AWS Directory Service Optionen Welche sollte man auswählen Mit Amazon arbeiten EC2

Was ist AWS Directory Service?

AWS Directory Service bietet mehrere Möglichkeiten, Microsoft Active Directory (AD) mit anderen AWS Diensten zu verwenden. Verzeichnisse speichern Informationen über Benutzer, Gruppen und Geräte, und Administratoren verwenden sie, um den Zugriff auf Informationen und Ressourcen zu verwalten. AWS Directory Service bietet Kunden, die bestehende Microsoft AD- oder LDAP-fähige Anwendungen (Lightweight Directory Access Protocol) in der Cloud verwenden möchten, mehrere Verzeichnisoptionen. Dieselben Optionen bietet es Entwicklern, die ein Verzeichnis zum Verwalten von Benutzern, Gruppen, Geräten und Zugriff benötigen.

AWS Directory Service Optionen

AWS Directory Service beinhaltet mehrere Verzeichnistypen, aus denen Sie wählen können. Weitere Informationen finden Sie auf einer der folgenden Registerkarten:

AWS Directory Service for Microsoft Active Directory

Der AWS Directory Service für Microsoft Active Directory, auch AWS Managed Microsoft AD genannt, basiert auf einem echten Microsoft Windows Server Active Directory (AD), das AWS in der AWS Cloud verwaltet wird. Damit können Sie eine Vielzahl von Active Directory-fähigen Anwendungen in die Cloud migrieren. AWS AWS Managed Microsoft AD funktioniert mit Microsoft SharePoint Microsoft SQL Server Always-On-Verfügbarkeitsgruppen und vielen .NET-Anwendungen. Es unterstützt auch AWS verwaltete Anwendungen und Dienste wie Amazon WorkSpaces, Amazon WorkDocs, Amazon Quick Suite, Amazon Chime, Amazon Connect und Amazon Relational Database Service für Microsoft SQL Server (Amazon RDS fürSQL Server, Amazon RDS für und Amazon RDS for Oracle PostgreSQL).

AWS Managed Microsoft AD ist für Anwendungen in der AWS Cloud zugelassen, die der Einhaltung des US-amerikanischen Health Insurance Portability and Accountability Act (HIPAA) oder des Payment Card Industry Data Security Standard (PCI DSS) unterliegen, wenn Sie die Compliance für Ihr Verzeichnis aktivieren.

Alle kompatiblen Anwendungen funktionieren mit Benutzeranmeldeinformationen, die Sie in AWS Managed Microsoft AD speichern, oder Sie können vertrauenswürdig eine Verbindung zu Ihrer vorhandenen AD-Infrastruktur herstellen und Anmeldeinformationen aus einem Active Directory verwenden, das lokal oder unter EC2 Windows ausgeführt wird. Wenn Sie EC2 Instanzen zu Ihrem AWS Managed Microsoft AD hinzufügen, können Ihre Benutzer auf Windows-Workloads in der AWS Cloud mit derselben Windows Single Sign-On (SSO) -Erfahrung zugreifen wie beim Zugriff auf Workloads in Ihrem lokalen Netzwerk.

AWS Managed Microsoft AD unterstützt auch Verbundanwendungsfälle mit Active Directory-Anmeldeinformationen. Allein mit AWS Managed Microsoft AD können Sie sich bei der anmelden AWS Management Console. Mit AWS IAM Identity Centerkönnen Sie auch kurzfristige Anmeldeinformationen für die Verwendung mit dem AWS SDK und der CLI abrufen und vorkonfigurierte SAML-Integrationen verwenden, um sich bei vielen Cloud-Anwendungen anzumelden. Durch Hinzufügen Microsoft Entra Connect (früher bekannt alsAzure Active Directory Connect) und optional Active Directory Federation Service (AD FS) können Sie sich mit in AWS Managed Microsoft AD gespeicherten Anmeldeinformationen bei Microsoft Office 365 und anderen Cloud-Anwendungen anmelden.

Der Service umfasst die wichtigsten Funktionen, mit denen Sie Ihr Schema erweitern, Passwortrichtlinien verwalten und eine sichere LDAP-Kommunikation über Secure Socket Layer (SSL)/Transport Layer Security (TLS) aktivieren können. Sie können auch die Multi-Faktor-Authentifizierung (MFA) für AWS Managed Microsoft AD aktivieren, um eine zusätzliche Sicherheitsebene zu bieten, wenn Benutzer über das Internet auf AWS Anwendungen zugreifen. Da Active Directory ein LDAP-Verzeichnis ist, können Sie AWS Managed Microsoft AD auch für die Linux-Secure-Shell (SSH)-Authentifizierung und für andere LDAP-fähige Anwendungen verwenden.

