Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Direktori Aktif Terkelola AMS
AMS sekarang menawarkan layanan baru yang disebut Managed Active Directory (alias Managed AD) yang memungkinkan AMS untuk mengurus operasi infrastruktur Active Directory (AD) Anda, sambil menjaga Anda tetap mengendalikan administrasi Direktori Aktif Anda.
Dukungan AMS untuk Managed AD mirip dengan dukungan AMS untuk Amazon Relational Database Service (Amazon RDS). Dalam kedua kasus, AWS (termasuk AMS) mendukung pembuatan dan pengelolaan infrastruktur yang menjalankan layanan, sementara Anda melakukan kontrol akses dan semua fungsi administrasi. Model ini memiliki keunggulan sebagai berikut:
Membatasi risiko keamanan: AWS dan AMS tidak memerlukan hak administratif untuk domain Anda.
Integrasi langsung: Anda dapat menggunakan model otorisasi saat ini dan mengintegrasikannya dengan AD tanpa perlu berinteraksi dengan AMS.
Catatan:
Baik AMS maupun Anda tidak akan memiliki akses ke pengontrol domain AD Terkelola Anda, sehingga tidak ada perangkat lunak yang dapat diinstal pada pengontrol domain. Ini penting karena solusi pihak ketiga yang memerlukan perangkat lunak untuk diinstal pada pengontrol domain tidak diperbolehkan.
Access berfungsi seperti ini:
AWS Tim Directory Service: Memiliki akses ke pengontrol domain.
AMS: Memiliki akses ke Directory Service APIs untuk melakukan tindakan tertentu pada domain. Tindakan ini termasuk mengambil snapshot AD, mengubah skema AD, dan tindakan lainnya.
Anda: Memiliki akses ke domain (AD) untuk membuat pengguna, grup, dan sebagainya.
Kami menyarankan Anda melakukan bukti konsep pada AD Terkelola sebelum memigrasikan iklan perusahaan Anda, karena tidak semua fungsionalitas dari lingkungan AD tradisional tersedia di lingkungan AD Terkelola.
AMS tidak akan mengelola atau memberikan panduan tentang manajemen AD Anda. Misalnya, AMS tidak akan memberikan panduan tentang struktur Unit Organisasi, struktur kebijakan grup, konvensi penamaan pengguna AD, dan sebagainya.
Ini bekerja seperti ini:
AMS melakukan onboard baru Akun AWS untuk Anda, terpisah dari dan selain akun AMS Anda, dan menyediakan lingkungan Active Directory (AD) melalui AWS Directory Service (lihat juga Apa itu AWS Directory Service? ).
Berikut ini adalah informasi yang perlu dikumpulkan oleh integrator sistem dari Anda agar AMS dapat bergabung dengan AD Terkelola:
Informasi akun
ID akun Akun AWS yang dibuat untuk AD yang dikelola AMS: nomor Akun AWS
Wilayah untuk memasukkan iklan Terkelola Anda ke: Wilayah AWS
-
Informasi Direktori Aktif Terkelola:
Microsoft AD Edition: Standar/Perusahaan. AWS Microsoft AD (Edisi Standar) mencakup 1 GB penyimpanan objek direktori. Kapasitas ini dapat mendukung hingga 5.000 pengguna atau 30.000 objek direktori, termasuk pengguna, grup, dan komputer. AWS Microsoft AD (Enterprise Edition) mencakup penyimpanan objek direktori 17 GB, yang dapat mendukung hingga 100.000 pengguna atau 500.000 objek.
Untuk informasi selengkapnya, lihat AWS Directory Service FAQs
. Domain FQDN: FQDN untuk domain AMS Managed AD Anda.
Nama Domain NetBIOS: Nama NetBIOS untuk domain AMS Managed AD Anda.
Nomor akun akun standar AMS yang Anda inginkan untuk integrasi AD Terkelola (AMS mengonfigurasi kepercayaan satu arah dari AD akun AMS-Standard ke AD Terkelola)
Apakah modifikasi Active Directory Schema diperlukan dan jika demikian, modifikasi apa?
Secara default, dua pengontrol domain disediakan. Apakah Anda membutuhkan lebih banyak? Jika demikian, berapa banyak yang Anda butuhkan dan untuk alasan apa?
-
Jaringan untuk informasi Direktori Aktif Terkelola:
CIDR VPC AD terkelola untuk pengontrol domain (CIDR dalam rentang subnet pribadi Anda untuk pengontrol domain AD Terkelola):
Subnet CIDR 1 untuk pengontrol domain: [CIDR Anda, harus menjadi bagian dari AMS Managed AD VPC CIDR]
Subnet CIDR 2 untuk pengontrol domain: [CIDR Anda, harus menjadi bagian dari AMS Managed AD VPC CIDR]
Misalnya:
CIDR VPC AD Terkelola: 192.168.0.0/16
CIDR 1 untuk pengontrol domain: 192.168.1.0/24
CIDR 2 untuk pengontrol domain: 192.168.2.0/24
Untuk menghindari konflik alamat IP, pastikan CIDR VPC AD Terkelola yang Anda tentukan tidak bertentangan dengan CIDR subnet pribadi lainnya yang Anda gunakan di jaringan perusahaan Anda.
-
Teknologi VPN (opsional): [Direct Connect/Direct Connect dan VPN]
Nomor Sistem Otonomi BGP (ASN) gateway Anda: [ASN yang disediakan pelanggan]
Alamat IP yang dapat dirutekan Internet untuk antarmuka luar gateway Anda, alamatnya harus statis: [Alamat IP yang Diberikan Pelanggan]
Apakah koneksi VPN Anda memerlukan rute statis atau tidak: [ya/tidak]
AMS memberi Anda kata sandi akun Admin untuk lingkungan AD dan meminta Anda untuk mengatur ulang kata sandi sehingga teknisi AMS tidak dapat lagi mengakses lingkungan AD Anda.
Untuk mengatur ulang kata sandi akun Admin, sambungkan ke lingkungan Active Directory menggunakan Active Directory Users and Computers (ADUC). ADUC dan Remote Server Administration Tools (RSAT) lainnya harus diinstal dan dijalankan pada host Administratif yang disediakan oleh Anda pada infrastruktur non-AMS. Microsoft memiliki praktik terbaik untuk mengamankan host administratif tersebut. Untuk selengkapnya, lihat Menerapkan Host Administratif Aman
. Anda mengelola lingkungan Direktori Aktif Anda menggunakan host Administratif ini. Dalam operasi harian, AMS mengelola Akun AWS hingga ke sisi AWS Directory Service; misalnya, konfigurasi VPC, pencadangan AD, pembuatan dan penghapusan kepercayaan AD, dan sebagainya. Anda menggunakan, dan mengelola, lingkungan iklan Anda; misalnya, pembuatan pengguna, pembuatan grup, pembuatan kebijakan grup, dan sebagainya.
Untuk tabel RACI terbaru, lihat bagian “Peran dan Tanggung Jawab” di Lihat deskripsi Layanan.
