AWS 매니지드 마이크로소프트 AD 시작하기 - AWS Directory Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 매니지드 마이크로소프트 AD 시작하기

AWS 관리형 Microsoft AD는 Windows 서버 Microsoft Active Directory 2019에 의해 구동되는 완전 관리형 Microsoft AD를 생성하며 2012 R2 포리스트 및 도메인 기능 수준에서 작동합니다. AWS 클라우드 AWS Managed Microsoft AD를 사용하여 디렉터리를 만드는 경우 도메인 컨트롤러 두 개를 AWS Directory Service 만들고 사용자 대신 DNS 서비스를 추가합니다. 도메인 컨트롤러는 Amazon VPC의 여러 서브넷에 생성됩니다. 이러한 중복성은 장애가 발생하더라도 디렉터리에 계속 액세스할 수 있도록 합니다. 더 많은 도메인 컨트롤러가 필요할 경우 나중에 추가할 수 있습니다. 자세한 정보는 추가 도메인 컨트롤러 배포을 참조하세요.

AWS 관리형 Microsoft AD 사전 요구 사항

AWS 관리형 Microsoft AD를 생성하려면 다음과 Active Directory 같은 기능을 갖춘 Amazon VPC가 필요합니다.

  • 최소 2개의 서브넷. 각 서브넷은 서로 다른 가용 영역에 있어야 합니다.

  • VPC는 기본 하드웨어 테넌시를 가지고 있어야 합니다.

  • 198.18.0.0/15 주소 공간의 주소를 사용하여 VPC에서 AWS 관리형 Microsoft AD를 만들 수는 없습니다.

AWS 관리형 Microsoft AD 도메인을 기존 온-프레미스 Active Directory 도메인과 통합해야 하는 경우 온프레미스 도메인의 포리스트 및 도메인 기능 수준을 Windows Server 2003 이상으로 설정해야 합니다.

AWS Directory Service 두 개의 VPC 구조를 사용합니다. 디렉터리를 구성하는 EC2 인스턴스는 AWS 계정 외부에서 실행되며 에서 관리합니다. AWSETH0ETH1라는 2개의 어댑터가 있습니다. ETH0는 관리 어댑터로써 계정 외부에 위치합니다. ETH1는 계정 내부에서 생성됩니다.

디렉터리 ETH0 네트워크의 관리 IP 범위는 198.18.0.0/15입니다.

AWS IAM Identity Center 사전 요구 사항

AWS 관리형 Microsoft AD와 함께 IAM ID 센터를 사용하려는 경우 다음 사항이 해당되는지 확인해야 합니다.

  • AWS 관리되는 Microsoft AD 디렉터리는 AWS 조직의 관리 계정에 설정되어 있습니다.

  • IAM ID 센터의 인스턴스는 AWS 관리형 Microsoft AD 디렉터리가 설정된 지역과 동일한 지역에 있습니다.

자세한 내용은 사용 설명서의 IAM ID 센터 사전 요구 사항을 참조하십시오. AWS IAM Identity Center

다중 인증 사전 조건

AWS 관리형 Microsoft AD 디렉터리를 사용하여 다단계 인증을 지원하려면 다음과 같은 방식으로 온-프레미스 또는 클라우드 기반 원격 인증 전화 접속 사용자 서비스 (RADIUS) 서버를 구성하여 에서 관리형 AWS Microsoft AD 디렉터리의 요청을 수락할 수 있도록 해야 합니다. AWS

  1. RADIUS 서버에서 AWS 관리되는 Microsoft AD 도메인 컨트롤러 (DC) 를 모두 나타내는 두 개의 RADIUS 클라이언트를 만드십시오. AWS아래의 공통 파라미터를 이용해 두 클라이언트를 모두 구성해야 합니다(RADIUS 서버는 다를 수 있음).

