Active Directory gestionado por AMS - Guía de usuario avanzada de AMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Active Directory gestionado por AMS

AMS ofrece ahora un nuevo servicio denominado Active Directory administrado (también conocido como Managed AD) que permite a AMS ocuparse de las operaciones de la infraestructura de Active Directory (AD) y, al mismo tiempo, mantener el control de la administración de Active Directory.

La compatibilidad de AMS con Managed AD es similar a la compatibilidad de AMS con Amazon Relational Database Service (Amazon RDS). En ambos casos AWS (incluido AMS), permite crear y gestionar la infraestructura en la que se ejecuta el servicio, además de realizar el control de acceso y todas las funciones de administración. Este modelo presenta las siguientes ventajas:

  • Limita los riesgos de seguridad: AWS además, AMS no necesita privilegios administrativos en tu dominio.

  • Integraciones directas: puedes usar tu modelo de autorización actual e integrarlo con AD sin necesidad de interactuar con AMS.

Notas:

  • Ni AMS ni usted tendrán acceso a sus controladores de dominio de AD gestionados, por lo que no se podrá instalar ningún software en los controladores de dominio. Esto es importante porque no se permiten soluciones de terceros que requieran la instalación de software en los controladores de dominio.

    El acceso funciona así:

    • AWS Equipo de Directory Service: tiene acceso a los controladores de dominio.

    • AMS: tiene acceso a Directory Service APIs para realizar determinadas acciones en el dominio. Estas acciones incluyen tomar instantáneas de AD, cambiar el esquema de AD y otras acciones.

    • Tú: tienes acceso al dominio (AD) para crear usuarios, grupos, etc.

  • Te recomendamos que realices una prueba de concepto del AD gestionado antes de migrar tu AD corporativo, ya que no todas las funciones de un entorno de AD tradicional están disponibles en un entorno de AD gestionado.

  • AMS no gestionará ni proporcionará orientación sobre la gestión de su AD. Por ejemplo, AMS no proporcionará orientación sobre la estructura de las unidades organizativas, la estructura de las políticas de grupo, las convenciones de nomenclatura de los usuarios de AD, etc.

Funciona así:

  1. AMS incorpora una nueva cuenta Cuenta de AWS para usted, independiente de su cuenta de AMS y además de ella, y aprovisiona un entorno de Active Directory (AD) a través de AWS Directory Service (consulte también ¿Qué es AWS Directory Service? ).

    La siguiente es la información que un integrador de sistemas tendría que recopilar sobre usted para que AMS incorpore Managed AD:

    • Información de la cuenta

      • ID de cuenta Cuenta de AWS que se creó para su AD gestionado por AMS: número Cuenta de AWS

      • Región en la que incorporar su AD gestionado: Región de AWS

    • Información de Active Directory administrado:

      • Edición Microsoft AD: estándar/empresarial. AWS Microsoft AD (edición estándar) incluye 1 GB de almacenamiento de objetos de directorio. Esta capacidad puede admitir hasta 5000 usuarios o 30 000 objetos de directorio, incluidos usuarios, grupos y ordenadores. AWS Microsoft AD (Enterprise Edition) incluye 17 GB de almacenamiento de objetos de directorio, que puede admitir hasta 100 000 usuarios o 500 000 objetos.

        Para obtener más información, consulte AWS Directory Service FAQs.

      • FQDN de dominio: el FQDN de su dominio de AD gestionado por AMS.

      • Nombre NetBIOS del dominio: el nombre NetBIOS de su dominio de AD gestionado por AMS.

      • Números de cuenta de las cuentas estándar de AMS con las que desea integrar el AD gestionado (AMS configura una confianza unidireccional entre el AD de la cuenta estándar de AMS y el AD gestionado)

      • ¿Es necesario modificar el esquema de Active Directory y, de ser así, qué modificaciones?

      • De forma predeterminada, se aprovisionan dos controladores de dominio. ¿Necesita más? Si es así, ¿cuántos necesita y por qué motivo?

    • Información sobre redes para Active Directory administrado:

      • CIDR de VPC de AD administrado para controladores de dominio (un CIDR en su rango de subredes privadas para los controladores de dominio de AD administrados):

        • Subred CIDR 1 para controladores de dominio: [su CIDR debe formar parte del CIDR de VPC AD gestionado por AMS]

        • Subred CIDR 2 para controladores de dominio: [su CIDR debe formar parte del CIDR de VPC AD gestionado por AMS]

        Por ejemplo:

        • CIDR de VPC AD gestionado: 192.168.0.0/16

        • CIDR 1 para controladores de dominio: 192.168.1.0/24

        • CIDR 2 para controladores de dominio: 192.168.2.0/24

        Para evitar conflictos de direcciones IP, asegúrese de que el CIDR de VPC de AD administrado que especifique no entre en conflicto con ningún otro CIDR de subred privada que utilice en la red corporativa.

      • Tecnología VPN (opcional): [Direct Connect/Direct Connect y VPN]

        • Número de sistema autónomo (ASN) BGP de su puerta de enlace: [ASN proporcionado por el cliente]

        • La dirección IP enrutable por Internet de la interfaz exterior de la puerta de enlace, debe ser estática: [Dirección IP proporcionada por el cliente]

        • Si su conexión VPN requiere o no rutas estáticas: [sí/no]

  2. AMS le proporciona la contraseña de la cuenta de administrador para el entorno de AD y le pide que restablezca la contraseña para que los ingenieros de AMS ya no puedan acceder a su entorno de AD.

  3. Para restablecer la contraseña de la cuenta de administrador, conéctese a su entorno de Active Directory mediante Active Directory Users and Computers (ADUC). El ADUC y otras herramientas de administración remota de servidores (RSAT) deben instalarse y ejecutarse en los hosts administrativos que usted haya aprovisionado en una infraestructura que no sea de AMS. Microsoft tiene las mejores prácticas para proteger dichos hosts administrativos. Para obtener más información, consulte Implementación de hosts administrativos seguros. El entorno de Active Directory se administra mediante estos hosts administrativos.

  4. En las operaciones diarias, AMS gestiona todo lo Cuenta de AWS relacionado con el AWS Directory Service; por ejemplo, la configuración de la VPC, las copias de seguridad de AD, la creación y eliminación de la confianza de AD, etc. Usted usa y administra su entorno de AD; por ejemplo, la creación de usuarios, la creación de grupos, la creación de políticas de grupo, etc.

Para ver la tabla RACI más reciente, consulte la sección «Funciones y responsabilidades» de la descripción del servicio See.