AWS Managed Microsoft AD의 사전 조건 AWS IAM Identity Center 사전 조건 다중 인증 사전 조건 AWS 관리형 Microsoft AD 생성

AWS Managed Microsoft AD 시작하기

AWS 관리형 Microsoft AD는 AWS 클라우드에서 완전 관리형 Microsoft Active Directory를 생성하고 Windows Server 2019에 의해 구동되며 2012 R2 포리스트 및 도메인 기능 수준에서 작동합니다. AWS Managed Microsoft AD를 사용하여 디렉터리를 생성하면 Directory Service가 자동으로 두 개의 도메인 컨트롤러를 생성하고 사용자를 대신하여 DNS 서비스를 추가합니다. 도메인 컨트롤러는 Amazon VPC 내의 서로 다른 서브넷에 생성됩니다. 이 중복으로 인해 장애가 발생하더라도 디렉터리에 액세스할 수 있습니다. 더 많은 도메인 컨트롤러가 필요할 경우 나중에 추가할 수 있습니다. 자세한 내용은 AWS 관리형 Microsoft AD에 대한 추가 도메인 컨트롤러 배포 섹션을 참조하세요.

AWS 관리Managed 형 Microsoft AD에 대한 데모 및 개요는 다음 YouTube 동영상을 참조하세요.

주제

AWS 관리형 Microsoft AD를 생성하기 위한 사전 조건

AWS Managed Microsoft AD Active Directory를 생성하려면 다음을 갖춘 Amazon VPC가 필요합니다.

최소 2개의 서브넷. 각 서브넷은 서로 다른 가용 영역에 있어야 하며, 네트워크 유형이 같아야 합니다.

VPC에 IPv6를 사용할 수 있습니다. 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서의 VPC에 IPv6 지원을 참조하세요.
VPC는 기본 하드웨어 테넌시를 가지고 있어야 합니다.
198.18.0.0/15 주소 공간의 주소를 사용해 VPC에서 AWS Managed Microsoft AD를 생성할 수 없습니다.

AWS Managed Microsoft AD 도메인을 기존 온프레미스 Active Directory 도메인과 통합해야 할 경우 온프레미스 도메인에 대한 포리스트 및 도메인 기능 수준이 Windows Server 2003 이상으로 설정되어야 합니다.

Directory Service는 2개의 VPC 구조를 사용합니다. 디렉터리가 AWS 계정 외부에서 실행되게 하고, AWS에서 관리하는 EC2 인스턴스. ETH0 및 ETH1라는 2개의 어댑터가 있습니다. ETH0는 관리 어댑터로써 계정 외부에 위치합니다. ETH1는 계정 내부에서 생성됩니다.

디렉터리 ETH0 네트워크의 관리 IP 범위는 198.18.0.0/15입니다.

AWS 환경 및 AWS 관리형 Microsoft AD를 생성하는 방법에 대한 자습서는 AWS Managed Microsoft AD 테스트 랩 자습서을 참조하세요.

AWS IAM Identity Center 사전 조건

AWS Managed Microsoft AD와 함께 IAM ID 센터를 사용하려는 경우 다음과 같은 사항을 충족하는지 확인해야 합니다.

AWS Managed Microsoft AD 디렉터리가 AWS 조직의 관리 계정에 설정되어 있습니다.
IAM ID 센터의 인스턴스가 AWS Managed Microsoft AD 디렉터리가 설정된 리전과 동일한 리전에 있습니다.

자세한 내용은 AWS IAM Identity Center 사용 설명서의 IAM ID 센터 사전 조건을 참조하세요.

다중 인증 사전 조건

AWS Managed Microsoft AD 디렉터리를 사용하여 다중 인증을 지원하려면 다음과 같은 방식으로 온프레미스 또는 클라우드 기반 원격 인증 전화 접속 사용자 서비스(RADIUS) 서버를 구성하여 AWS에서 AWS Managed Microsoft AD 디렉터리의 요청을 수락할 수 있도록 해야 합니다.

RADIUS 서버에서 두 개의 RADIUS 클라이언트를 생성해서 AWS에서 두 AWS Managed Microsoft AD 도메인 컨트롤러(DC)를 모두 표현합니다. 아래의 공통 파라미터를 이용해 두 클라이언트를 모두 구성해야 합니다(RADIUS 서버는 다를 수 있음).
- 주소(DNS 또는 IP): 이는 AWS Managed Microsoft AD DC 중 하나에 대한 DNS 주소입니다. 두 DNS 주소 모두 MFA 사용을 계획하고 있는 AWS Managed Microsoft AD 디렉터리의 세부 정보 페이지에 있는 AWS Directory Service 콘솔에서 찾을 수 있습니다. 표시된 DNS 주소는 AWS에서 사용하는 두 AWS Managed Microsoft AD DC 모두에 대한 IP 주소를 나타냅니다.
  
