Conceitos básicos do AWS Managed Microsoft AD - AWS Directory Service
Pré-requisitos do AWS Managed Microsoft ADCentro de Identidade do AWS IAMPré-requisitos do Pré-requisitos da autenticação multifatorCriação do AWS Managed Microsoft AD

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conceitos básicos do AWS Managed Microsoft AD

O AWS Managed Microsoft AD cria um Microsoft Active Directory totalmente gerenciado na Nuvem AWS, sendo habilitado pelo Windows Server 2019 e operando nos níveis funcionais de floresta e domínio do 2012 R2. Quando você cria um diretório do AWS Managed Microsoft AD, o Directory Service cria dois controladores de domínio e adiciona o serviço de DNS em seu nome. Os controladores de domínio são criados em diferentes sub-redes em uma Amazon VPC. Essa redundância ajuda a garantir que o diretório permaneça acessível, mesmo que ocorra uma falha. Se precisar de mais controladores de domínio, você pode adicioná-los posteriormente. Para obter mais informações, consulte Implantação de controladores de domínio adicionais do AWS Managed Microsoft AD.

Para uma demonstração e uma visão geral do AWS Managed Microsoft AD, assista ao vídeo YouTube a seguir.

Tópicos

Pré-requisitos para criar um AWS Managed Microsoft AD

Para criar um AWS Managed Microsoft AD Active Directory, você precisará de uma Amazon VPC com:

  • Pelo menos duas sub-redes. Cada uma das sub-redes deve estar em uma zona de disponibilidade diferente e deve ser do mesmo tipo de rede.

    Você pode usar o IPv6 para a VPC. Para obter mais informações, consulte Suporte do IPv6 para a VPC no Guia do usuário da Amazon Virtual Private Cloud.

  • A VPC deve ter uma locação de hardware padrão.

  • Não é possível criar um AWS Managed Microsoft AD em uma VPC usando endereços no espaço de endereço 198.18.0.0/15.

Se for necessário integrar o domínio do AWS Managed Microsoft AD a um domínio do Active Directory on-premises, será necessário ter os níveis funcionais de floresta e domínio para o domínio on-premises definidos como Windows Server 2003 ou posterior.

O Directory Service usa uma estrutura de duas VPCs. As instâncias do EC2 que compõem seu diretório são executadas fora da sua conta da AWS e são gerenciadas pela AWS. Elas têm dois adaptadores de rede ETH0 e ETH1. ETH0 é o adaptador de gerenciamento e existe fora da sua conta. ETH1 é criado em sua conta.

O intervalo IP de gerenciamento da rede ETH0 do seu diretório é 198.18.0.0/15.

Para obter um tutorial sobre como criar o ambiente da AWS e o AWS Managed Microsoft AD, consulte Tutoriais do laboratório de teste do AWS Managed Microsoft AD.

Centro de Identidade do AWS IAMPré-requisitos do

Se você planeja usar o Centro de Identidade do IAM com o AWS Managed Microsoft AD, é necessário garantir que o seguinte seja verdadeiro:

  • O diretório do AWS Managed Microsoft AD está configurado na conta de gerenciamento da sua organização da AWS.

  • Sua instância do Centro de Identidade do IAM está na mesma região em que o AWS Managed Microsoft AD está configurado.

Para obter mais informações, consulte Pré-requisitos do Centro de Identidade do IAM no Guia do usuário do Centro de Identidade do AWS IAM.

Pré-requisitos da autenticação multifator

Para oferecer suporte à autenticação multifator com o seu diretório do AWS Managed Microsoft AD, é necessário configurar seu servidor Remote Authentication Dial-In User Service (RADIUS) on-premises ou baseado em nuvem da maneira a seguir para que ele possa aceitar solicitações do diretório do AWS Managed Microsoft AD na AWS.

  1. No servidor RADIUS, crie dois clientes RADIUS para representarem os controladores de domínio (DCs) do AWS Managed Microsoft AD na AWS. Você deve configurar os dois clientes usando os seguintes parâmetros comuns (o servidor RADIUS pode variar):

    • Endereço (DNS ou IP): esse é o endereço de DNS para um dos DCs do AWS Managed Microsoft AD. Os dois endereços de DNS podem ser encontrados no console do AWS Directory Service na página Detalhes do diretório do AWS Managed Microsoft AD no qual você pretende usar a MFA. Os endereços de DNS exibidos representam os endereços IP de ambos os DCs do AWS Managed Microsoft AD que são usados pela AWS.

      nota

      Se seu servidor RADIUS oferecer suporte a endereços de DNS, é necessário criar apenas uma configuração de cliente RADIUS. Caso contrário, você deverá criar uma configuração de cliente RADIUS para cada DC do AWS Managed Microsoft AD.

    • Número da porta: configure o número da porta na qual seu servidor do RADIUS aceita conexões de cliente do RADIUS. A porta padrão do RADIUS é 1812.

    • Segredo compartilhado: digite ou gere um segredo compartilhado que o servidor do RADIUS usará para conectar-se aos clientes do RADIUS.

