Skenario 4: AWS Microsoft AD dan kepercayaan transitif dua arah ke lokal - Praktik Terbaik untuk Menerapkan WorkSpaces
AWSPelanggan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Skenario 4: AWS Microsoft AD dan kepercayaan transitif dua arah ke lokal

Skenario ini, yang ditunjukkan pada gambar berikut, telah menerapkan AD AWS Terkelola di AWS Cloud, yang memiliki kepercayaan transitif dua arah ke AD lokal pelanggan. Pengguna dan WorkSpaces dibuat di AD Terkelola, dengan kepercayaan AD yang memungkinkan sumber daya diakses di lingkungan lokal.

Contoh arsitektur yang menampilkan AD AWS Terkelola yang diterapkan di AWS Cloud, yang memiliki kepercayaan transitif dua arah kepada AD lokal pelanggan.

Gambar 9: AWS Microsoft AD dan kepercayaan transitif dua arah ke lokal

Seperti dalam skenario 3, AD DS (Microsoft AD) digunakan ke subnet khusus yang menjangkau dua AZ, membuat AD DS sangat tersedia di Cloud. AWS

Skenario ini berfungsi dengan baik untuk pelanggan yang ingin memiliki AWS Directory Service yang dikelola sepenuhnya, termasuk penerapan, penambalan, ketersediaan tinggi, dan pemantauan Cloud mereka AWS . Skenario ini juga memungkinkan WorkSpaces pengguna untuk mengakses sumber daya yang bergabung dengan iklan di jaringan mereka yang ada. Skenario ini membutuhkan kepercayaan domain untuk berada di tempat. Kelompok keamanan dan aturan firewall perlu memungkinkan komunikasi antara dua direktori aktif.

Selain penempatan AWS Directory Service, gambar sebelumnya menguraikan arus lalu lintas dari pengguna ke ruang kerja, dan bagaimana ruang kerja berinteraksi dengan server AD dan server MFA.

Arsitektur ini menggunakan komponen atau konstruksi berikut.

AWS

  • Amazon VPC - Pembuatan VPC Amazon dengan setidaknya empat subnet pribadi di dua AZ - dua untuk AD DS Microsoft AD, dua untuk AD Connector atau. WorkSpaces

  • Set opsi DHCP - Pembuatan set opsi Amazon VPC DHCP. Hal ini memungkinkan pelanggan untuk menentukan nama domain tertentu dan DNS (Microsoft AD). Untuk informasi selengkapnya, lihat set opsi DHCP.

  • Opsional: Gateway pribadi virtual Amazon — Aktifkan komunikasi dengan jaringan milik pelanggan melalui terowongan VPN IPsec (VPN) atau koneksi. AWS Direct Connect Gunakan untuk mengakses sistem back-end lokal.

  • AWS Directory Service — Microsoft AD digunakan ke dalam sepasang subnet VPC khusus (AD DS Managed Service).

  • Amazon EC2 — Server RADIUS opsional Pelanggan untuk MFA.

  • Amazon WorkSpaces — WorkSpaces digunakan ke subnet pribadi yang sama dengan AD Connector. Untuk informasi selengkapnya, lihat bagian Direktori Aktif: Situs dan Layanan pada dokumen ini.

Pelanggan

  • Konektivitas Jaringan — VPN Perusahaan atau AWS Direct Connect titik akhir.

  • Perangkat pengguna akhir — Perangkat pengguna akhir perusahaan atau BYOL (seperti Windows, Mac, iPad, tablet Android, nol klien, dan Chromebook) yang digunakan untuk mengakses layanan Amazon. WorkSpaces Lihat daftar aplikasi klien untuk perangkat dan browser web yang didukung.

Solusi ini memerlukan konektivitas ke pusat data lokal pelanggan untuk memungkinkan proses kepercayaan beroperasi. Jika WorkSpaces pengguna menggunakan sumber daya di jaringan lokal, maka biaya transfer data latensi dan keluar perlu dipertimbangkan.