El papel del AWS AD Connector en Amazon WorkSpaces - Mejores prácticas para la implementación WorkSpaces
La importancia de conectar su red AWS con un Active Directory localUso de la autenticación multifactor con WorkSpacesSeparar la cuenta y el dominio de recursosImplementaciones de Active Directory de gran tamañoUso de Microsoft Azure Active Directory o Active Directory Domain Services con WorkSpacesDimensionamiento del conector AD con WorkSpacesDimensionamiento de AWS Managed Microsoft AD

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

El papel del AWS AD Connector en Amazon WorkSpaces

El AWS AD Connector es un AWS Directory Service que actúa como un servicio proxy para un Active Directory. No almacena ni almacena en caché ninguna credencial de usuario, sino que reenvía las solicitudes de autenticación o búsqueda a Active Directory, ya sea local o local. AWS A menos que lo utilices AWS Managed Microsoft AD, también es la única forma de registrar tu Active Directory (local o ampliado AWS) para usarlo con Amazon WorkSpaces (WorkSpaces).

Un AD Connector puede apuntar a su Active Directory local, a un Active Directory extendido a AWS (controladores de dominio de AD en Amazon EC2) o a un. AWS Managed Microsoft AD

El AD Connector desempeña un papel importante en la mayoría de los escenarios de implementación que se describen en las siguientes secciones. El uso del AD Connector con WorkSpaces ofrece una serie de ventajas:

  • Cuando apunta a su Active Directory corporativo, permite a los usuarios usar sus credenciales corporativas existentes para iniciar sesión en WorkSpaces y otros servicios, como Amazon WorkDocs.

  • Puede aplicar de forma coherente las políticas de seguridad existentes (caducidad de contraseñas, bloqueos de cuentas, etc.) tanto si sus usuarios acceden a los recursos de su infraestructura local como si están en ella Nube de AWS, por ejemplo. WorkSpaces

  • El AD Connector permite una integración sencilla con su infraestructura de MFA basada en RADIUS existente para proporcionar una capa adicional de seguridad.

  • Permite la segregación de los usuarios. Por ejemplo, permite configurar varias WorkSpaces opciones por unidad de negocio o persona, ya que varios conectores AD pueden apuntar a los mismos controladores de dominio (servidores DNS) de Active Directory para la autenticación de los usuarios:

    • Dominio o unidad organizativa de destino para la aplicación específica de los objetos de política de grupo (GPO) de Active Directory

    • Diferentes grupos de seguridad para controlar el flujo de tráfico hacia/desde WorkSpaces

    • Diferentes opciones de control de acceso (dispositivos cliente permitidos) y grupos de control de acceso IP (limitan el acceso a los rangos de IP)

    • Habilitación selectiva de los permisos de administrador local

    • Diferentes permisos de autoservicio

    • Aplicación selectiva de la autenticación multifactor (MFA)

    • Colocación de las interfaces de red WorkSpaces elásticas (ENI) en diferentes VPC o subredes para aislarlas

Los conectores AD múltiples también permiten admitir una mayor cantidad de usuarios, si está alcanzando el límite de rendimiento de un solo conector AD pequeño o grande. Consulte la Dimensionamiento de AWS Managed Microsoft AD sección para obtener más información.

El uso de AD Connector con WorkSpaces es gratuito, siempre que tenga al menos un WorkSpaces usuario activo en un AD Connector pequeño y al menos 100 WorkSpaces usuarios activos en un AD Connector grande. Para obtener más información, consulta la página de precios de los servicios de AWS directorio.

WorkSpaces se basa en la conectividad con su Active Directory. Por lo tanto, la disponibilidad del enlace de red a su Active Directory es de suma importancia. Por ejemplo, si su enlace de red en el escenario 1 está inactivo, los usuarios no podrán autenticarse y, en consecuencia, no podrán usar el suyo WorkSpaces.

Si se va a utilizar un Active Directory local como parte del escenario, tendrá que tener en cuenta la resistencia, la latencia y el coste del tráfico de su enlace de red. AWS En una WorkSpaces implementación multirregional, esto puede implicar varios enlaces de red en diferentes AWS regiones o varios AWS Transit Gateway s con el emparejamiento establecido entre ellos para enrutar el tráfico de AD a la VPC con conectividad a su AD local. Estas consideraciones sobre los enlaces de red se aplican a la mayoría de los escenarios descritos en las siguientes secciones, pero son especialmente importantes en aquellos casos en los que el tráfico de AD procedente de los conectores de AD WorkSpaces necesita atravesar el enlace de red para llegar a tu Active Directory local. El escenario 1 destaca algunas de las advertencias.

Uso de la autenticación multifactor con WorkSpaces

Si planea usar la Autenticación Multi-Factor (MFA) WorkSpaces con, debe usar un AD AWS Connector o AWS Managed Microsoft AD un, ya que solo estos servicios permiten el registro del directorio para su uso WorkSpaces con RADIUS y su configuración. Para la ubicación de los servidores RADIUS, se aplican las consideraciones sobre los enlaces de red que se describen en la La importancia de conectar su red AWS con un Active Directory local sección.