AWS bietet Überwachung, tägliche Snapshots und Wiederherstellung als Teil des Dienstes. Sie fügen Benutzer und Gruppen zu AWS Managed Microsoft AD hinzu und verwalten Gruppenrichtlinien mithilfe vertrauter Active Directory-Tools, die auf einem Windows Computer ausgeführt werden, der zur AWS verwalteten Microsoft AD-Domäne gehört. Sie können das Verzeichnis auch skalieren, indem Sie zusätzliche Domain-Controller bereitstellen, und verbessern die Anwendungsleistung, indem Sie Anfragen über eine größere Anzahl von Domain-Controllern verteilen.

AWS Managed Microsoft AD ist in zwei Editionen erhältlich: Standard und Enterprise.

Standard Edition: AWS Managed Microsoft AD (Standard Edition) ist als primäres Verzeichnis für kleine und mittelgroße Unternehmen mit bis zu 5 000 Mitarbeitern optimiert. Es bietet genügend Speicherkapazität für bis zu 30.000* Verzeichnisobjekte, wie beispielsweise Benutzer, Gruppen und Computer.
Enterprise Edition: AWS Managed Microsoft AD (Enterprise Edition) ist für Unternehmen und Organisationen mit bis zu 500 000* Verzeichnisobjekten ausgelegt.

* Die Obergrenzen sind Annäherungswerte. Ihr Verzeichnis kann mehr oder weniger Verzeichnisobjekte unterstützen, abhängig von der Größe Ihrer Objekte und dem Verhalten und den Leistungsanforderungen Ihrer Anwendungen.

Wann sollte dies verwendet werden?

AWS Managed Microsoft AD ist die beste Wahl, wenn Sie aktuelle Active Directory-Funktionen zur Unterstützung von AWS Anwendungen oder Windows Workloads benötigen, einschließlich Amazon Relational Database Service für. Microsoft SQL Server Es ist auch am besten, wenn Sie ein eigenständiges Active Directory in der AWS Cloud benötigen, das Office 365 unterstützt, oder wenn Sie ein LDAP-Verzeichnis zur Unterstützung Ihrer Linux-Anwendungen benötigen. Weitere Informationen finden Sie unter AWS Verwaltetes Microsoft AD.

AD Connector

AD Connector ist ein Proxy-Service, der eine einfache Möglichkeit bietet, kompatible AWS Anwendungen wie Amazon WorkSpaces, Amazon Quick Suite und Amazon EC2 beispielsweise Windows Server mit Ihrem vorhandenen lokalen Microsoft Active Directory zu verbinden. Mit AD Connector können Sie einfach ein Servicekonto zu Ihrem Active Directory hinzufügen. Außerdem ist es mit AD Connector nicht mehr notwendig, Verzeichnisse zu synchronisieren. Die Kosten und die Komplexität des Hostings einer komplexen Verbund-Infrastruktur fallen weg.

Wenn Sie Benutzer zu AWS Anwendungen wie Amazon Quick Suite hinzufügen, liest AD Connector Ihr vorhandenes Active Directory, um Listen mit Benutzern und Gruppen zu erstellen, aus denen Sie auswählen können. Wenn sich Benutzer bei den AWS Anwendungen anmelden, leitet AD Connector Anmeldeanfragen zur Authentifizierung an Ihre lokalen Active Directory-Domänencontroller weiter. AD Connector funktioniert mit vielen AWS Anwendungen und Diensten, darunter Amazon WorkSpaces, Amazon WorkDocs, Amazon Quick Suite, Amazon Chime, Amazon Connect und Amazon WorkMail. Sie können Ihre EC2 Windows Instanzen auch über AD Connector mit Ihrer lokalen Active Directory-Domäne verbinden, indem Sie Seamless Domain Join verwenden. Mit AD Connector können Ihre Benutzer auch auf die AWS Ressourcen zugreifen AWS Management Console und diese verwalten, indem sie sich mit ihren vorhandenen Active Directory-Anmeldeinformationen anmelden. AD Connector ist nicht kompatibel mit RDS SQL Server.