    • 주소 (DNS 또는 IP): AWS 관리형 Microsoft AD DC 중 하나의 DNS 주소입니다. 두 DNS 주소 모두 MFA를 사용하려는 AWS 관리형 Microsoft AD AWS 디렉터리의 세부 정보 페이지에 있는 디렉터리 서비스 콘솔에서 찾을 수 있습니다. 표시된 DNS 주소는 에서 사용하는 AWS 관리형 Microsoft AD DC의 두 IP 주소를 나타냅니다. AWS

      참고

      RADIUS 서버가 DNS 주소를 지원하는 경우에는 오직 한 개의 RADIUS 클라이언트 구성만 생성해야 합니다. 그렇지 않으면 각 AWS Managed Microsoft AD DC마다 한 개의 RADIUS 클라이언트 구성을 생성해야 합니다.

    • 포트 번호: RADIUS 서버가 RADIUS 클라이언트 연결을 수락하는 포트 번호를 설정합니다. 표준 RADIUS 포트는 1812입니다.

    • 공유 보안: RADIUS 클라이언트를 연결하기 위해 RADIUS 서버가 사용할 공유 보안을 입력하거나 생성합니다.

    • 프로토콜: AWS 관리되는 Microsoft AD DC와 RADIUS 서버 간에 인증 프로토콜을 구성해야 할 수 있습니다. 지원 프로토콜로는 PAP, CHAP MS-CHAPv1, MS-CHAPv2이 있습니다. MS-CHAPv2는 세 가지 옵션을 가진 가장 강력한 보안을 제공한다는 점에서 권장됩니다.

    • 애플리케이션 이름: 일부 RADIUS 서버에서는 옵션일 수 있으며, 보통 메시지나 보고서에서 애플리케이션을 식별합니다.

  2. RADIUS 클라이언트 (AWS 관리형 Microsoft AD DC DNS 주소, 1단계 참조) 에서 RADIUS 서버 포트로 향하는 인바운드 트래픽을 허용하도록 기존 네트워크를 구성합니다.

  3. 관리형 AWS Microsoft AD 도메인의 Amazon EC2 보안 그룹에 이전에 정의된 RADIUS 서버 DNS 주소 및 포트 번호로부터의 인바운드 트래픽을 허용하는 규칙을 추가합니다. 자세한 내용은 EC2 사용 설명서보안 그룹에 규칙 추가를 참조하세요.

AWS 관리형 Microsoft AD를 MFA와 함께 사용하는 방법에 대한 자세한 내용은 을 참조하십시오. AWS 관리형 Microsoft AD에 대한 다중 요소 인증을 활성화합니다.

AWS 관리형 Microsoft AD 만들기

디렉터리를 새로 생성하려면 다음 단계를 수행합니다. 이 절차를 시작하기 전에 AWS 관리형 Microsoft AD 사전 요구 사항에 나와 있는 선행 조건을 충족했는지 확인합니다.

AWS 관리형 Microsoft AD 디렉터리를 만들려면
  1. AWS Directory Service 콘솔 탐색 창에서 디렉터리를 선택한 후 디렉터리 설정을 선택합니다.

  2. Select directory type(디렉터리 유형 선택) 페이지에서 AWS Managed Microsoft AD를 선택하고 Next(다음)를 선택합니다.

  3. 디렉터리 정보 입력 페이지에서 다음 정보를 제공합니다.

    에디션

    AWS 관리형 Microsoft AD의 스탠다드 에디션 또는 엔터프라이즈 에디션 중에서 선택하세요. 에디션에 대한 자세한 내용은 AWS Directory Service for Microsoft Active Directory를 참조하세요.

    디렉터리 DNS 이름

    디렉터리를 위한 정규화된 이름(예: corp.example.com)입니다.

    참고

    DNS용 Amazon Route 53을 사용할 계획이라면 AWS 관리형 Microsoft AD의 도메인 이름은 Route 53 도메인 이름과 달라야 합니다. Route 53과 AWS 관리형 Microsoft AD가 동일한 도메인 이름을 공유하는 경우 DNS 확인 문제가 발생할 수 있습니다.

