¿Qué es AWS Directory Service?

También conocido como Microsoft AD AWS administrado, AWS Directory Service para Microsoft Active Directory funciona con un Microsoft Windows Server Active Directory (AD) real, administrado AWS en la AWS nube. Le permite migrar a la nube una amplia gama de aplicaciones compatibles con Active Directory. AWS AWS Microsoft AD administrado funciona con Microsoft SharePoint grupos de disponibilidad Microsoft SQL Server Always On y con muchas aplicaciones.NET. También es compatible con aplicaciones y servicios AWS gestionados, como Amazon WorkSpaces, Amazon WorkDocs QuickSight, Amazon Chime, Amazon Connect y Amazon Relational Database Service para (Amazon RDS paraSQL Server, Microsoft SQL Server Amazon RDS para y Amazon RDS Oracle para PostgreSQL).

AWS Managed Microsoft AD está aprobado para aplicaciones en la AWS nube que están sujetas al cumplimiento de la Ley de Portabilidad y Responsabilidad de los Seguros de Salud (HIPAA) de EE. UU. o al Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) cuando habilita la conformidad para su directorio.

Todas las aplicaciones compatibles funcionan con las credenciales de usuario que almacenas en Microsoft AD AWS administrado, o puedes conectarte a tu infraestructura de AD existente con una confianza y usar las credenciales de un Active Directory que se ejecute de forma local o en EC2 Windows. Si unes EC2 las instancias a tu Microsoft AD AWS administrado, tus usuarios pueden acceder a las cargas de trabajo de Windows en la AWS nube con la misma experiencia de inicio de sesión único (SSO) de Windows que cuando acceden a las cargas de trabajo de tu red local.

AWS Microsoft AD administrado también admite casos de uso federados mediante credenciales de Active Directory. Por sí solo, AWS Managed Microsoft AD le permite iniciar sesión en AWS Management Console. Con AWS IAM Identity Center, también puede obtener credenciales a corto plazo para usarlas con el AWS SDK y la CLI, y usar integraciones SAML preconfiguradas para iniciar sesión en muchas aplicaciones en la nube. Al agregar Microsoft Entra Connect (antes conocido comoAzure Active Directory Connect) y, opcionalmente, el Servicio de federación de Active Directory (AD FS), puede iniciar sesión en Microsoft Office 365 y en otras aplicaciones en la nube con las credenciales almacenadas en Microsoft AD AWS administrado.

El servicio incluye características clave que le permiten ampliar el esquema, administrar políticas de contraseñas y habilitar las comunicaciones de LDAP seguro a través de capa de conexión segura (SSL)/Transport Layer Security (TLS). También puede habilitar la autenticación multifactor (MFA) para Microsoft AD AWS administrado a fin de proporcionar un nivel de seguridad adicional cuando los usuarios AWS accedan a las aplicaciones desde Internet. Dado que Active Directory es un directorio LDAP, también puede utilizar AWS Managed Microsoft AD para la autenticación en Linux Secure Shell (SSH) y otras aplicaciones compatibles con LDAP.

AWS proporciona supervisión, instantáneas diarias y recuperación como parte del servicio: se agregan usuarios y grupos a AWS Microsoft AD administrado y se administra la política de grupo mediante herramientas conocidas de Active Directory que se ejecutan en un Windows equipo unido al dominio de AWS Microsoft AD administrado. También puede escalar el directorio mediante la implementación de controladores de dominio adicionales y ayudar a mejorar el desempeño de las aplicaciones distribuyendo solicitudes a través de un gran número de controladores de dominio.

AWS Managed Microsoft AD está disponible en dos ediciones: Standard y Enterprise.

* Los límites superiores son aproximaciones. Su directorio podría admitir más o menos objetos de directorio en función del tamaño de los mismos, y el comportamiento y las necesidades de rendimiento de sus aplicaciones.

Cuándo se debe usar

AWS Managed Microsoft AD es su mejor opción si necesita funciones reales de Active Directory para admitir AWS aplicaciones o Windows cargas de trabajo, incluida Amazon Relational Database Service para. Microsoft SQL Server También es la mejor opción si desea un Active Directory independiente en la AWS nube que sea compatible con Office 365 o si necesita un directorio LDAP para admitir sus aplicaciones de Linux. Para obtener más información, consulte AWS Microsoft AD gestionado.