Sie können AD Connector auch verwenden, um die Multi-Faktor-Authentifizierung (MFA) für Ihre AWS Anwendungsbenutzer zu aktivieren, indem Sie sie mit Ihrer vorhandenen RADIUS-basierten MFA-Infrastruktur verbinden. Dies sorgt für eine zusätzliche Sicherheitsebene, wenn Benutzer auf AWS -Anwendungen zugreifen.

Mit AD Connector verwalten Sie Ihr Active Directory weiterhin wie derzeit üblich. Beispielsweise können Sie unter Verwendung der Active Directory-Standardverwaltungstools aus Ihrem On-Premises-Active-Directory neue Benutzer und Gruppen hinzufügen und Passwörter aktualisieren. Auf diese Weise können Sie Ihre Sicherheitsrichtlinien wie Ablauf von Kennwörtern, Kennwortverlauf und Kontosperrungen konsistent durchsetzen, unabhängig davon, ob Benutzer lokal oder in der Cloud auf Ressourcen zugreifen. AWS

Wann sollte dies verwendet werden?

AD Connector ist die beste Wahl, wenn Sie Ihr vorhandenes lokales Verzeichnis mit kompatiblen AWS Diensten verwenden möchten. Weitere Informationen finden Sie unter AD Connector.

Simple AD

Simple AD ist ein Microsoft Active Directory-kompatibles Verzeichnis AWS Directory Service , das von Samba 4 unterstützt wird. Simple AD unterstützt grundlegende Active Directory-Funktionen wie Benutzerkonten, Gruppenmitgliedschaften, Beitritt zu einer Linux-Domäne oder Windows basierten EC2 Instanzen, Kerberos-basiertes SSO und Gruppenrichtlinien. AWS bietet Überwachung, tägliche Snapshots und Wiederherstellung als Teil des Dienstes.

Simple AD ist ein eigenständiges Verzeichnis in der Cloud, in dem Sie Benutzeridentitäten erstellen und verwalten und den Zugriff auf Anwendungen verwalten können. Sie können viele vertraute Active-Directory-fähige Anwendungen und Tools verwenden, die grundlegende Active-Directory-Features erfordern. Simple AD ist mit den folgenden AWS Anwendungen kompatibel: Amazon WorkSpaces, Amazon WorkDocs, Amazon Quick Suite und Amazon WorkMail. Sie können sich auch AWS Management Console mit Simple AD AD-Benutzerkonten anmelden und AWS Ressourcen verwalten.

Simple AD unterstützt keine Multi-Faktor-Authentifizierung (MFA), Vertrauensstellungen, dynamische DNS-Updates, Schemaerweiterungen, Kommunikation über LDAPS, PowerShell AD-Cmdlets oder FSMO-Rollenübertragung. Simple AD ist nicht kompatibel mit RDS SQL Server. Kunden, die die Funktionen eines echten Microsoft Active Directory benötigen oder beabsichtigen, ihr Verzeichnis mit RDS SQL Server zu verwenden, sollten stattdessen AWS Managed Microsoft AD verwenden. Bitte überprüfen Sie, ob Ihre erforderlichen Anwendungen vollständig mit Samba 4 kompatibel sind, bevor Sie Simple AD verwenden. Weitere Informationen finden Sie unter https://www.samba.org.

Wann sollte dies verwendet werden?

Sie können Simple AD als eigenständiges Verzeichnis in der Cloud verwenden, um Windows Workloads zu unterstützen, die grundlegende Active Directory-Funktionen und kompatible AWS Anwendungen benötigen, oder um Linux-Workloads zu unterstützen, die einen LDAP-Dienst benötigen. Weitere Informationen finden Sie unter Simple AD.

Eine Liste der unterstützten Verzeichnistypen pro Region finden Sie unter Verfügbarkeit in der Region für AWS Directory Service.

Welche sollte man auswählen

Sie können Verzeichnisdienste mit der Kapazität und der Skalierbarkeit wählen, die Ihren Anforderungen am besten entsprechen. Anhand der folgenden Tabelle können Sie ermitteln, welche AWS Directory Service Verzeichnisoption für Ihr Unternehmen am besten geeignet ist.

