다음으로 시작하기 AWS 매니지드 마이크로소프트 AD - AWS Directory Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

다음으로 시작하기 AWS 매니지드 마이크로소프트 AD

AWS 관리형 Microsoft AD를 사용하면 완벽하게 관리되는 기능을 만들 수 있습니다.Microsoft Active Directory 에는 AWS 클라우드 에 의해 구동됩니다 Windows 서버 2019이며 2012 R2 포리스트 및 도메인 기능 수준에서 작동합니다. 를 사용하여 디렉터리를 만드는 경우 AWS 매니지드 마이크로소프트 AD, AWS Directory Service 두 개의 도메인 컨트롤러를 만들고 사용자를 대신하여 DNS 서비스를 추가합니다. 도메인 컨트롤러는 Amazon의 여러 서브넷에 생성됩니다. VPC 이러한 이중화를 통해 장애가 발생하더라도 디렉터리에 계속 액세스할 수 있습니다. 더 많은 도메인 컨트롤러가 필요할 경우 나중에 추가할 수 있습니다. 자세한 내용은 추가 도메인 컨트롤러 배포 단원을 참조하십시오.

AWS 관리형 Microsoft AD 사전 요구 사항

를 만들려면 AWS 매니지드 마이크로소프트 AD Active Directory, 다음을 VPC 갖춘 Amazon이 필요합니다.

  • 최소 2개의 서브넷. 각 서브넷은 서로 다른 가용 영역에 있어야 합니다.

  • 기본 하드웨어 테넌시가 VPC 있어야 합니다.

  • 생성할 수 없습니다. AWS 198.18.0.0/15 주소 공간의 주소를 VPC 사용하여 Microsoft AD를 관리합니다.

통합이 필요한 경우 AWS 기존 온-프레미스로 관리되는 Microsoft AD 도메인 Active Directory 도메인의 경우 온-프레미스 도메인의 포리스트 및 도메인 기능 수준을 로 설정해야 합니다.Windows 서버 2003 이상

AWS Directory Service 두 가지 VPC 구조를 사용합니다. 디렉터리를 구성하는 EC2 인스턴스는 디렉터리의 외부에서 실행됩니다. AWS 계정 및 관리 담당자 AWS. 네트워크 어댑터가 두 개 ETH0 있고ETH1. ETH0관리 어댑터이며 계정 외부에 존재합니다. ETH1계정 내에서 생성됩니다.

디렉터리 ETH 0 네트워크의 관리 IP 범위는 198.18.0.0/15입니다.

AWS IAM Identity Center 사전 조건 

아이덴티티 센터를 다음과 같이 사용할 계획인 경우 IAM AWS 관리형 Microsoft AD의 경우 다음 사항이 해당되는지 확인해야 합니다.

  • 귀하의 AWS 관리되는 Microsoft AD 디렉터리는 사용자 위치에 설정되어 있습니다. AWS 조직의 관리 계정.

  • IAMIdentity Center 인스턴스는 다음과 같은 지역에 있습니다. AWS 관리되는 Microsoft AD 디렉터리가 설정되었습니다.

자세한 내용은 의 IAMID 센터 사전 요구 사항을 참조하십시오. AWS IAM Identity Center 사용 설명서.

다중 인증 사전 조건

다음을 통한 다단계 인증을 지원하려면 AWS 관리되는 Microsoft AD 디렉터리의 경우 온-프레미스 또는 클라우드 기반 원격 인증 전화 접속 사용자 서비스 (RADIUS) 서버를 다음과 같은 방식으로 구성해야 합니다. 그러면 서버가 사용자의 요청을 수락할 수 있습니다. AWS 에서 관리되는 Microsoft AD 디렉터리 AWS.

  1. RADIUS서버에서 두 클라이언트를 모두 나타내는 두 개의 RADIUS 클라이언트를 만드십시오. AWS 관리형 Microsoft AD 도메인 컨트롤러 (DCs) 에서 AWS. 다음과 같은 공통 매개변수를 사용하여 두 클라이언트를 모두 구성해야 합니다 (RADIUS서버는 다를 수 있음).

    • 주소 (DNS또는 IP): 다음 중 하나의 DNS 주소입니다. AWS 관리형 마이크로소프트 ADDCs. 두 DNS 주소 모두 다음에서 찾을 수 있습니다. AWS 의 세부 정보 페이지에 있는 Directory Service 콘솔 AWS 사용하려는 관리형 Microsoft AD 디렉터리입니다MFA. 표시된 DNS 주소는 두 IP 주소 모두의 IP 주소를 나타냅니다. AWS 에서 DCs 사용하는 관리형 Microsoft AD AWS.