    디렉터리 NetBIOS 이름

    디렉터리의 짧은 이름(예: CORP)입니다.

    디렉터리 설명

    디렉터리에 대한 선택적 설명을 입력합니다.

    관리자 암호

    디렉터리 관리자의 암호입니다. 디렉터리 생성 프로세스에서는 사용자 이름 Admin와 이 암호를 사용하여 관리자 계정을 생성합니다.

    암호에 "admin"이라는 말을 포함할 수 없습니다.

    디렉터리 관리자 암호는 대소문자를 구분하며 길이가 8~64자 사이여야 합니다. 또한 다음 네 범주 중 세 개에 해당하는 문자를 1자 이상 포함해야 합니다.

    • 소문자(a-z)

    • 대문자(A-Z)

    • 숫자(0-9)

    • 영숫자 외의 특수 문자(~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    [Confirm password]

    관리자 암호를 다시 입력합니다.

  4. VPC 및 서브넷 선택 페이지에서 다음 정보를 제공한 후 다음을 선택합니다.

    VPC

    디렉터리에 대한 VPC입니다.

    서브넷

    도메인 컨트롤러에 대한 서브넷을 선택합니다. 두 서브넷이 서로 다른 가용 영역에 있어야 합니다.

  5. 검토 및 생성 페이지에서 디렉터리 정보를 검토하고 필요한 사항을 변경합니다. 정보가 올바르면 디렉터리 생성을 선택합니다. 디렉터리 생성은 20~40분 정도 걸립니다. 생성이 완료되면 상태 값이 활성 상태로 변경됩니다.

AWS 관리형 Microsoft AD 액티브 디렉터리로 생성되는 항목

AWS 관리형 Microsoft AD를 사용하여 Active Directory를 만드는 경우 사용자를 대신하여 다음 작업을 AWS Directory Service 수행합니다.

  • ENI(탄력적 네트워크 인터페이스)를 자동으로 생성하여 각 도메인 컨트롤러에 연결합니다. 각 ENI는 AWS Directory Service VPC와 도메인 컨트롤러 간의 연결에 필수적이며 절대 삭제해서는 안 됩니다. “디렉터리 id에 대해AWS 생성된 네트워크 인터페이스”라는 AWS Directory Service 설명으로 사용하도록 예약된 모든 네트워크 인터페이스를 식별할 수 있습니다. 자세한 내용은 Amazon EC2 사용 설명서의 엘라스틱 네트워크 인터페이스를 참조하십시오. AWS 관리형 Microsoft AD의 기본 DNS 서버는 클래스 없는 도메인 간 라우팅 (CIDR) +2에 있는 VPC DNS Active Directory 서버입니다. 자세한 내용은 Amazon VPC의 Amazon DNS 서버 사용 설명서를 참조하십시오.

    참고

    도메인 컨트롤러는 기본적으로 한 지역의 두 가용 영역에 배포되며 Amazon VPC (VPC) 에 연결됩니다. 백업은 하루에 한 번 자동으로 수행되며 Amazon EBS (EBS) 볼륨은 암호화되어 저장된 데이터를 안전하게 보호합니다. 장애가 발생한 도메인 컨트롤러는 동일한 IP 주소를 사용하여 동일한 가용 영역에서 자동으로 교체되며, 최신 백업을 사용하여 전체 재해 복구를 수행할 수 있습니다.

  • 내결함성 및 고가용성을 위해 두 개의 도메인 컨트롤러를 사용하여 VPC 내에서 Active Directory를 프로비저닝합니다. 디렉터리가 성공적으로 생성되고 활성 상태가 되면 복원력 및 성능을 높이기 위해 더 많은 도메인 컨트롤러를 프로비저닝할 수 있습니다. 자세한 정보는 추가 도메인 컨트롤러 배포을 참조하세요.

    참고

    AWS AWS 관리형 Microsoft AD 도메인 컨트롤러에 모니터링 에이전트를 설치할 수 없습니다.

