Prácticas recomendadas para Conector AD - AWS Directory Service
Configuración: requisitos previosProgramación de las aplicacionesUso del directorio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas para Conector AD

A continuación se indican algunas sugerencias y directrices que debe tener en cuenta para evitar problemas y sacar el máximo provecho del Conector AD.

Configuración: requisitos previos

Plantéese estas directrices antes de crear el directorio.

Compruebe que tena el tipo de directorio correcto

AWS Directory Service proporciona varias formas de usarlo Microsoft Active Directory con otros AWS servicios. Puede elegir el servicio de directorio con las características que necesita con un costo que se adapte a su presupuesto:

  • AWS Directory Service for Microsoft Active Directory es un servicio gestionado y Microsoft Active Directory alojado en la AWS nube con numerosas funciones. AWS Microsoft AD administrado es la mejor opción si tiene más de 5000 usuarios y necesita establecer una relación de confianza entre un directorio AWS hospedado y sus directorios locales.

  • AD Connector simplemente conecta su entorno local existente Active Directory a AWS. Conector AD es la mejor opción si desea utilizar su directorio en las instalaciones con los servicios de AWS .

  • Simple AD es un directorio de bajo coste y escala con Active Directory compatibilidad básica. Admite 5000 usuarios o menos, aplicaciones compatibles con Samba 4 y compatibilidad LDAP para aplicaciones compatibles con LDAP.

Para obtener una comparación más detallada de AWS Directory Service las opciones, consulte¿Cuál debe elegir?.

Asegúrese de que sus VPC y sus instancias se hayan configurado correctamente

Para gestionar y utilizar sus directorios, así como conectarse a ellos, debe configurar correctamente las VPC a las que están asociados los directorios. Consulte AWS Requisitos previos de Microsoft AD gestionado, Requisitos previos de Conector AD o Requisitos previos para Simple AD para obtener información sobre la seguridad de VPC y los requisitos de red.

Si está añadiendo una instancia a su dominio, asegúrese de que dispone de conectividad y acceso remoto a la instancia, tal y como se describe en Unir una EC2 instancia de Amazon a su AWS Microsoft AD gestionado Active Directory.

Sea consciente de sus límites

Obtenga información sobre los distintos límites de su tipo de directorio específico. El almacenamiento disponible y el tamaño total de los objetos son las únicas limitaciones en cuanto al número de objetos que puede almacenar en el directorio. Consulte cualquiera de las opciones AWS Cuotas administradas de Microsoft AD, Cuotas de Conector AD o Cuotas de Simple AD para obtener más información sobre el directorio que ha elegido.

Comprenda la configuración y el uso de los grupos de AWS seguridad de su directorio

AWS crea un grupo de seguridad y lo adjunta a las interfaces de red elásticas del directorio, a las que se puede acceder desde las VPC emparejadas o redimensionadas. AWS configura el grupo de seguridad para bloquear el tráfico innecesario al directorio y permite el tráfico necesario.

Modificación del grupo de seguridad del directorio

Si desea modificar la seguridad de los grupos de seguridad de sus directorios, puede hacerlo. Realice esos cambios únicamente si comprende completamente cómo funcionan los filtros de los grupos de seguridad. Para obtener más información, consulte Grupos de seguridad de Amazon EC2 para instancias de Linux en la Guía del usuario de Amazon EC2. Los cambios incorrectos pueden provocar la pérdida de comunicaciones con los equipos e instancias previstos. AWS recomienda que no intente abrir puertos adicionales al directorio, ya que esto reduce la seguridad del directorio. Lea detenidamente el Modelo de responsabilidad compartida de AWS.

aviso

Técnicamente, puede asociar el grupo de seguridad del directorio a otras instancias EC2 que cree. Sin embargo, no AWS recomienda esta práctica. AWS puede tener motivos para modificar el grupo de seguridad sin previo aviso para satisfacer las necesidades funcionales o de seguridad del directorio gestionado. Estos cambios afectan a cualquier instancia a la que asocie el grupo de seguridad del directorio y puede interrumpir el funcionamiento de las instancias asociadas. Además, al asociar el grupo de seguridad del directorio a las instancias EC2 se puede crear un posible riesgo de seguridad para las instancias EC2.

Configurar sitios y subredes en las instalaciones correctamente al usar Conector AD

Si la red en las instalaciones tiene definidos sitios de Active Directory, debe asegurarse de que las subredes de la VPC en la que reside el directorio del Conector AD estén definidas en un sitio de Active Directory y que no existen conflictos entre las subredes de la VPC y las subredes de sus otros sitios.

Para detectar los controladores de dominio, directorio del Conector AD utiliza el sitio de Active Directory cuyos rangos de direcciones IP de subred que sean próximos a los de la VPC que contienen el directorio del Conector AD. Si hay un sitio cuyas subredes tienen los mismos rangos de direcciones IP que los de su VPC, el directorio del Conector AD detectará los controladores de dominio en ese sitio, que puede no estar físicamente cerca de su región.

Comprenda las restricciones de nombre de usuario para AWS las aplicaciones

AWS Directory Service proporciona compatibilidad con la mayoría de los formatos de caracteres que se pueden utilizar en la construcción de nombres de usuario. Sin embargo, hay restricciones de caracteres que se aplican a los nombres de usuario que se utilizarán para iniciar sesión en AWS aplicaciones, como WorkSpaces Amazon WorkMail, WorkDocs Amazon o Amazon. QuickSight Estas restricciones requieren que no se utilicen los siguientes caracteres:

  • Espacios

  • Caracteres multibyte

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

nota

El símbolo @ se permite siempre que preceda a un sufijo UPN.

Programación de las aplicaciones

Antes de programar sus aplicaciones, tenga en cuenta lo siguiente:

Pruebas de carga antes de la puesta en producción

Asegúrese de hacer pruebas de laboratorio con aplicaciones y solicitudes que sean representativos de su carga de trabajo de producción para confirmar que el directorio puede adaptarse a la carga de su aplicación. Si necesita capacidad adicional, distribuya las cargas en varios directorios de AD Connector.

Uso del directorio

Estas son algunas sugerencias que tener en cuenta al utilizar su directorio.

Rotar con regularidad sus credenciales de administrador

Cambie la contraseña de administrador de la cuenta del servicio del Conector AD con regularidad y asegúrese de que la contraseña sea coherente con las políticas de contraseñas de Active Directory existentes. Para obtener instrucciones sobre cómo cambiar la contraseña de la cuenta del servicio, consulte Actualización de las credenciales de su cuenta de servicio de Conector AD en AWS Directory Service.

Utilizar directorios del Conector AD únicos para cada dominio

Los Conectores AD y sus dominios AD en las instalaciones deben tener una relación de confianza unívoca. Es decir, para cada dominio en las instalaciones, incluidos los dominios secundarios en un bosque de AD que desee autenticar, debe crear un Conector AD único. Cada Conector AD que cree deberá utilizar una cuenta de servicio diferente, incluso si está conectado al mismo directorio.

Compruebe si hay compatibilidad

Al utilizar AD Connector, debe asegurarse de que su directorio local sea y siga siendo compatible con AWS Directory Service s. Para obtener más información acerca de sus responsabilidades, consulte nuestro modelo de responsabilidad compartida.