    • Protocolo: talvez seja necessário configurar o protocolo de autenticação entre os DCs do AWS Managed Microsoft AD e o servidor RADIUS. Os protocolos compatíveis são PAP, CHAP MS-CHAPv1 e MS-CHAPv2. O MS-CHAPv2 é recomendado porque fornece a segurança mais forte das três opções.

    • Nome do aplicativo: pode ser opcional em alguns servidores do RADIUS e normalmente identifica o aplicativo em mensagens ou relatórios.

  2. Configure sua rede existente para permitir tráfego de entrada dos clientes RADIUS (endereços de DNS dos DCs do AWS Managed Microsoft AD, consulte a etapa 1) na porta do servidor RADIUS.

  3. Adicione uma regra ao grupo de segurança do Amazon EC2 no domínio do AWS Managed Microsoft AD que permita tráfego de entrada do endereço de DNS do servidor RADIUS e do número da porta definido anteriormente. Para obter mais informações, consulte Adicionar regras a um grupo de segurança no Guia do usuário do EC2.

Para obter mais informações sobre o uso do AWS Managed Microsoft AD com MFA, consulte Como habilitar a autenticação multifator no AWS Managed Microsoft AD.

Criação do AWS Managed Microsoft AD

Para criar um novo AWS Managed Microsoft AD Active Directory, execute as etapas a seguir. Antes de iniciar este procedimento, verifique se você concluiu os pré-requisitos identificados em Pré-requisitos para criar um AWS Managed Microsoft AD.

Para criar um AWS Managed Microsoft AD

  1. No painel de navegação do console do AWS Directory Service, escolha Diretórios e escolha Configurar diretório.

  2. Na página Selecionar tipo do diretório, escolha AWS Managed Microsoft AD e, em seguida, Próximo.

  3. Na página Enter directory information (Inserir informações do diretório), forneça as seguintes informações:

    Edição

    Selecione a Standard Edition ou a Enterprise Edition do AWS Managed Microsoft AD. Para obter mais informações sobre edições, consulte AWS Directory Service for Microsoft Active Directory.

    Nome do DNS do diretório

    O nome completo do diretório, como corp.example.com.

    nota

    Se você planeja usar o Amazon Route 53 para DNS, o nome de domínio do AWS Managed Microsoft AD deve ser diferente do seu nome de domínio do Route 53. Problemas de resolução de DNS podem ocorrer se o Route 53 e o AWS Managed Microsoft AD compartilharem o mesmo nome de domínio.

    Nome de NetBIOS do diretório

    O nome curto do diretório, como CORP.

    Descrição do diretório

    Uma descrição opcional do diretório. Essa descrição pode ser alterada depois de criar o AWS Managed Microsoft AD.

    Senha do Admin

    A senha do administrador do diretório. O processo de criação do diretório cria uma conta de administrador com o nome de usuário Admin e essa senha. Você pode alterar a senha do administrador depois de criar o AWS Managed Microsoft AD.

    A senha não pode incluir a palavra "admin".

    A senha do administrador do diretório diferencia maiúsculas de minúsculas e deve ter de 8 a 64 caracteres, inclusive. Ela também precisa conter pelo menos um caractere de três das quatro categorias a seguir:

    • Letras minúsculas (a-z)

    • Letras maiúsculas (A-Z)

    • Números (0-9)

    • Caracteres não alfanuméricos (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Confirmar senha

    Digite a senha do administrador novamente.

    (Opcional) Gerenciamento de usuários e grupos

    Para habilitar o gerenciamento de usuários e grupos do AWS Managed Microsoft AD no Console de gerenciamento da AWS, selecione Gerenciar gerenciamento de usuários e grupos no Console de gerenciamento da AWS. Para obter mais informações sobre como usar o gerenciamento de usuários e grupos, consulte Gerencie usuários e grupos AWS gerenciados do Microsoft AD com oConsole de gerenciamento da AWS,AWS CLI, ou Ferramentas da AWS para PowerShell.

  4. Na página Choose VPC and subnets (Selecionar VPC e sub-redes), forneça as seguintes informações e selecione Next (Próximo).

    da VPC

    Selecione a VPC do diretório.

    Tipo de rede

    O sistema de endereçamento IP (Internet Protocol) associado à VPC e sub-redes.

    Selecione o bloco CIDR associado à VPC existente. Os recursos em sua sub-rede podem ser configurados para usar somente IPv4, somente IPv6 ou IPv4 e IPv6 (pilha dupla). Para obter mais informações, consulte Compare IPv4 e IPv6 no Guia do usuário da Amazon Virtual Private Cloud.

    Sub-redes

    Selecione as sub-redes para os controladores de domínio. As duas sub-redes deve estar em diferentes zonas de disponibilidade.

  5. Na página Review & create (Revisar e criar), analise as informações do diretório e faça as alterações necessárias. Quando as informações estiverem corretas, escolha Create directory (Criar diretório). A criação do diretório leva de 20 a 40 minutos. Depois de criado, o valor de Status é alterado para Ativo.

Para obter mais informações sobre o que é criado com o AWS Managed Microsoft AD, consulte o seguinte:

Artigos relacionados do blog de segurança da AWS