  • 도메인 컨트롤러에서 들어오고 나가는 트래픽에 대한 네트워크 규칙을 설정하는 AWS 보안 그룹을 생성합니다. 기본 아웃바운드 규칙은 생성된 AWS 보안 그룹에 연결된 모든 트래픽 ENI 또는 인스턴스를 허용합니다. 기본 인바운드 규칙은 임의의 소스(0.0.0.0/0)에서 Active Directory에 필요한 포트를 통해 전달되는 트래픽만 허용합니다. 0.0.0.0/0 규칙은 도메인 컨트롤러에 대한 트래픽이 사용자 VPC, 다른 피어링된 VPC 또는 Transit AWS Direct Connect Gateway 또는 가상 사설망을 사용하여 연결한 네트워크에서 오는 트래픽으로 제한되므로 보안 취약성을 유발하지 않습니다. AWS 보안을 강화하기 위해 생성된 ENI에는 탄력적 IP가 연결되어 있지 않으며 사용자에게 해당 ENI에 탄력적 IP를 연결할 수 있는 권한이 없습니다. 따라서 AWS 관리형 Microsoft AD와 통신할 수 있는 유일한 인바운드 트래픽은 로컬 VPC 및 VPC 라우팅 트래픽입니다. 이러한 규칙을 변경하면 도메인 컨트롤러와 통신하지 못할 수도 있으므로 특히 주의하세요. 자세한 정보는 AWS 관리형 Microsoft AD의 모범 사례을 참조하세요. 기본적으로 다음과 같은 AWS 보안 그룹 규칙이 생성됩니다.

    인바운드 규칙

    프로토콜 포트 범위 소스 트래픽 유형 Active Directory 사용
    ICMP N/A 0.0.0.0/0 Ping LDAP Keep Alive, DFS
    TCP 및 UDP 53 0.0.0.0/0 DNS 사용자 및 컴퓨터 인증, 이름 확인, 신뢰
    TCP 및 UDP 88 0.0.0.0/0 Kerberos 사용자 및 컴퓨터 인증, 포리스트 수준 신뢰
    TCP 및 UDP 389 0.0.0.0/0 LDAP 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰
    TCP 및 UDP 445 0.0.0.0/0 SMB/CIFS 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰
    TCP 및 UDP 464 0.0.0.0/0 Kerberos 암호 변경/설정 복제, 사용자 및 컴퓨터 인증, 신뢰
    TCP 135 0.0.0.0/0 복제 RPC, EPM
    TCP 636 0.0.0.0/0 LDAP SSL 디렉터리, 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰
    TCP 1024~65535 0.0.0.0/0 RPC 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰
    TCP 3268 - 3269 0.0.0.0/0 LDAP GC 및 LDAP GC SSL 디렉터리, 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰
    UDP 123 0.0.0.0/0 Windows 시간 Windows 시간, 신뢰
    UDP 138 0.0.0.0/0 DFSN 및 NetLogon DFS, 그룹 정책
    모두 모두 sg-################## 모든 트래픽

    아웃바운드 규칙

    프로토콜 포트 범위 대상 트래픽 유형 Active Directory 사용
    모두 모두 sg-################## 모든 트래픽
  • Active Directory에서 사용하는 포트 및 프로토콜에 대한 자세한 내용은 Microsoft 설명서의 Windows용 서비스 개요 및 네트워크 포트 요구 사항을 참조하세요.

  • 사용자 이름 Admin과 지정된 암호를 사용하여 디렉터리 관리자 계정을 생성합니다. 이 계정은 사용자 OU(예: Corp > 사용자) 아래에 있습니다. 이 계정을 사용하여 클라우드에서 디렉터리를 관리합니다. AWS 자세한 정보는 관리자 계정에 대한 권한을 참조하세요.

