Permissões da conta de administrador e de grupo do AWS Managed Microsoft AD - AWS Directory Service
Contas privilegiadas de administrador de empresa e de administrador de domínio

Permissões da conta de administrador e de grupo do AWS Managed Microsoft AD

Ao criar um diretório do AWS Directory Service for Microsoft Active Directory, a AWS cria uma unidade organizacional (UO) para armazenar todos os grupos e contas relacionados à AWS. Para obter mais informações sobre essa UO, consulte O que é criado com o AWS Managed Microsoft AD. Isso inclui a conta de administrador. A conta de administrador tem permissões para executar as seguintes atividades administrativas comuns para sua UO:

A conta de administrador também possui direitos para executar as seguintes atividades de domínio:

  • Gerenciar configurações de DNS (adicionar, remover ou atualizar registros, zonas e encaminhadores)

  • Visualizar logs de eventos de DNS

  • Visualizar logs de eventos de segurança

Somente as ações listadas aqui são permitidas na conta de administrador. A conta de administrador também não tem permissões para quaisquer ações relacionadas a diretórios fora da sua UO específica, como a UO pai.

Considerações

  • AWS Os administradores de domínio da têm acesso administrativo total a todos os domínios hospedados na AWS. Consulte o contrato com a AWS e as Perguntas frequentes sobre proteção de dados da AWS para obter mais informações sobre como a AWS lida com o conteúdo, incluindo informações de diretório, armazenado por você nos sistemas da AWS.

  • Recomendamos que você não exclua nem renomeie essa conta. Se não desejar mais usar a conta, recomendamos definir uma senha longa (no máximo 64 caracteres aleatórios) e desabilitá-la.

nota

A AWS tem controle exclusivo dos usuários e grupos privilegiados do Administrador do Domínio e do Administrador da Empresa. Isso permite à AWS realizar o gerenciamento operacional do diretório.

Contas privilegiadas de administrador de empresa e de administrador de domínio

A AWS alterna automaticamente a senha do administrador interno para uma senha aleatória a cada 90 dias. Sempre que a senha do administrador interno é solicitada para uso humano, um ticket da AWS é criado e registrado com a equipe do Directory Service. As credenciais da conta são criptografadas e gerenciadas por canais seguros. Além disso, as credenciais da conta de administrador só podem ser solicitadas pela equipe de gerenciamento do Directory Service.

Para realizar o gerenciamento operacional de seu diretório, a AWS tem o controle exclusivo de contas com privilégios de administrador de empresa e de administrador de domínio. Isso inclui controle exclusivo da conta de administrador do Active Directory. A AWS protege essa conta automatizando o gerenciamento de senhas por meio do uso de um cofre de senhas. Durante a alternância automatizada da senha do administrador, a AWS cria uma conta de usuário temporário e concede a ela privilégios de administrador de domínio. Esta conta temporária é usado como um backup em caso de falha na rotação de senhas na conta do administrador. Depois que a AWS alterna com êxito a senha do administrador, a própria AWS exclui a conta temporária de administrador.

Normalmente, a AWS opera o diretório inteiramente por meio de automação. No caso de um processo de automação não conseguir resolver um problema operacional, talvez seja necessário que um engenheiro de suporte da AWS faça login em seu controlador de domínio (DC) para fins de diagnóstico. Nesses casos raros, a AWS implementa um sistema de solicitação/notificação para conceder acesso. Nesse processo, a automação da AWS cria uma conta de usuário com limite de tempo em seu diretório que tem permissões de administrador de domínio. A AWS associa a conta do usuário ao engenheiro designado para trabalhar em seu diretório. A AWS registra essa associação em nosso sistema de log e fornece ao engenheiro as credenciais a serem usadas. Todas as ações executadas pelo engenheiro serão registradas nos logs de eventos do Windows. Quando o tempo de alocado expirar, a automação excluirá a conta de usuário.

Você pode monitorar as ações de contas administrativas usando o recurso de encaminhamento de log do seu diretório. Esse recurso permite que você encaminhe eventos do AD Security para o sistema do CloudWatch, onde você pode implementar soluções de monitoramento. Para obter mais informações, consulte Como habilitar o encaminhamento de logs do Amazon CloudWatch Logs para o AWS Managed Microsoft AD.

Os IDs de eventos de segurança 4624, 4672 e 4648 são todos registrados quando alguém faz login em um DC de forma interativa. É possível visualizar o log de eventos de segurança do Windows para cada DC usando o Visualizador de Eventos do Microsoft Management Console (MMC) em um computador Windows associado ao domínio. Você também pode Como habilitar o encaminhamento de logs do Amazon CloudWatch Logs para o AWS Managed Microsoft AD para enviar todos os registros de eventos de segurança para o CloudWatch Logs em sua conta.

Ocasionalmente, é possível ver usuários criados e excluídos na UO Reserved da AWS. A AWS é responsável pelo gerenciamento e pela segurança de todos os objetos nesta UO e em qualquer outra UO ou contêiner em que não delegamos permissões para você acessar e gerenciar. É possível ver criações e exclusões nessa UO. Isso ocorre porque o Directory Service usa automação para alternar regularmente a senha do administrador do domínio. Quando a senha é alternada, um backup é criado para o caso da operação falhar. Quando a alternância for bem-sucedida, a conta de backup será excluída automaticamente. Além disso, no caso raro de acesso interativo ser necessário aos DCs para fins de solução de problemas, uma conta de usuário temporária é criada para ser usada por um engenheiro do Directory Service. Após o engenheiro concluir seu trabalho, a conta de usuário temporária será excluída. Observe que toda vez que credenciais interativas são solicitadas para um diretório, a equipe de gerenciamento do Directory Service é notificada.