AD Connector es un servicio de proxy que proporciona una forma sencilla de conectar AWS aplicaciones compatibles, como Amazon WorkSpaces QuickSight, Amazon y Amazon EC2 for Windows Server instance, a su Microsoft Active Directory local existente. Con Conector AD, puede simplemente agregar una cuenta de servicio a su directorio Active Directory. Conector AD también elimina la necesidad de sincronización de directorios y los costos y dificultades que conlleva alojar una infraestructura de federación.

Cuando añades usuarios a AWS aplicaciones como Amazon QuickSight, AD Connector lee tu Active Directory existente para crear listas de usuarios y grupos entre los que elegir. Cuando los usuarios inician sesión en las AWS aplicaciones, AD Connector reenvía las solicitudes de inicio de sesión a los controladores de dominio de Active Directory locales para su autenticación. AD Connector funciona con muchas AWS aplicaciones y servicios WorkSpaces, como Amazon WorkDocs, Amazon QuickSight, Amazon, Amazon Chime, Amazon Connect y Amazon. WorkMail También puedes unir tus EC2 Windows instancias a tu dominio de Active Directory local a través de AD Connector mediante una unión de dominio perfecta. AD Connector también permite a los usuarios acceder a los AWS recursos AWS Management Console y administrarlos iniciando sesión con sus credenciales de Active Directory existentes. Conector AD no es compatible con RDS SQL Server.

También puede usar AD Connector para habilitar la autenticación multifactor (MFA) para los usuarios de AWS su aplicación conectándola a su infraestructura de MFA existente basada en RADIUS. Esto proporciona una capa adicional de seguridad cuando los usuarios obtienen acceso a las aplicaciones de AWS .

Con Conector AD, podrá seguir administrando su dominio de Active Directory como lo hace ahora. Por ejemplo, puede agregar nuevos usuarios y grupos y actualizar contraseñas con las herramientas estándar de administración de Active Directory en su Active Directory local. Esto le ayuda a aplicar de forma coherente sus políticas de seguridad, como la caducidad de las contraseñas, el historial de contraseñas y los bloqueos de cuentas, independientemente de si los usuarios acceden a los recursos de forma local o en la nube. AWS

Cuándo se debe usar

AD Connector es la mejor opción si desea utilizar su directorio local existente con AWS servicios compatibles. Para obtener más información, consulte Conector de AD.

Simple AD es un Microsoft directorio compatible con Active Directory AWS Directory Service que funciona con Samba 4. Simple AD admite funciones básicas de Active Directory, como cuentas de usuario, pertenencia a grupos, unirse a un dominio o EC2 instancias Windows basadas en Linux, SSO basado en Kerberos y políticas de grupo. AWS proporciona supervisión, instantáneas diarias y recuperación como parte del servicio.

Simple AD es un directorio independiente en la nube que permite crear y administrar identidades de usuarios y administrar el acceso a las aplicaciones. Puede utilizar muchas aplicaciones y herramientas habituales compatibles con Active Directory que requieren las características básicas de Active Directory. Simple AD es compatible con las siguientes AWS aplicaciones: Amazon WorkSpaces WorkDocs, Amazon QuickSight, Amazon y Amazon WorkMail. También puede iniciar sesión en las cuentas AWS Management Console de usuario de Simple AD y administrar AWS los recursos.

Simple AD no admite la autenticación multifactorial (MFA), las relaciones de confianza, la actualización dinámica de DNS, las extensiones de esquema, la comunicación a través de LDAPS PowerShell , los cmdlets de AD ni la transferencia de funciones FSMO. Simple AD no es compatible con RDS SQL Server. Los clientes que necesiten las funciones de un Microsoft Active Directory real o que tengan previsto utilizar su directorio con RDS SQL Server deberían utilizar AWS Microsoft AD administrado en su lugar. Compruebe que las aplicaciones que necesita sean totalmente compatibles con Samba 4 antes de usar Simple AD. Para obtener más información, visite https://www.samba.org.

Cuándo se debe usar

Puede usar Simple AD como un directorio independiente en la nube para admitir Windows cargas de trabajo que necesiten funciones básicas de Active Directory, AWS aplicaciones compatibles o para admitir cargas de trabajo de Linux que necesiten el servicio LDAP. Para obtener más información, consulte AD sencillo.