    중요

    이 비밀번호를 꼭 저장해 두세요. AWS Directory Service 이 암호는 저장되지 않으며 검색할 수 없습니다. 하지만 AWS Directory Service 콘솔에서 또는 ResetUserPasswordAPI를 사용하여 비밀번호를 재설정할 수 있습니다.

  • 도메인 루트 아래에 다음 3개의 조직 단위(OU)를 생성합니다.

    OU 이름 설명

    AWS 위임된 그룹

    사용자에게 AWS 특정 권한을 위임하는 데 사용할 수 있는 모든 그룹을 저장합니다.
    AWS 예약됨 모든 AWS 관리별 계정을 저장합니다.
    <yourdomainname> 이 OU의 이름은 디렉터리 생성 시 입력한 NetBIOS 이름에 근거를 둡니다. NetBIOS 이름을 지정하지 않을 경우 Directory DNS 이름의 첫 부분으로 기본 설정됩니다. 예를 들어, corp.example.com의 경우 NetBIOS 이름은 corp입니다. 이 OU는 모든 관련 디렉터리 개체가 소유하고 AWS 있으며 모든 AWS관련 디렉터리 개체를 포함하고 있으며 사용자에게 전체 제어 권한이 부여됩니다. 이 OU에는 기본적으로 컴퓨터와 사용자라는 하위 OU가 있습니다. 예:
    • Corp

      • 컴퓨터

      • 사용자

  • AWS 위임된 그룹 OU에 다음 그룹을 생성합니다.

    그룹 이름 설명
    AWS 위임 계정 운영자 이 보안 그룹의 멤버는 암호 재설정 등의 제한된 계정 관리 기능을 갖습니다

    AWS 위임된 Active Directory 기반 활성화 관리자

    이 보안 그룹의 멤버는 Active Directory 볼륨 라이선스 정품 인증 객체를 생성할 수 있습니다. 그러면 기업에서 이 객체를 사용하여 도메인 연결을 통해 컴퓨터를 정품 인증할 수 있습니다.

    AWS 도메인 사용자에게 워크스테이션 위임 추가 이 보안 그룹의 멤버는 10개의 컴퓨터를 도메인에 조인할 수 있습니다.
    AWS 위임된 관리자 이 보안 그룹의 구성원은 AWS Managed Microsoft AD를 관리하고, OU의 모든 개체를 완전히 제어하고, AWS 위임된 그룹 OU에 포함된 그룹을 관리할 수 있습니다.
    AWS 위임: 개체 인증이 허용됨 이 보안 그룹의 구성원에게는 AWS 예약된 OU의 컴퓨터 리소스에 인증할 수 있는 기능이 제공됩니다 (선택적 인증이 활성화된 트러스트가 있는 온-프레미스 개체에만 필요).
    AWS 도메인 컨트롤러에 위임 인증 허용 이 보안 그룹의 멤버에게는 도메인 컨트롤러 OU의 컴퓨터 리소스에 대해 인증할 수 있는 기능이 제공됩니다(선택적 인증이 설정된 신뢰가 있는 온프레미스 객체에만 필요).

    AWS 위임된 삭제 객체 평생 관리자

    이 보안 그룹의 구성원은 삭제된 DeletedObjectLifetime 개체를 AD 휴지통에서 복구할 수 있는 기간을 정의하는 MSDs-개체를 수정할 수 있습니다.

