O que é AWS Directory Service?

Também conhecido como AWS Managed Microsoft AD, o AWS Directory Service for Microsoft Active Directory é desenvolvido por um Microsoft Windows Server Active Directory (AD) real, gerenciado pela AWS in the AWS Cloud. Ele permite que você migre uma ampla variedade de aplicativos com Active Directory reconhecimento de dados para a AWS nuvem. AWS O Microsoft AD gerenciado funciona com Microsoft SharePoint grupos de disponibilidade Microsoft SQL Server sempre ativos e muitos aplicativos.NET. Ele também oferece suporte a aplicativos e serviços AWS gerenciados WorkSpaces, incluindo Amazon WorkDocs, Amazon QuickSight, Amazon Chime, Amazon Connect e Amazon Relational Database Service para (Amazon RDS paraSQL Server, Microsoft SQL Server Amazon RDS para e Amazon RDS Oracle for PostgreSQL).

AWS O Microsoft AD gerenciado é aprovado para aplicativos na AWS nuvem que estão sujeitos à conformidade com a Lei de Portabilidade e Responsabilidade de Seguros de Saúde dos EUA (HIPAA) ou com o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) quando você habilita a conformidade para seu diretório.

Todos os aplicativos compatíveis funcionam com credenciais de usuário que você armazena no Microsoft AD AWS gerenciado, ou você pode se conectar à sua infraestrutura existente do AD com uma relação de confiança e usar credenciais de uma Active Directory execução local ou no Windows. EC2 Se você unir EC2 instâncias ao seu Microsoft AD AWS gerenciado, seus usuários poderão acessar cargas de trabalho do Windows na AWS nuvem com a mesma experiência de login único (SSO) do Windows de quando acessam cargas de trabalho em sua rede local.

AWS O Microsoft AD gerenciado também oferece suporte a casos de uso federados usando Active Directory credenciais. Sozinho, o AWS Managed Microsoft AD permite que você entre no AWS Management Console. Com AWS IAM Identity Center, você também pode obter credenciais de curto prazo para uso com o AWS SDK e a CLI e usar integrações SAML pré-configuradas para fazer login em vários aplicativos em nuvem. Ao adicionar Microsoft Entra Connect (anteriormente conhecido comoAzure Active Directory Connect) e, opcionalmente, o Serviço de Active Directory Federação (AD FS), você pode entrar Microsoft Office 365 em outros aplicativos em nuvem com credenciais armazenadas no Managed AWS Microsoft AD.

O serviço inclui os principais recursos que permitem estender seu esquema, gerenciar políticas de senha e habilitar as comunicações LDAP por meio de Secure Socket Layer (SSL)/Transport Layer Security (TLS). Você também pode habilitar a autenticação multifator (MFA) para o AWS Managed Microsoft AD para fornecer uma camada adicional de segurança quando os usuários AWS acessam aplicativos pela Internet. Como o Active Directory é um diretório LDAP, você também pode usar a autenticação do AWS Managed Microsoft AD para Secure Shell (SSH) do Linux e para outras aplicações habilitadas para LDAP.

AWS fornece monitoramento, instantâneos diários e recuperação como parte do serviço — você adiciona usuários e grupos ao Managed AWS Microsoft AD e administra a Política de Grupo usando Active Directory ferramentas familiares executadas em um Windows computador associado ao domínio Managed AWS Microsoft AD. Você também pode dimensionar o diretório implantando controladores de domínio adicionais e pode ajudar a melhorar o desempenho do aplicativo distribuindo solicitações a um número maior de controladores de domínio.

AWS O Microsoft AD gerenciado está disponível em duas edições: Standard e Enterprise.

*Os limites superiores são aproximações. Seu diretório pode oferecer suporte a mais ou menos objetos de diretório, dependendo do tamanho dos objetos e do comportamento e das necessidades de desempenho de seus aplicativos.

Quando usar

AWS O Microsoft AD gerenciado é sua melhor opção se você precisar de Active Directory recursos reais para suportar AWS aplicativos ou Windows cargas de trabalho, incluindo o Amazon Relational Database Service for. Microsoft SQL Server Também é melhor se você quiser um diretório autônomo Active Directory na AWS nuvem que ofereça suporte ao Office 365 ou se precisar de um diretório LDAP para suportar seus aplicativos Linux. Para obter mais informações, consulte AWS Microsoft AD gerenciado.

