- AWS Directory Service for Microsoft Active Directory
-
También conocido como AWS Managed Microsoft AD, el AWS Directory Service para Microsoft Active Directory funciona con un directorio real de Microsoft Windows Server Active Directory (AD), administrado por AWS en la nube de AWS. Le permite migrar una amplia gama de aplicaciones compatibles con Active Directory a la nube de AWS. AWS Managed Microsoft AD funciona con Microsoft
SharePoint, grupos de disponibilidad Always On de Microsoft SQL Server y muchas aplicaciones .NET. También es compatible con aplicaciones y servicios administrados por AWS, como Amazon WorkSpaces, Amazon WorkDocs, Amazon Quick Suite, Amazon Chime, Amazon Connect y Amazon Relational Database Service para Microsoft SQL
Server (Amazon RDS para SQL Server, Amazon RDS para Oracle y Amazon RDS para PostgreSQL).
AWS Managed Microsoft AD ha sido aprobado para aplicaciones en la nube de AWS sujetas al cumplimiento de la Ley de portabilidad y responsabilidad de los seguros médicos de EE. UU. (HIPAA) o del estándar de seguridad de datos del sector de las tarjetas de pago de EE. UU. (PCI DSS) cuando se habilita el cumplimiento para su directorio.
Todas las aplicaciones compatibles funcionan con credenciales de usuario que almacena en AWS Managed Microsoft AD. También puede conectarse a su infraestructura de AD existente con una relación de confianza y utilizar credenciales desde un directorio de Active Directory que se ejecute en las instalaciones o en Windows EC2. Si une instancias de EC2 a su AWS Managed Microsoft AD, los usuarios pueden obtener acceso a cargas de trabajo de Windows en la nube de AWS con la misma experiencia de inicio de sesión único (SSO) de Windows que cuando obtienen acceso a las cargas de trabajo en su red en las instalaciones.
AWS Managed Microsoft AD también admite casos de uso federados utilizando credenciales de Active Directory. Por sí solo, AWS Managed Microsoft AD le permite iniciar sesión en la Consola de administración de AWS. Con AWS IAM Identity Center, también puede obtener credenciales a corto plazo para su uso con el SDK de AWS y la CLI y utilizar las integraciones de SAML preconfiguradas para iniciar sesión en muchas aplicaciones en la nube. Al agregar Microsoft Entra Connect (antes conocido como Azure Active Directory Connect) y, de forma opcional, Active Directory Federation Service (AD FS), puede iniciar sesión en Microsoft Office 365 y en otras aplicaciones en la nube con las credenciales almacenadas en AWS Managed Microsoft AD.
El servicio incluye características clave que le permiten ampliar el esquema, administrar políticas de contraseñas y habilitar las comunicaciones de LDAP seguro a través de capa de conexión segura (SSL)/Transport Layer Security (TLS). También puede habilitar la autenticación multifactor (MFA) para AWS Managed Microsoft AD para proporcionar una capa de seguridad adicional cuando los usuarios obtienen acceso a aplicaciones de AWS desde Internet. Dado que Active Directory es un directorio LDAP, también puede utilizar AWS Managed Microsoft AD para la autenticación en Linux Secure Shell (SSH) y otras aplicaciones compatibles con LDAP.
AWS ofrece supervisión, instantáneas diarias y recuperación como parte del servicio: agrega usuarios y grupos a AWS Managed Microsoft AD y administra la política de grupo mediante herramientas conocidas de Active Directory que se ejecutan en un equipo Windows unido al dominio de AWS Managed Microsoft AD. También puede escalar el directorio mediante la implementación de controladores de dominio adicionales y ayudar a mejorar el desempeño de las aplicaciones distribuyendo solicitudes a través de un gran número de controladores de dominio.
AWS Managed Microsoft AD está disponible en dos ediciones: Standard y Enterprise.
-
Standard Edition: AWS Managed Microsoft AD (Standard Edition) está optimizado para servir como directorio principal para compañías pequeñas y medianas con hasta 5000 empleados. Le facilita suficiente capacidad de almacenamiento como para dar cabida a 30 000* objetos de directorio, como usuarios, grupos y equipos.
-
Enterprise Edition: AWS Managed Microsoft AD (Enterprise Edition) está diseñado para su uso en grandes organizaciones y compañías con hasta 500 000* objetos de directorio.
* Los límites superiores son aproximaciones. Su directorio podría admitir más o menos objetos de directorio en función del tamaño de los mismos, y el comportamiento y las necesidades de rendimiento de sus aplicaciones.