    AWS 위임된 분산 파일 시스템 관리자 이 보안 그룹의 멤버는 FRS, DFS-R 및 DFS 이름 공간을 추가하고 제거할 수 있습니다.
    AWS 위임된 도메인 이름 시스템 관리자 이 보안 그룹의 멤버는 Active Directory 통합 DNS를 관리할 수 있습니다.
    AWS 위임된 동적 호스트 구성 프로토콜 관리자 이 보안 그룹의 멤버는 기업의 Windows DHCP 서버에 권한을 부여할 수 있습니다.
    AWS 위임된 엔터프라이즈 인증 기관 관리자 이 보안 그룹의 멤버는 Microsoft Enterprise Certificate Authority 인프라를 배포하고 관리할 수 있습니다.
    AWS 위임된 세분화된 암호 정책 관리자 이 보안 그룹의 멤버는 사전에 생성된 세분화된 암호 정책을 수정할 수 있습니다.
    AWS 위임된 FSx 관리자 이 보안 그룹의 멤버에게는 Amazon FSx 리소스를 관리하는 기능이 제공됩니다.
    AWS 위임된 그룹 정책 관리자 이 보안 그룹의 멤버는 그룹 정책 관리 작업(생성, 편집, 삭제, 연결)을 수행할 수 있습니다.
    AWS 위임된 Kerberos 위임 관리자 이 보안 그룹의 멤버는 컴퓨터 및 사용자 계정 객체에 대한 위임을 활성화할 수 있습니다.
    AWS 위임된 관리 서비스 계정 관리자 이 보안 그룹의 멤버는 관리형 서비스 계정을 생성하고 삭제할 수 있습니다.
    AWS 위임된 MS-NPRC 비준수 장치 이 보안 그룹의 구성원은 도메인 컨트롤러와의 보안 채널 통신 요구 대상에서 제외됩니다. 이 그룹은 컴퓨터 계정용입니다.
    AWS 위임된 원격 액세스 서비스 관리자 이 보안 그룹의 멤버는 RAS 및 IAS 서버 그룹에서 RAS 서버를 추가하고 제거할 수 있습니다.
    AWS 위임된 복제 디렉터리 변경 관리자 이 보안 그룹의 구성원은 Active Directory의 프로필 정보를 서버와 동기화할 수 있습니다. SharePoint
    AWS 위임된 서버 관리자 이 보안 그룹의 멤버는 모든 도메인 조인 컴퓨터의 로컬 관리자 그룹에 포함됩니다.
    AWS 위임된 사이트 및 서비스 관리자 이 보안 그룹의 멤버는 Active Directory 사이트 및 서비스에서 Default-First-Site-Name 객체의 이름을 변경할 수 있습니다.
    AWS 위임된 시스템 관리 관리자 이 보안 그룹의 멤버는 시스템 관리 컨테이너에서 객체를 생성하고 관리할 수 있습니다.
    AWS 위임된 터미널 서버 라이선스 관리자 이 보안 그룹의 멤버는 터미널 서버 라이선스 서버 그룹에서 터미널 서버 라이선스 서버를 추가하고 제거할 수 있습니다.
    AWS 위임된 사용자 계정 이름 접미사 관리자 이 보안 그룹의 멤버는 사용자 보안 주체 이름 접미사를 추가하고 제거할 수 있습니다.
  • 다음 GPO(그룹 정책 객체)를 생성하고 적용합니다.

    참고

    사용자는 이러한 GPO를 삭제, 수정, 연결 해제할 권한이 없습니다. 이는 사용하도록 예약되어 있으므로 의도적으로 설계된 것입니다. AWS 필요한 경우 제어하는 OU에 연결할 수 있습니다.

    그룹 정책 이름 적용 대상 설명
    기본 도메인 정책 도메인 도메인 암호 및 Kerberos 정책을 포함합니다.
    ServerAdmins 모든 비도메인 컨트롤러 컴퓨터 계정 AWS '위임된 서버 관리자'를 BUILTIN/Administrators 그룹의 구성원으로 추가합니다.
    AWS 예약 정책:사용자 AWS 예약된 사용자 계정 AWS 예약된 OU의 모든 사용자 계정에 대한 권장 보안 설정을 설정합니다.
    AWS 관리형 액티브 디렉터리 정책 모든 도메인 컨트롤러 모든 도메인 컨트롤러에 대해 권장되는 보안 설정을 지정합니다.
    TimePolicyNT5DS 모든 비PDCe 도메인 컨트롤러 모든 비PDCe 도메인 컨트롤러 시간 정책에서 Windows 시간(NT5DS)을 사용하도록 설정합니다.
    TimePolicyPDC PDCe 도메인 컨트롤러 PDCe 도메인 컨트롤러의 시간 정책에서 NTP(Network Time Protocol)를 사용하도록 설정합니다.
    기본 도메인 컨트롤러 정책 사용되지 않습니다 도메인 생성 중에 AWS 프로비전되는 관리형 Active Directory 정책이 대신 사용됩니다.