Was müssen Sie als Nächstes tun?	Empfohlene AWS Directory Service Optionen
Ich benötige Active Directory oder LDAP für meine Anwendungen in der Cloud.	Verwenden Sie AWS Directory Service für Microsoft Active Directory (Standard Edition oder Enterprise Edition), wenn Sie ein aktuelles Microsoft Active Directory in der AWS Cloud benötigen, das Active Directory-fähige Workloads oder AWS Anwendungen und Dienste wie Amazon WorkSpaces und Amazon Quick Suite unterstützt, oder wenn Sie LDAP-Unterstützung für Linux-Anwendungen benötigen. Verwenden Sie den AWS Directory Service für Microsoft Active Directory (Hybrid Edition), um Ihr vorhandenes selbstverwaltetes AD um AWS Cloud AWS Directory Service Verwenden Sie AD Connector, wenn Sie Ihren lokalen Benutzern nur erlauben müssen, sich mit ihren Active Directory-Anmeldeinformationen bei AWS Anwendungen und Diensten anzumelden. Sie können AD Connector auch verwenden, um EC2 Amazon-Instances mit Ihrer bestehenden Active Directory-Domain zu verbinden. Verwenden Sie Simple AD, wenn Sie ein kleines, kostengünstiges Verzeichnis mit grundlegender Active-Directory-Kompatibilität benötigen, das mit Samba 4 kompatible Anwendungen unterstützt, oder wenn Sie LDAP-Kompatibilität für LDAP-fähige Anwendungen benötigen.
Ich entwickle SaaS-Anwendungen.	Verwenden Sie Amazon Cognito, wenn Sie umfangreiche SaaS-Anwendungen entwickeln und ein skalierbares Verzeichnis benötigen, um Ihre Abonnenten zu verwalten und zu authentifizieren, die mit Social Media-Identitäten arbeiten.

Was müssen Sie als Nächstes tun?

Empfohlene AWS Directory Service Optionen

Ich benötige Active Directory oder LDAP für meine Anwendungen in der Cloud.

Verwenden Sie AWS Directory Service für Microsoft Active Directory (Standard Edition oder Enterprise Edition), wenn Sie ein aktuelles Microsoft Active Directory in der AWS Cloud benötigen, das Active Directory-fähige Workloads oder AWS Anwendungen und Dienste wie Amazon WorkSpaces und Amazon Quick Suite unterstützt, oder wenn Sie LDAP-Unterstützung für Linux-Anwendungen benötigen.

Verwenden Sie den AWS Directory Service für Microsoft Active Directory (Hybrid Edition), um Ihr vorhandenes selbstverwaltetes AD um AWS Cloud AWS Directory Service

Verwenden Sie AD Connector, wenn Sie Ihren lokalen Benutzern nur erlauben müssen, sich mit ihren Active Directory-Anmeldeinformationen bei AWS Anwendungen und Diensten anzumelden. Sie können AD Connector auch verwenden, um EC2 Amazon-Instances mit Ihrer bestehenden Active Directory-Domain zu verbinden.

Verwenden Sie Simple AD, wenn Sie ein kleines, kostengünstiges Verzeichnis mit grundlegender Active-Directory-Kompatibilität benötigen, das mit Samba 4 kompatible Anwendungen unterstützt, oder wenn Sie LDAP-Kompatibilität für LDAP-fähige Anwendungen benötigen.

Ich entwickle SaaS-Anwendungen.

Verwenden Sie Amazon Cognito, wenn Sie umfangreiche SaaS-Anwendungen entwickeln und ein skalierbares Verzeichnis benötigen, um Ihre Abonnenten zu verwalten und zu authentifizieren, die mit Social Media-Identitäten arbeiten.

Weitere Informationen zu AWS Directory Service Verzeichnisoptionen finden Sie unter So wählen Sie Active Directory-Lösungen auf AWS.

Mit Amazon arbeiten EC2

Ein grundlegendes Verständnis von Amazon EC2 ist für die Verwendung unerlässlich AWS Directory Service. Wir empfehlen, dass Sie zuerst die folgenden Themen lesen:

Was ist Amazon EC2? im EC2 Amazon-Benutzerhandbuch.
Starten Sie eine EC2 Amazon-Instance im EC2 Amazon-Benutzerhandbuch.
EC2 Amazon-Sicherheitsgruppen für Ihre EC2 Instances im EC2 Amazon-Benutzerhandbuch.
Was ist Amazon VPC? im Amazon-VPC-Benutzerhandbuch.
Connect Sie Ihre VPC mithilfe AWS Virtual Private Network des Amazon VPC-Benutzerhandbuchs mit Remote-Netzwerken.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

AWS Verwaltetes Microsoft AD