Cuándo se debe usar
El AWS Managed Microsoft AD es la mejor opción si necesita características reales de Active Directory para trabajar con aplicaciones de AWS o cargas de trabajo de Windows, incluido Amazon Relational Database Service para Microsoft SQL Server. También es la mejor opción si quiere un Active Directory independiente en la nube de AWS compatible con Office 365 o si necesita un directorio LDAP para trabajar con sus aplicaciones Linux. Para obtener más información, consulte AWS Managed Microsoft AD.
- AD Connector
-
El Conector AD es un servicio de proxy que proporciona una forma sencilla de conectar aplicaciones compatibles de AWS, como Amazon WorkSpaces, Amazon Quick Suite y Amazon EC2 para instancias de Windows
Server, al Microsoft Active Directory existente en las instalaciones. Con Conector AD, puede simplemente agregar una cuenta de servicio a su directorio Active Directory. Conector AD también elimina la necesidad de sincronización de directorios y los costos y dificultades que conlleva alojar una infraestructura de federación.
Al agregar usuarios a aplicaciones de AWS, como Amazon Quick Suite, Conector AD lee el directorio de Active Directory existente para crear listas de usuarios y grupos entre los que seleccionar. Cuando los usuarios inician sesión en las aplicaciones de AWS, Conector AD reenvía las solicitudes de inicio de sesión a los controladores del dominio de Active Directory en las instalaciones para su autenticación. Conector AD funciona con muchas aplicaciones y servicios de AWS, como Amazon WorkSpaces, Amazon WorkDocs, Amazon Quick Suite, Amazon Chime, Amazon Connect y Amazon WorkMail. También puede unir sus instancias de EC2 de Windows a su dominio de Active Directory en las instalaciones mediante Conector AD con una unión al dominio fluida. Conector AD también permite a los usuarios obtener acceso a la Consola de administración de AWS y administrar los recursos de AWS iniciando sesión con las credenciales existentes de Active Directory. Conector AD no es compatible con RDS SQL Server.
También puede utilizar Conector AD para habilitar la autenticación multifactor (MFA) para los usuarios de las aplicaciones de AWS conectándolo con su infraestructura de MFA basada en RADIUS existente. Esto proporciona una capa adicional de seguridad cuando los usuarios obtienen acceso a las aplicaciones de AWS.
Con Conector AD, podrá seguir administrando su dominio de Active Directory como lo hace ahora. Por ejemplo, puede agregar nuevos usuarios y grupos y actualizar contraseñas con las herramientas estándar de administración de Active Directory en su Active Directory local. Así, podrá aplicar políticas de seguridad que ya existan de forma coherente, como la fecha de vencimiento de la contraseña, el historial de contraseñas y los bloqueos de cuentas, tanto si los usuarios obtienen acceso a recursos en su entorno local o en la nube de AWS.
Cuándo se debe usar
Conector AD es la mejor opción si desea utilizar su directorio en las instalaciones con los servicios compatibles de AWS. Para obtener más información, consulte Conector de AD.
- Simple AD
-
Simple AD es un directorio compatible con Microsoft Active Directory desde AWS Directory Service y está basado en Samba 4. Simple AD admite características de Active Directory básicas, como cuentas de usuario, pertenencias a grupos, unión a un dominio Linux o a instancias de EC2 basadas en Windows, inicio de sesión único (SSO) basado en Kerberos y políticas de grupo. AWS facilita las tareas de supervisión, instantáneas diarias y recuperación como parte del servicio.
Simple AD es un directorio independiente en la nube que permite crear y administrar identidades de usuarios y administrar el acceso a las aplicaciones. Puede utilizar muchas aplicaciones y herramientas habituales compatibles con Active Directory que requieren las características básicas de Active Directory. Simple AD es compatible con las siguientes aplicaciones de AWS: Amazon WorkSpaces, Amazon WorkDocs, Amazon Quick Suite y Amazon WorkMail. También puede iniciar sesión en la Consola de administración de AWS con cuentas de usuario de Simple AD y administrar recursos de AWS.
Simple AD no es compatible con autenticación multifactor (MFA), relaciones de confianza, actualización dinámica de DNS, ampliaciones de esquemas, comunicación a través de LDAPS, cmdlets de PowerShell para AD ni transferencia de roles FSMO. Simple AD no es compatible con RDS SQL Server. Los clientes que necesiten las características de un directorio real de Microsoft Active Directory real o que contemplen el uso de su directorio con RDS SQL Server deben utilizar AWS Managed Microsoft AD. Compruebe que las aplicaciones que necesita sean totalmente compatibles con Samba 4 antes de usar Simple AD. Para obtener más información, visite https://www.samba.org.
Cuándo se debe usar
Puede utilizar Simple AD como un directorio independiente en la nube para las cargas de trabajo de Windows que requieran características básicas de Active Directory, aplicaciones compatibles de AWS o para las cargas de trabajo de Linux que necesiten un servicio LDAP. Para obtener más información, consulte AD sencillo.