    각 GPO의 설정을 보려면 GPMC(그룹 정책 관리 콘솔)를 활성화한 상태에서 도메인에 조인된 Windows 인스턴스에서 해당 설정을 볼 수 있습니다.

관리자 계정에 대한 권한

Microsoft Active AWS Directory용 디렉터리 서비스를 만들면 AWS 관련된 모든 그룹과 계정을 저장할 OU (조직 구성 단위) 가 AWS 만들어집니다. 이 OU에 대한 자세한 내용은 AWS 관리형 Microsoft AD 액티브 디렉터리로 생성되는 항목를 참조하세요. 여기에는 관리자 계정이 포함됩니다. 관리자 계정은 해당 OU에 대해 다음과 같은 일반적인 관리 활동을 수행하는 권한을 가집니다.

  • 사용자, 그룹 및 컴퓨터를 추가하거나 업데이트하거나 삭제합니다. 자세한 정보는 AWS Managed Microsoft AD에서의 사용자 및 그룹 관리을 참조하세요.

  • 도메인(예: 파일 또는 인쇄 서버)에 리소스를 추가한 다음 OU 내의 사용자 및 그룹에 해당 리소스에 대한 권한 할당.

  • 추가 OU 및 컨테이너 생성.

  • 추가 OU 및 컨테이너의 권한을 위임합니다. 자세한 정보는 AWS Managed Microsoft AD에 대한 디렉터리 조인 권한 위임을 참조하세요.

  • 그룹 정책 생성 및 연결.

  • Active Directory 휴지통에서 삭제된 객체 복원.

  • 액티브 디렉터리 웹 서비스에서 액티브 디렉터리 및 DNS Windows PowerShell 모듈을 실행합니다.

  • 그룹 관리형 서비스 계정을 생성하고 구성합니다. 자세한 정보는 그룹 관리형 서비스 계정을 참조하세요.

  • Kerberos 제한된 위임을 구성합니다. 자세한 정보는 Kerberos 제한된 위임을 참조하세요.

또한 관리자 계정은 다음과 같은 도메인 차원 활동을 수행할 권한이 있습니다.

  • DNS 구성 관리(레코드, 영역 및 전달자 추가, 제거 또는 업데이트)

  • DNS 이벤트 로그 보기

  • 보안 이벤트 로그 보기

여기 나열된 작업만 관리자 계정에 허용됩니다. 관리자 계정은 특정 OU(예: 상위 OU) 외부의 디렉터리 관련 작업들에 대한 권한이 없습니다.

중요

AWS 도메인 관리자는 호스팅되는 모든 도메인에 대한 전체 관리 액세스 권한을 AWS가집니다. 디렉터리 정보를 포함하여 AWS 시스템에 저장하는 콘텐츠를 AWS 처리하는 방법에 대한 자세한 내용은 계약 AWS 및 AWS 데이터 보호 FAQ를 참조하십시오.

참고

이 계정을 삭제하거나 이름을 바꾸지 않는 것이 좋습니다. 계정을 더 이상 사용하지 않으려면 긴 암호(64자 이하의 임의 문자)를 설정한 다음 계정을 비활성화하는 것이 좋습니다.

엔터프라이즈 및 도메인 관리자 권한 계정

AWS 기본 제공 관리자 암호를 90일마다 임의 암호로 자동 교체합니다. 사람이 사용할 수 있도록 기본 제공되는 관리자 암호를 요청할 때마다 AWS 티켓이 생성되어 AWS Directory Service 팀에 기록됩니다. 보안 인증 정보는 암호화되어 보안 채널을 통해 처리됩니다. 또한 관리자 계정 자격 증명은 AWS Directory Service 관리팀만 요청할 수 있습니다.

