Active Directory gerenciado pelo AMS - Guia do usuário avançado do AMS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Active Directory gerenciado pelo AMS

O AMS agora oferece um novo serviço chamado Managed Active Directory (também conhecido como Managed AD), que permite que o AMS cuide das operações de infraestrutura do Active Directory (AD), mantendo você no controle da administração do Active Directory.

O suporte do AMS para o Managed AD é semelhante ao suporte do AMS para o Amazon Relational Database Service (Amazon RDS). Em ambos os casos, AWS (incluindo o AMS) suporta a criação e o gerenciamento da infraestrutura que executa o serviço, enquanto você executa o controle de acesso e todas as funções administrativas. Este modelo tem as seguintes vantagens:

  • Limita os riscos de segurança: AWS e o AMS não precisa de privilégios administrativos em seu domínio.

  • Integrações diretas: você pode usar seu modelo de autorização atual e integrá-lo ao AD sem precisar interagir com o AMS.

Observações:

  • Nem o AMS nem você terão acesso aos controladores de domínio do AD gerenciado, portanto, nenhum software pode ser instalado nos controladores de domínio. Isso é importante porque soluções de terceiros que exigem a instalação de software em controladores de domínio não são permitidas.

    O Access funciona assim:

    • AWS Equipe do Directory Service: tem acesso aos controladores de domínio.

    • AMS: tem acesso ao Directory Service APIs para realizar determinadas ações no domínio. Essas ações incluem tirar instantâneos do AD, alterar o esquema do AD e outras ações.

    • Você: Tenha acesso ao domínio (AD) para criar usuários, grupos e assim por diante.

  • Recomendamos que você faça uma prova de conceito no AD gerenciado antes de migrar seu AD corporativo, porque nem todas as funcionalidades de um ambiente AD tradicional estão disponíveis em um ambiente de AD gerenciado.

  • O AMS não gerenciará nem fornecerá orientação sobre o gerenciamento do AD. Por exemplo, o AMS não fornecerá orientação sobre a estrutura da unidade organizacional, a estrutura da política de grupo, as convenções de nomenclatura de usuários do AD e assim por diante.

Funciona assim:

  1. O AMS integra um novo Conta da AWS para você, separado e adicional à sua conta do AMS, e provisiona um ambiente do Active Directory (AD) por meio do AWS Directory Service (consulte também O que é o AWS Directory Service? ).

    A seguir estão as informações que um integrador de sistemas precisaria coletar de você para que o AMS integrasse o Managed AD:

    • Informações da conta

      • ID da conta Conta da AWS que foi criada para seu AD gerenciado pelo AMS: número Conta da AWS

      • Região para integrar seu AD gerenciado para: Região da AWS

    • Informações gerenciadas do Active Directory:

      • Edição Microsoft AD: Padrão/Empresarial. O AWS Microsoft AD (Standard Edition) inclui 1 GB de armazenamento de objetos de diretório. Essa capacidade pode suportar até 5.000 usuários ou 30.000 objetos de diretório, incluindo usuários, grupos e computadores. O AWS Microsoft AD (Enterprise Edition) inclui 17 GB de armazenamento de objetos de diretório, que pode suportar até 100.000 usuários ou 500.000 objetos.

        Para obter mais informações, consulte AWS Directory Service FAQs.

      • FQDN de domínio: O FQDN do seu domínio AMS Managed AD.

      • Nome NetBIOS do domínio: o nome NetBIOS do seu domínio AMS Managed AD.

      • Números de contas padrão do AMS com as quais você gostaria de integrar o AD gerenciado (o AMS configura uma relação de confiança unidirecional do AD da conta padrão do AMS para o AD gerenciado)

      • As modificações no esquema do Active Directory são necessárias e, em caso afirmativo, quais modificações?

      • Por padrão, dois controladores de domínio são provisionados. Você precisa de mais? Em caso afirmativo, de quantos você precisa e por qual motivo?

    • Rede para informações gerenciadas do Active Directory:

      • CIDR gerenciado do AD VPC para controladores de domínio (um CIDR em seu intervalo de sub-rede privada para os controladores de domínio do AD gerenciado):

        • Sub-rede CIDR 1 para controladores de domínio: [seu CIDR precisa fazer parte do CIDR AD VPC AMS Managed]

        • Sub-rede CIDR 2 para controladores de domínio: [seu CIDR precisa fazer parte do CIDR AD VPC AMS Managed]

        Por exemplo:

        • CIDR gerenciado do AD VPC: 192.168.0.0/16

        • CIDR 1 para controladores de domínio: 192.168.1.0/24

        • CIDR 2 para controladores de domínio: 192.168.2.0/24

        Para evitar conflitos de endereço IP, certifique-se de que o CIDR gerenciado da AD VPC especificado não entre em conflito com nenhum outro CIDR de sub-rede privada que você esteja usando na sua rede corporativa.

      • Tecnologia VPN (opcional): [Direct Connect/Direct Connect e VPN]

        • Número do sistema autônomo BGP (ASN) do seu gateway: [ASN fornecido pelo cliente]

        • O endereço IP roteável pela Internet para a interface externa do seu gateway, o endereço deve ser estático: [Endereço IP fornecido pelo cliente]

        • Se sua conexão VPN requer rotas estáticas ou não: [sim/não]

  2. O AMS fornece a senha da conta de administrador para o ambiente AD e solicita que você redefina a senha para que os engenheiros do AMS não possam mais acessar seu ambiente AD.

  3. Para redefinir a senha da conta de administrador, conecte-se ao seu ambiente do Active Directory usando Usuários e Computadores do Active Directory (ADUC). O ADUC e outras Ferramentas de Administração de Servidor Remoto (RSAT) devem ser instalados e executados em hosts administrativos provisionados por você em uma infraestrutura que não seja do AMS. A Microsoft tem as melhores práticas para proteger esses hosts administrativos. Para obter informações, consulte Implementação de hosts administrativos seguros. Você gerencia seu ambiente do Active Directory usando esses hosts administrativos.

  4. Nas operações diárias, o AMS gerencia Conta da AWS até o lado do AWS Directory Service; por exemplo, configuração de VPC, backups do AD, criação e exclusão de confiança do AD e assim por diante. Você usa e gerencia seu ambiente AD; por exemplo, criação de usuários, criação de grupos, criação de políticas de grupo e assim por diante.

Para ver a tabela RACI mais recente, consulte a seção “Funções e responsabilidades” na seção Consulte a descrição do serviço.