O AD Connector é um serviço de proxy que fornece uma maneira fácil de conectar AWS aplicativos compatíveis, como Amazon WorkSpaces QuickSight, Amazon e Amazon, EC2 por Windows Server exemplo, ao seu local Microsoft Active Directory existente. Com o AD Connector, você pode simplesmente adicionar uma conta de serviço ao Active Directory. O AD Connector também elimina a necessidade de sincronização de diretórios ou o custo e a complexidade da hospedagem de uma infraestrutura de federação.

Quando você adiciona usuários a AWS aplicativos como o Amazon QuickSight, o AD Connector lê seus aplicativos existentes Active Directory para criar listas de usuários e grupos para selecionar. Quando os usuários fazem login nos AWS aplicativos, o AD Connector encaminha as solicitações de login para seus controladores de Active Directory domínio locais para autenticação. O AD Connector funciona com muitos AWS aplicativos e serviços, incluindo Amazon WorkSpaces, Amazon WorkDocs, Amazon QuickSight, Amazon Chime, Amazon Connect e Amazon. WorkMail Você também pode unir suas EC2 Windows instâncias ao seu Active Directory domínio local por meio do AD Connector usando uma união de domínio perfeita. O AD Connector também permite que seus usuários acessem AWS Management Console e gerenciem AWS os recursos fazendo login com suas Active Directory credenciais existentes. O AD Connector não é compatível com o RDS SQL Server.

Você também pode usar o AD Connector para habilitar a autenticação multifator (MFA) para os usuários do AWS seu aplicativo conectando-a à sua infraestrutura de MFA baseada em RADIUS existente. Isso fornece uma camada adicional de segurança quando os usuários acessam aplicativos da AWS .

Com o AD Connector, você continua gerenciando o Active Directory como sempre fez. Por exemplo, você adiciona novos usuários e grupos e atualiza senhas usando ferramentas de administração padrão do Active Directory no Active Directory on-premises. Isso ajuda você a aplicar consistentemente suas políticas de segurança, como expiração de senha, histórico de senhas e bloqueios de contas, independentemente de os usuários estarem acessando recursos no local ou na AWS nuvem.

Quando usar

O AD Connector é sua melhor opção quando você deseja usar seu diretório local existente com AWS serviços compatíveis. Para obter mais informações, consulte AD Connector.

O Simple AD é um diretório compatível com o Microsoft Active Directory do AWS Directory Service habilitado pelo Samba 4. O Simple AD oferece suporte a Active Directory recursos básicos, como contas de usuário, associações a grupos, ingresso em um domínio Linux ou EC2 instâncias Windows baseadas em Linux, SSO baseado em Kerberos e políticas de grupo. AWS fornece monitoramento, instantâneos diários e recuperação como parte do serviço.

O Simple AD é um diretório independente na nuvem que permite criar e gerenciar identidades de usuários e gerenciar o acesso a aplicações. Você pode usar muitas aplicações conhecidas compatíveis com o Active Directory e ferramentas que exigem recursos básicos do Active Directory. O Simple AD é compatível com os seguintes AWS aplicativos: Amazon WorkSpaces WorkDocs, Amazon QuickSight, Amazon e Amazon WorkMail. Você também pode entrar nas contas AWS Management Console de usuário do Simple AD e gerenciar AWS recursos.

O Simple AD não oferece suporte à autenticação multifator (MFA), relações de confiança, atualização dinâmica de DNS, extensões de esquema, comunicação por LDAPS PowerShell , cmdlets do AD ou transferência de função FSMO. O Simple AD não é compatível com o RDS SQL Server. Os clientes que precisam dos recursos de um diretório real Microsoft Active Directory ou que pretendem usar seu diretório com o RDS SQL Server devem usar o AWS Microsoft AD gerenciado em vez disso. Verifique se as aplicações necessárias são totalmente compatíveis com Samba 4 antes de usar o Simple AD. Para obter mais informações, consulte https://www.samba.org.

Quando usar

Você pode usar o Simple AD como um diretório independente na nuvem para oferecer suporte a Windows cargas de trabalho que precisam de Active Directory recursos básicos, AWS aplicativos compatíveis ou para suportar cargas de trabalho Linux que precisam do serviço LDAP. Para obter mais informações, consulte Simple AD.