  참고
  RADIUS 서버가 DNS 주소를 지원하는 경우에는 오직 한 개의 RADIUS 클라이언트 구성만 생성해야 합니다. 그렇지 않으면 각 AWS Managed Microsoft AD DC마다 한 개의 RADIUS 클라이언트 구성을 생성해야 합니다.
- 포트 번호: RADIUS 서버가 RADIUS 클라이언트 연결을 수락하는 포트 번호를 설정합니다. 표준 RADIUS 포트는 1812입니다.
- 공유 보안: RADIUS 클라이언트를 연결하기 위해 RADIUS 서버가 사용할 공유 보안을 입력하거나 생성합니다.
- 프로토콜: AWS Managed Microsoft AD DC와 RADIUS 서버 간에 인증 프로토콜을 구성해야 할 수 있습니다. 지원 프로토콜로는 PAP, CHAP MS-CHAPv1, MS-CHAPv2이 있습니다. MS-CHAPv2는 세 가지 옵션을 가진 가장 강력한 보안을 제공한다는 점에서 권장됩니다.
- 애플리케이션 이름: 일부 RADIUS 서버에서는 옵션일 수 있으며, 보통 메시지나 보고서에서 애플리케이션을 식별합니다.
RADIUS 클라이언트(AWS Managed Microsoft AD DC DNS 주소, 1단계 참조)에서 RADIUS 서버 포트로의 인바운드 트래픽을 허용하도록 기존 네트워크를 구성합니다.
이전에 정의한 RADIUS 서버 DNS 주소 및 포트 번호에서 인바운드 트래픽을 허용하는 AWS Managed Microsoft AD 도메인에서 Amazon EC2 보안 그룹에 규칙을 추가합니다. 자세한 내용은 EC2 사용 설명서의 보안 그룹에 규칙 추가를 참조하세요.

AWS Managed Microsoft AD와 MFA를 함께 사용하는 방법에 대한 자세한 내용은 AWS 관리형 Microsoft AD에 대한 다중 인증 활성화 단원을 참조하세요.

AWS 관리형 Microsoft AD 생성

새 AWS Managed Microsoft AD Active Directory를 생성하려면 다음 단계를 수행합니다. 이 절차를 시작하기 전에 AWS 관리형 Microsoft AD를 생성하기 위한 사전 조건에 나와 있는 선행 조건을 충족했는지 확인합니다.

AWS 관리형 Microsoft AD를 생성하려면

AWS Directory Service 콘솔 탐색 창에서 디렉터리를 선택한 후 디렉터리 설정을 선택합니다.
Select directory type(디렉터리 유형 선택) 페이지에서 AWS Managed Microsoft AD를 선택하고 Next(다음)를 선택합니다.
디렉터리 정보 입력 페이지에서 다음 정보를 제공합니다.
Edition

AWS Managed Microsoft AD의 Standard Edition 또는 Enterprise Edition 중에서 선택하세요. 에디션에 대한 자세한 내용은 AWS Directory Service for Microsoft Active Directory를 참조하세요.

디렉터리 DNS 이름

디렉터리를 위한 정규화된 이름(예: corp.example.com)입니다.

참고
DNS에 Amazon Route 53을 사용하려면 AWS 관리형 Microsoft AD의 도메인 이름이 Route 53 도메인 이름과 달라야 합니다. Route 53과 AWS 관리형 Microsoft AD가 동일한 도메인 이름을 공유하는 경우 DNS 해결 문제가 발생할 수 있습니다.

디렉터리 NetBIOS 이름

디렉터리의 짧은 이름(예: CORP)입니다.

디렉터리 설명

디렉터리에 대한 선택적 설명을 입력합니다. 이 설명은 AWS 관리형 Microsoft AD를 생성한 후 변경할 수 있습니다.

관리자 암호
디렉터리 관리자의 암호입니다. 디렉터리 생성 프로세스에서는 사용자 이름 Admin와 이 암호를 사용하여 관리자 계정을 생성합니다. AWS 관리형 Microsoft AD를 생성한 후 관리자 암호를 변경할 수 있습니다.

암호에 "admin"이라는 말을 포함할 수 없습니다.

디렉터리 관리자 암호는 대소문자를 구분하며 길이가 8~64자 사이여야 합니다. 또한 다음 네 범주 중 세 개에 해당하는 문자를 1자 이상 포함해야 합니다.
소문자(a-z)

대문자(A-Z)

숫자(0-9)

영숫자 외의 특수 문자(~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
Confirm Password

관리자 암호를 다시 입력합니다.

(선택 사항) 사용자 및 그룹 관리

AWS Management 콘솔에서 AWS 관리형 Microsoft AD 사용자 및 그룹 관리를 활성화하려면 AWS Management 콘솔에서 사용자 및 그룹 관리를 선택합니다. 사용자 및 그룹 관리를 사용하는 방법에 대한 자세한 내용은 AWS Management 콘솔, AWS CLI, AWS Tools for PowerShell을 사용하여 AWS Managed Microsoft AD 사용자 및 그룹 관리을 참조하세요.
VPC 및 서브넷 선택 페이지에서 다음 정보를 제공한 후 다음을 선택합니다.

VPC

디렉터리에 대한 VPC를 선택합니다.

네트워크 유형

VPC 및 서브넷과 연결된 인터넷 프로토콜(IP) 주소 지정 시스템입니다.

기존 VPC와 연결된 CIDR 블록을 선택합니다. 서브넷의 리소스는 IPv4 전용, IPv6 전용 또는 IPv4와 IPv6(듀얼 스택)을 모두 사용하도록 구성할 수 있습니다. 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서의 IPv4 및 IPv6 비교를 참조하세요.

서브넷,

도메인 컨트롤러에 대한 서브넷을 선택합니다. 두 서브넷이 서로 다른 가용 영역에 있어야 합니다.
검토 및 생성 페이지에서 디렉터리 정보를 검토하고 필요한 사항을 변경합니다. 정보가 올바르면 디렉터리 생성을 선택합니다. 디렉터리 생성은 20~40분 정도 걸립니다. 생성이 완료되면 상태 값이 활성 상태로 변경됩니다.

AWS 관리형 Microsoft AD로 생성된 항목에 대한 자세한 내용은 다음을 참조하세요.

관련 AWS 보안 블로그 기사

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

평가 테스트 경고 메시지

AWS 관리형 Microsoft AD로 생성되는 항목