AMS 관리형 Active Directory - AMS 고급 사용 설명서

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AMS 관리형 Active Directory

AMS는 이제 AMS가 Active Directory(AD) 인프라 작업을 관리하는 동시에 Active Directory 관리를 제어할 수 있도록 하는 Managed Active Directory( Managed AD)라는 새로운 서비스를 제공합니다.

Managed AD에 대한 AMS 지원은 Amazon Relational Database Service(RDS)에 대한 AMS 지원과 유사합니다. 두 경우 모두 AWS (AMS 포함)는 액세스 제어 및 모든 관리 기능을 수행하는 동안 서비스를 실행하는 인프라의 생성 및 관리를 지원합니다. 이 모델의 장점은 다음과 같습니다.

  • 보안 위험을 제한합니다. AWS 또한 AMS에는 도메인에 대한 관리 권한이 필요하지 않습니다.

  • 직접 통합: AMS와 인터페이스할 필요 없이 현재 권한 부여 모델을 사용하고 AD와 통합할 수 있습니다.

참고:

  • AMS와 사용자 모두 Managed AD 도메인 컨트롤러에 액세스할 수 없으므로 도메인 컨트롤러에 소프트웨어를 설치할 수 없습니다. 이는 도메인 컨트롤러에 소프트웨어를 설치해야 하는 타사 솔루션이 허용되지 않기 때문에 중요합니다.

    액세스는 다음과 같이 작동합니다.

    • AWS 디렉터리 서비스 팀: 도메인 컨트롤러에 액세스할 수 있습니다.

    • AMS: 디렉터리 서비스 APIs에 액세스하여 도메인에서 특정 작업을 수행할 수 있습니다. 이러한 작업에는 AD 스냅샷 생성, AD 스키마 변경 및 기타 작업이 포함됩니다.

    • 사용자: 사용자, 그룹 등을 생성하기 위해 도메인(AD)에 액세스할 수 있습니다.

  • 기존 AD 환경의 모든 기능을 관리형 AD 환경에서 사용할 수 있는 것은 아니므로 기업 AD를 마이그레이션하기 전에 관리형 AD에 대한 개념 증명을 수행하는 것이 좋습니다.

  • AMS는 AD 관리를 관리하거나 이에 대한 지침을 제공하지 않습니다. 예를 들어 AMS는 조직 단위 구조, 그룹 정책 구조, AD 사용자 이름 지정 규칙 등에 대한 지침을 제공하지 않습니다.

다음과 같이 작동합니다.

  1. AMS는 AMS 계정과 AWS 계정 별개로 새를 온보딩하고 Directory Service를 통해 Active AWS Directory(AD) 환경을 프로비저닝합니다(AWS Directory Service란 무엇입니까? 참조).

    다음은 AMS가 Managed AD에 온보딩하기 위해 시스템 통합자가 사용자로부터 수집해야 하는 정보입니다.

    • 계정 정보

      • AMS 관리형 AD: AWS 계정 number에 대해 AWS 계정 생성된의 계정 ID

      • Managed AD를 온보딩할 리전: AWS 리전

    • 관리형 Active Directory 정보:

      • Microsoft AD Edition: Standard/Enterprise. AWS Microsoft AD(Standard Edition)에는 1GB의 디렉터리 객체 스토리지가 포함되어 있습니다. 이 용량은 최대 5,000명의 사용자 또는 사용자, 그룹, 컴퓨터를 포함한 30,000개의 디렉터리 객체를 지원할 수 있습니다. AWS Microsoft AD(Enterprise Edition)에는 최대 100,000명의 사용자 또는 500,000개의 객체를 지원할 수 있는 17GB의 디렉터리 객체 스토리지가 포함되어 있습니다.

        자세한 내용은 AWS Directory Service FAQs.

      • 도메인 FQDN: AMS 관리형 AD 도메인의 FQDN입니다.

      • 도메인 NetBIOS 이름: AMS 관리형 AD 도메인의 NetBIOS 이름입니다.

      • Managed AD 통합을 원하는 AMS 표준 계정의 계정 번호(AMS는 AMS 표준 계정의 AD에서 Managed AD로의 단방향 신뢰 구성)

      • Active Directory 스키마 수정이 필요하고 필요한 경우 어떤 수정이 필요합니까?

      • 기본적으로 두 개의 도메인 컨트롤러가 프로비저닝됩니다. 더 필요합니까? 그렇다면 필요한 것은 몇 개이며 그 이유는 무엇입니까?

    • 관리형 Active Directory에 대한 네트워킹 정보:

      • 도메인 컨트롤러용 관리형 AD VPC CIDR(관리형 AD 도메인 컨트롤러용 프라이빗 서브넷 범위의 CIDR):

        • 도메인 컨트롤러용 서브넷 CIDR 1: [CIDR, AMS 관리형 AD VPC CIDR의 일부여야 함]

        • 도메인 컨트롤러용 서브넷 CIDR 2: [CIDR, AMS 관리형 AD VPC CIDR의 일부여야 함]

        예:

        • 관리형 AD VPC CIDR: 192.168.0.0/16

        • 도메인 컨트롤러의 CIDR 1: 192.168.1.0/24

        • 도메인 컨트롤러의 CIDR 2: 192.168.2.0/24

        IP 주소 충돌을 방지하려면 지정한 Managed AD VPC CIDR이 회사 네트워크에서 사용 중인 다른 프라이빗 서브넷 CIDR과 충돌하지 않도록 해야 합니다.

      • VPN 기술(선택 사항): [Direct Connect/Direct Connect 및 VPN]

        • 게이트웨이의 BGP 자율 시스템 번호(ASN): [고객 제공 ASN]

        • 게이트웨이 외부 인터페이스의 인터넷 라우팅 가능 IP 주소입니다. 주소는 정적이어야 합니다. [고객 제공 IP 주소]

        • VPN 연결에 정적 경로가 필요한지 여부: [예/아니요]

  2. AMS는 AD 환경에 대한 관리자 계정 암호를 제공하고 AMS 엔지니어가 더 이상 AD 환경에 액세스할 수 없도록 암호를 재설정하도록 요청합니다.

  3. 관리자 계정 암호를 재설정하려면 Active Directory 사용자 및 컴퓨터(ADUC)를 사용하여 Active Directory 환경에 연결합니다. ADUC 및 기타 원격 서버 관리 도구(RSAT)는 비 AMS 인프라에서 사용자가 프로비저닝한 관리 호스트에 설치하고 실행해야 합니다. Microsoft에는 이러한 관리 호스트를 보호하는 모범 사례가 있습니다. 자세한 내용은 보안 관리 호스트 구현을 참조하세요. 이러한 관리 호스트를 사용하여 Active Directory 환경을 관리합니다.

  4. 일상적인 작업에서 AMS는 VPC 구성, AD 백업, AD 신뢰 생성 및 삭제 등과 같은 사물의 AWS 디렉터리 서비스 측 AWS 계정 까지를 관리합니다. 사용자 생성, 그룹 생성, 그룹 정책 생성 등과 같은 AD 환경을 사용하고 관리합니다.

최신 RACI 테이블은 서비스 설명 참조의 "역할 및 책임" 섹션을 참조하세요.