Separar la cuenta y el dominio de recursos

Por motivos de seguridad o para mejorar la capacidad de administración, podría ser conveniente separar el dominio de la cuenta del dominio de los recursos. Por ejemplo, coloque los objetos WorkSpaces informáticos en un dominio de recursos independiente, mientras que los usuarios formen parte del dominio de la cuenta. Una implementación como esta se puede utilizar para permitir que una organización asociada administre el WorkSpaces uso de las políticas de grupo de AD en el dominio de recursos, sin ceder el control ni conceder acceso al dominio de la cuenta. Esto se puede lograr mediante el uso de dos Active Directory con una confianza de Active Directory configurada. En las siguientes secciones se describe este tema con más detalle:

Implementaciones de Active Directory de gran tamaño

Debe asegurarse de que los sitios y servicios de Active Directory estén configurados en consecuencia. Esto es especialmente importante si su Active Directory consta de una gran cantidad de controladores de dominio en diferentes ubicaciones geográficas. Sus Windows WorkSpaces utilizan el mecanismo estándar de Microsoft para detectar su controlador de dominio para el sitio de Active Directory al que están asignados. Este proceso de DC Locator se basa en el DNS y puede prolongarse considerablemente en caso de que se devuelva una larga lista de controladores de dominio con una prioridad y un peso inespecíficos en la fase inicial del proceso de DC Locator. Y lo que es más importante, si WorkSpaces se queda «anclado» a un controlador de dominio que no sea el óptimo, todas las comunicaciones posteriores con este controlador de dominio pueden verse afectadas por un aumento de la latencia de la red y una reducción del ancho de banda al atravesar enlaces de red de área amplia. Esto ralentizará cualquier comunicación con el controlador de dominio, incluido el procesamiento de un número potencialmente elevado de objetos de política de grupo (GPO) y las transferencias de archivos desde el controlador de dominio. Según la topología de la red, también puede aumentar el costo de la red, ya que los datos intercambiados entre los controladores de dominio WorkSpaces y los controladores de dominio podrían atravesar innecesariamente una ruta de red más costosa. Consulte Consideraciones sobre el diseño las secciones Diseño de VPC y para obtener información sobre DHCP y DNS con el diseño de la VPC y los sitios y servicios de Active Directory.

Uso de Microsoft Azure Active Directory o Active Directory Domain Services con WorkSpaces

Si piensa usar Microsoft Azure Active Directory con WorkSpaces, puede usar Azure AD Connect para sincronizar su identidad con su Active Directory local o con su Active Directory activado AWS (controlador de dominio en Amazon AWS Managed Microsoft AD EC2 o). Sin embargo, esto no le permitirá unirse WorkSpaces a su Azure Active Directory. Para obtener más información, consulte la documentación de Microsoft Hybrid Identity en la documentación de Microsoft Azure.

Si desea unirlo WorkSpaces a su Azure Active Directory, necesitará implementar los servicios de dominio de Microsoft Azure Active Directory (Azure AD DS), establecer la conectividad entre Azure AWS y Azure y usar un conector AWS AD que apunte a los controladores de dominio de Azure AD DS. Para obtener más información sobre cómo configurarlo, consulte la entrada del blog Agregar su WorkSpaces dispositivo a Azure AD mediante los servicios de dominio de Azure Active Directory.

Cuando AWS Directory Service utilices s with WorkSpaces, tendrás que tener en cuenta el tamaño de la WorkSpaces implementación y el crecimiento esperado para poder dimensionarla AWS Directory Service adecuadamente. En esta sección se proporcionan instrucciones sobre cómo dimensionar el dispositivo AWS Directory Service para usarlo con WorkSpaces. También le recomendamos que consulte las AWS Managed Microsoft AD secciones Prácticas recomendadas para AD Connector y Prácticas recomendadas de la Guía de AWS Directory Service administración.

Dimensionamiento del conector AD con WorkSpaces

El conector de Active Directory (conector AD) está disponible en dos tamaños, pequeño y grande. Si bien no se imponen límites de usuario o conexión, recomendamos utilizar un AD Connector pequeño para un máximo de 500 usuarios WorkSpaces autorizados y un conector AD grande para un máximo de 5000 usuarios WorkSpaces autorizados. Puede distribuir las cargas de aplicaciones en varios conectores AD Connector para adaptarlas a sus necesidades de rendimiento. Por ejemplo, si necesita dar soporte a 1500 WorkSpaces usuarios, puede distribuirlo WorkSpaces equitativamente entre tres AD Connector pequeños, cada uno de los cuales admite 500 usuarios. Si todos los usuarios residen en el mismo dominio, todos los AD Connector pueden apuntar al mismo conjunto de servidores DNS que resuelven su dominio de Active Directory.

Tenga en cuenta que si comenzó con un conector AD pequeño y su WorkSpaces implementación crece con el tiempo, puede solicitar un ticket de soporte para cambiar el tamaño de su AD Connector de pequeño a grande para poder gestionar la mayor cantidad de usuarios WorkSpaces autorizados.

Dimensionamiento de AWS Managed Microsoft AD

AWS Managed Microsoft ADle permite ejecutar Microsoft Active Directory como un servicio gestionado. Puede elegir entre la Edición Estándar y la Edición Empresarial al lanzar el servicio. La edición estándar se recomienda para pequeñas y medianas empresas con un máximo de 5000 usuarios y admite hasta unos 30 000 objetos de directorio, como usuarios, grupos y ordenadores. La edición Enterprise está diseñada para admitir hasta 500 000 objetos de directorio y también ofrece una función adicional, como la replicación multirregional.

Si necesita admitir más de 500 000 objetos de directorio, considere la posibilidad de implementar controladores de dominio de Microsoft Active Directory en Amazon EC2. Para conocer el tamaño de estos controladores de dominio, consulte el documento de Microsoft sobre la planificación de la capacidad para los servicios de dominio de Active Directory.