Active Directory géré par AMS - Guide de l'utilisateur avancé d'AMS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Active Directory géré par AMS

AMS propose désormais un nouveau service appelé Managed Active Directory (alias Managed AD) qui permet à AMS de prendre en charge les opérations de votre infrastructure Active Directory (AD), tout en vous permettant de garder le contrôle de votre administration Active Directory.

Le support AMS pour Managed AD est similaire au support AMS pour Amazon Relational Database Service (Amazon RDS). Dans les deux cas, AWS (y compris AMS) prend en charge la création et la gestion de l'infrastructure exécutant le service, tandis que vous effectuez le contrôle d'accès et toutes les fonctions d'administration. Ce modèle présente les avantages suivants :

  • Limite les risques de sécurité : AWS AMS n'a pas besoin de privilèges administratifs pour accéder à votre domaine.

  • Intégrations directes : vous pouvez utiliser votre modèle d'autorisation actuel et l'intégrer à AD sans avoir à vous interfacer avec AMS.

Remarques :

  • Ni AMS ni vous n'aurez accès à vos contrôleurs de domaine Managed AD. Aucun logiciel ne peut donc être installé sur les contrôleurs de domaine. Cela est important car les solutions tierces qui nécessitent l'installation de logiciels sur les contrôleurs de domaine ne sont pas autorisées.

    Access fonctionne comme suit :

    • AWS Équipe du Directory Service : a accès aux contrôleurs de domaine.

    • AMS : a accès au Directory Service APIs pour effectuer certaines actions sur le domaine. Ces actions incluent la prise de clichés AD, la modification du schéma AD et d'autres actions.

    • Vous : avez accès au domaine (AD) pour créer des utilisateurs, des groupes, etc.

  • Nous vous recommandons d'effectuer une validation de principe sur Managed AD avant de migrer votre AD d'entreprise, car toutes les fonctionnalités d'un environnement AD traditionnel ne sont pas disponibles dans un environnement AD géré.

  • AMS ne gérera ni ne fournira de conseils sur la gestion de vos annonces. Par exemple, AMS ne fournira pas de conseils sur la structure des unités organisationnelles, la structure des politiques de groupe, les conventions de dénomination des utilisateurs AD, etc.

Cela fonctionne comme suit :

  1. AMS intègre un nouveau compte Compte AWS pour vous, distinct de votre compte AMS et fournit un environnement Active Directory (AD) via AWS Directory Service (voir également Qu'est-ce qu'AWS Directory Service ? ).

    Voici les informations qu'un intégrateur de systèmes devra recueillir auprès de vous pour qu'AMS intègre Managed AD :

    • Informations relatives au compte

      • ID de compte créé pour votre AD géré par AMS : numéro Compte AWS Compte AWS

      • Région dans laquelle intégrer votre Managed AD pour : Région AWS

    • Informations Active Directory gérées :

      • Édition Microsoft AD : Standard/Enterprise. AWS Microsoft AD (édition standard) inclut 1 Go de stockage d'objets d'annuaire. Cette capacité peut prendre en charge jusqu'à 5 000 utilisateurs ou 30 000 objets de répertoire, y compris des utilisateurs, des groupes et des ordinateurs. AWS Microsoft AD (Enterprise Edition) inclut 17 Go de stockage d'objets d'annuaire, qui peut prendre en charge jusqu'à 100 000 utilisateurs ou 500 000 objets.

        Pour plus d'informations, consultez AWS Directory Service FAQs.

      • FQDN de domaine : le FQDN de votre domaine AMS Managed AD.

      • Nom NetBIOS du domaine : nom NetBIOS de votre domaine AMS Managed AD.

      • Numéros de compte des comptes standard AMS auxquels vous souhaitez intégrer Managed AD (AMS configure une confiance unidirectionnelle entre l'AD du compte AMS Standard et l'AD géré)

      • Des modifications du schéma Active Directory sont-elles nécessaires et, dans l'affirmative, quelles modifications ?

      • Par défaut, deux contrôleurs de domaine sont configurés. Il vous en faut plus ? Dans l'affirmative, de combien en avez-vous besoin et pour quelle raison ?

    • Mise en réseau pour les informations relatives à la gestion d'Active Directory :

      • CIDR AD VPC géré pour les contrôleurs de domaine (un CIDR dans votre plage de sous-réseaux privés pour les contrôleurs de domaine AD gérés) :

        • Sous-réseau CIDR 1 pour les contrôleurs de domaine : [votre CIDR doit faire partie du CIDR AD VPC géré par AMS]

        • Sous-réseau CIDR 2 pour les contrôleurs de domaine : [votre CIDR doit faire partie du CIDR AD VPC géré par AMS]

        Exemples :

        • CIDR AD VPC géré : 192.168.0.0/16

        • CIDR 1 pour les contrôleurs de domaine : 192.168.1.0/24

        • CIDR 2 pour les contrôleurs de domaine : 192.168.2.0/24

        Pour éviter les conflits d'adresses IP, assurez-vous que le CIDR AD VPC géré que vous spécifiez n'entre en conflit avec aucun autre CIDR de sous-réseau privé que vous utilisez dans votre réseau d'entreprise.

      • Technologie VPN (en option) : [Direct Connect/Direct Connect et VPN]

        • Numéro de système autonome BGP (ASN) de votre passerelle : [ASN fourni par le client]

        • Adresse IP routable par Internet pour l'interface externe de votre passerelle, l'adresse doit être statique : [Adresse IP fournie par le client]

        • Si votre connexion VPN nécessite ou non des itinéraires statiques : [oui/non]

  2. AMS vous fournit le mot de passe du compte administrateur pour l'environnement AD et vous demande de le réinitialiser afin que les ingénieurs AMS ne puissent plus accéder à votre environnement AD.

  3. Pour réinitialiser le mot de passe du compte administrateur, connectez-vous à votre environnement Active Directory à l'aide d'Active Directory Users and Computers (ADUC). L'ADUC et les autres outils d'administration de serveurs distants (RSAT) doivent être installés et exécutés sur des hôtes administratifs que vous avez fournis sur une infrastructure autre qu'AMS. Microsoft applique les meilleures pratiques pour sécuriser ces hôtes administratifs. Pour plus d'informations, consultez la section Implémentation d'hôtes administratifs sécurisés. Vous gérez votre environnement Active Directory à l'aide de ces hôtes administratifs.

  4. Dans le Compte AWS cadre de ses opérations quotidiennes, AMS gère tout ce qui concerne les services d' AWS annuaire ; par exemple, la configuration des VPC, les sauvegardes AD, la création et la suppression d'AD Trust, etc. Vous utilisez et gérez votre environnement AD ; par exemple, la création d'utilisateurs, la création de groupes, la création de politiques de groupe, etc.

Pour le tableau RACI le plus récent, consultez la section « Rôles et responsabilités » dans la section Voir la description du service.