você pode atualizar a configuração do canal seguro para protocolos e cifras usados em seu diretório. Por exemplo, você tem a flexibilidade de desativar cifras herdadas individuais, como RC4 ou DES, e protocolos, como SSL 2.0/3.0 e TLS 1.0/1.1. Em seguida, o AWS Managed Microsoft AD implanta a configuração em todos os controladores de domínio em seu diretório, gerencia as reinicializações do controlador de domínio e mantém essa configuração à medida que você aumenta a escala horizontalmente ou implanta regiões adicionais da AWS. Para ver todas as configurações disponíveis, consulte a lista de configurações de segurança de diretórios.
O LDAPS do lado do servidor criptografa as comunicações LDAP entre suas aplicações comerciais ou domésticas compatíveis com LDAP (atuando como clientes LDAP) e o AWS Managed Microsoft AD (atuando como um servidor LDAP). Para obter mais informações, consulte Habilitar LDAPS do lado do servidor usando o AWS Managed Microsoft AD.
O LDAPS do lado do cliente criptografa as comunicações LDAP entre aplicações da AWS, como o WorkSpaces (atuando como clientes LDAP) e seu Active Directory autogerenciado (atuando como servidor LDAP). Para obter mais informações, consulte Habilitar o LDAPS do lado do cliente usando o AWS Managed Microsoft AD.
A integração do AWS Managed Microsoft AD e AD Connector com o AWS Private Certificate Authority (AWS Private CA) Connector for AD permite que você inscreva objetos associados ao domínio AD, incluindo usuários, grupos e máquinas, com certificados emitidos pela CA privada da AWS. Você pode usar o AWS Private CA como um substituto imediato para suas CAs corporativas autogerenciadas sem a necessidade de implantar, corrigir ou atualizar agentes locais ou servidores proxy. Você pode configurar a integração do AWS Private CA com seu diretório em apenas alguns cliques ou programaticamente por meio da API.
Você pode usar o AWS Managed Microsoft AD para criar e executar aplicações em nuvem com reconhecimento de anúncios que estão sujeitos ao Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP), EUA Programas de conformidade com a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) e o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS). O AWS Managed Microsoft AD reduz o esforço necessário para implantar a infraestrutura de AD compatível para aplicações de nuvem, quando você gerencia seus próprios programas de gerenciamento de risco da HIPAA, PCI DSS ou certificação de conformidade com o FedRAMP. Veja a lista completa dos programas de conformidade para os quais o AWS Managed AD está qualificado.
Monitoramento, registro e observabilidade
Abrir tudo
Usando o Amazon Simple Notification Service (Amazon SNS), você pode receber mensagens de e-mail ou de texto (SMS) quando o status do seu diretório mudar. Você será notificado se seu diretório passar do status Ativo para o status Deficiente ou Inoperável. Você também recebe uma notificação quando o diretório retorna ao status Ativo.
O AWS Directory Service se integra ao Amazon CloudWatch para ajudar a fornecer métricas de desempenho importantes para cada controlador de domínio em seu diretório. Isso significa que você pode monitorar os contadores de performance do controlador de domínio, como a utilização da CPU e da memória. Você também pode configurar alarmes e iniciar ações automatizadas para responder aos períodos de alta utilização.
Use o console do AWS Directory Service ou as APIs para encaminhar os logs de eventos de segurança do controlador de domínio para o Amazon CloudWatch Logs. Isso ajuda a cumprir requisitos de políticas de monitoramento de segurança, auditoria e retenção de logs, proporcionando transparência dos eventos de segurança em um diretório. Você também pode encaminhar logs de eventos de segurança do seu diretório para o Amazon CloudWatch Logs na conta Amazon Web Services (AWS) de sua escolha e monitorar centralmente eventos usando serviços da AWS ou aplicativos de terceiros, como o Splunk, um parceiro de tecnologia avançada da AWS Partner Network (APN) com a competência de segurança da AWS.
Migração de cargas de trabalho dependentes do AD e integração de aplicativos da AWS
Abrir tudoO AWS Managed Microsoft AD (Hybrid Edition) permite que você estenda seu domínio atual do AD para a AWS, criando uma experiência de diretório unificada em seus ambientes AD. Essa solução permite uma integração perfeita entre seus recursos locais e na nuvem, garantindo um gerenciamento consistente de identidades em toda a sua infraestrutura.
Para organizações que buscam um serviço de diretório em nuvem dedicado, nossas edições Standard e Enterprise criam um novo domínio do AD na AWS com a capacidade de estabelecer relações de confiança seguras com sua infraestrutura atual do AD. Isso oferece a flexibilidade de manter serviços de diretório separados e, ao mesmo tempo, garantir uma interação perfeita entre os ambientes. Embora o AD Connector ofereça um serviço de proxy que conecta os serviços da AWS ao seu AD existente sem armazenar dados do diretório na nuvem. Essa é uma solução leve e econômica que ajuda você a aproveitar seus investimentos atuais em AD e, ao mesmo tempo, aproveitar os serviços da AWS.
Você pode conceder acesso aos usuários do AD on-premises para que façam login no Console de Gerenciamento da AWS e na AWS CLI com as credenciais do AD existentes, usando o AWS Identity Center (sucessor do AWS SSO) e selecionando AWS Managed Microsoft AD como a fonte da identidade. Assim, os usuários podem assumir suas funções atribuídas no login, além de acessar e tomar medidas com relação aos recursos, de acordo com as permissões definidas para a função. Uma opção alternativa é usar o AWS Managed Microsoft AD para permitir que seus usuários assumam uma função do AWS Identity and Access Management (IAM).
O AWS Managed Microsoft AD permite que você use um único diretório para suas cargas de trabalho com reconhecimento de diretórios em recursos da AWS, como instâncias do Amazon EC2, Amazon RDS para instâncias do SQL Server e serviços de computação para usuários finais da AWS, como o Amazon WorkSpaces. O compartilhamento de um diretório permite que workloads com reconhecimento de diretório gerenciem instâncias do Amazon EC2 em várias contas da AWS e Amazon VPCs em uma região. Isso também ajuda a evitar a complexidade de replicar e sincronizar dados em vários diretórios.