Escenario 5: AWS Microsoft AD utiliza una Nube Privada Virtual (VPC) de servicios compartidos

En este escenario, que se muestra en la siguiente figura, se implementa un AD AWS gestionado en la AWS nube, que proporciona servicios de autenticación para cargas de trabajo que ya están alojadas AWS o que se prevé que formen parte de una migración más amplia. La mejor práctica recomendada es tener Amazon WorkSpaces en una VPC dedicada. Los clientes también deberían crear una unidad organizativa AD específica para organizar los objetos de la WorkSpaces computadora.

Para realizar la implementación WorkSpaces con una VPC de servicios compartidos que aloje un AD gestionado, implemente un AD Connector (ADC) con una cuenta de servicio de ADC creada en el AD gestionado. La cuenta de servicio requiere permisos para crear objetos de ordenador en la OU WorkSpaces designada en el AD gestionado de servicios compartidos.

Ejemplo de arquitectura que muestra una implementación de AD Connector WorkSpaces con una VPC de servicios compartidos que aloja un AD gestionado.

Figura 10: AWS Microsoft AD mediante una VPC de servicios compartidos

Esta arquitectura utiliza los siguientes componentes o construcciones.

AWS

Amazon VPC: creación de una Amazon VPC con al menos dos subredes privadas en dos zonas de disponibilidad (dos para AD Connector y). WorkSpaces
Conjunto de opciones de DHCP: creación de un conjunto de opciones de DHCP de Amazon VPC. Esto permite al cliente definir un nombre de dominio y un DNS (Microsoft AD) específicos. Para obtener más información, consulte los conjuntos de opciones de DHCP.
Opcional: puerta de enlace privada virtual de Amazon: habilita la comunicación con una red propiedad del cliente a través de un túnel VPN (VPN) o una conexión IPSec. AWS Direct Connect Se utiliza para acceder a los sistemas de back-end locales.
AWS Directory Service: Microsoft AD implementado en un par dedicado de subredes de VPC (AD DS Managed Service), AD Connector
AWS Emparejamiento de Transit Gateway/VPC: habilite la conectividad entre la VPC de Workspaces y la VPC de Shared Services
Amazon EC2: servidores RADIUS opcionales para MFA por parte del cliente.
Amazon WorkSpaces: WorkSpaces se implementan en las mismas subredes privadas que el AD Connector. Para obtener más información, consulte la sección Active Directory: sitios y servicios de este documento.

Cliente

Conectividad de red: VPN corporativa o AWS Direct Connect puntos finales.
Dispositivos de usuario final: dispositivos corporativos o BYOL para usuarios finales (como Windows, Mac, iPads, tabletas Android, cero clientes y Chromebooks) que se utilizan para acceder al servicio de Amazon. WorkSpaces Consulte la lista de aplicaciones cliente para ver los dispositivos y navegadores web compatibles.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Escenario 4: AWS Microsoft AD y una confianza transitiva bidireccional hacia el entorno local

Escenario 6: AWS Microsoft AD, VPC de servicios compartidos y confianza unidireccional con el entorno local