디렉토리의 운영 관리를 수행하기 위해 엔터프라이즈 관리자 및 도메인 관리자 권한이 있는 계정을 독점적으로 관리합니다. AWS 여기에는 Active Directory 관리자 계정에 대한 독점적 제어가 포함됩니다. AWS 암호 저장소를 사용하여 암호 관리를 자동화하여 이 계정을 보호합니다. 관리자 암호가 자동으로 교체되는 동안 는 임시 사용자 계정을 AWS 만들고 이 계정에 도메인 관리자 권한을 부여합니다. 이 임시 계정은 관리자 계정에서 암호 교체 실패 시 백업으로 사용됩니다. 관리자 암호를 AWS 성공적으로 교체한 후 임시 관리자 계정을 AWS 삭제합니다.

일반적으로 디렉터리 전체를 자동화를 통해 AWS 운영합니다. 자동화 프로세스로 운영 문제를 해결할 AWS 수 없는 경우 지원 엔지니어가 도메인 컨트롤러 (DC) 에 로그인하여 진단을 수행하도록 해야 할 수 있습니다. 드문 경우이긴 하지만 에서는 액세스 권한을 부여하는 요청/알림 시스템을 AWS 구현합니다. 이 프로세스에서 AWS 자동화를 통해 디렉터리에 도메인 관리자 권한이 있는 기간 제한 사용자 계정이 생성됩니다. AWS 사용자 계정을 디렉터리에서 작업하도록 배정된 엔지니어와 연결합니다. AWS 이 연결을 로그 시스템에 기록하고 엔지니어에게 사용할 자격 증명을 제공합니다. 엔지니어가 취하는 모든 행동은 Windows 이벤트 로그에 기록됩니다. 할당된 시간이 경과되면 자동화에서는 사용자 계정을 삭제합니다.

디렉터리에서 로그 전송 기능을 사용하여 관리자 계정을 모니터링할 수 있습니다. 이 기능을 사용하면 AD Security 이벤트를 CloudWatch 시스템에 전달하여 모니터링 솔루션을 구현할 수 있습니다. 자세한 정보는 로그 전송 활성화을 참조하세요.

누군가가 대화식으로 DC에 로그인하면 보안 이벤트 ID 4624, 4672, 4648이 모두 기록됩니다. 도메인에 조인된 Windows 컴퓨터에서 이벤트 뷰어 Microsoft Management Console(MMC)을 사용하여 각 DC의 Windows 보안 이벤트 로그를 볼 수 있습니다. 모든 보안 이벤트 로그를 계정의 Logs (로그) 로그 전송 활성화 로 CloudWatch 보낼 수도 있습니다.

AWS 예약된 OU 내에서 사용자가 생성되고 삭제되는 경우가 간혹 있을 수 있습니다. AWS 사용자에게 액세스 및 관리 권한을 위임하지 않은 이 OU와 기타 OU 또는 컨테이너에 있는 모든 개체의 관리 및 보안을 책임집니다. 해당 OU에서 생성 및 삭제를 확인할 수 있습니다. 이는 자동화를 AWS Directory Service 사용하여 도메인 관리자 암호를 정기적으로 교체하기 때문입니다. 암호가 교체되면 교체가 실패할 경우를 대비하여 백업이 생성됩니다. 교체가 성공하면 백업 계정이 자동으로 삭제됩니다. 또한 문제 해결을 위해 DC에 대화형 액세스가 필요한 드문 경우에도 AWS Directory Service 엔지니어가 사용할 임시 사용자 계정을 생성합니다. 엔지니어가 작업을 완료하면 임시 사용자 계정이 삭제됩니다. 디렉터리에 대한 대화형 자격 증명이 요청될 때마다 AWS Directory Service 관리 팀에 알림이 전송된다는 점에 유의하세요.