      참고

      RADIUS서버가 DNS 주소를 지원하는 경우 RADIUS 클라이언트 구성을 하나만 만들어야 합니다. 그렇지 않으면 각각에 대해 하나의 RADIUS 클라이언트 구성을 만들어야 합니다. AWS 관리형 마이크로소프트 AD DC.

    • 포트 번호: RADIUS 서버가 RADIUS 클라이언트 연결을 수락하는 포트 번호를 구성합니다. 표준 RADIUS 포트는 1812입니다.

    • 공유 암호: RADIUS 서버가 RADIUS 클라이언트와 연결하는 데 사용할 공유 암호를 입력하거나 생성합니다.

    • 프로토콜: 다음 서버 간에 인증 프로토콜을 구성해야 할 수 있습니다. AWS Microsoft AD DCs 및 RADIUS 서버를 관리합니다. 지원되는 프로토콜은 PAP CHAP MS- CHAPv1 및 CHAPv2 MS-입니다. CHAPv2MS-는 세 가지 옵션 중 가장 강력한 보안을 제공하므로 MS-를 사용하는 것이 좋습니다.

    • 응용 프로그램 이름: 일부 RADIUS 서버에서는 선택 사항일 수 있으며 일반적으로 메시지나 보고서에서 응용 프로그램을 식별합니다.

  2. 클라이언트의 RADIUS 인바운드 트래픽을 허용하도록 기존 네트워크를 구성하십시오 (AWS 관리되는 Microsoft AD DCs DNS 주소 (1단계 참조) 를 RADIUS 서버 포트에 연결합니다.

  3. 내 Amazon EC2 보안 그룹에 규칙을 추가하십시오. AWS 이전에 정의된 RADIUS 서버 DNS 주소 및 포트 번호로부터의 인바운드 트래픽을 허용하는 관리형 Microsoft AD 도메인입니다. 자세한 내용은 EC2사용 설명서의 보안 그룹에 규칙 추가를 참조하십시오.

사용에 대한 자세한 내용은 AWS Microsoft AD를 사용한 관리형MFA, AWS 관리형 Microsoft AD에 대한 다중 요소 인증을 활성화합니다. 참조

직접 만드세요 AWS 매니지드 마이크로소프트 AD

새로 만들려면 AWS 매니지드 마이크로소프트 AD Active Directory, 다음 단계를 수행하십시오. 이 절차를 시작하기 전에 AWS 관리형 Microsoft AD 사전 요구 사항에 나와 있는 선행 조건을 충족했는지 확인합니다.

생성하려면 AWS 매니지드 마이크로소프트 AD
  1. 에서AWS Directory Service 콘솔 탐색 창에서 디렉터리를 선택한 다음 디렉터리 설정을 선택합니다.

  2. 디렉터리 유형 선택 페이지에서 다음을 선택합니다. AWS 관리형 Microsoft AD를 선택한 다음 다음을 선택합니다.

  3. 디렉터리 정보 입력 페이지에서 다음 정보를 제공합니다.

    에디션

    스탠다드 에디션 또는 엔터프라이즈 에디션 중에서 선택하십시오. AWS 관리형 마이크로소프트 AD. 에디션에 대한 자세한 내용은 을 참조하십시오. AWS 마이크로소프트 액티브 디렉터리를 위한 디렉터리 서비스.

    디렉터리 DNS 이름

    디렉터리를 위한 정규화된 이름(예: corp.example.com)입니다.

    참고

    Amazon Route 53을 DNS 사용할 계획이라면 다음 도메인 이름은 AWS 관리형 Microsoft AD는 Route 53 도메인 이름과 달라야 합니다. DNSRoute 53과 Route 53의 경우 해결 문제가 발생할 수 있습니다. AWS 관리형 Microsoft AD는 동일한 도메인 이름을 공유합니다.

    디렉터리 넷 BIOS 이름

    디렉터리의 짧은 이름(예: CORP)입니다.

    디렉터리 설명

    디렉터리에 대한 선택적 설명을 입력합니다.

    관리자 암호

    디렉터리 관리자의 암호입니다. 디렉터리 생성 프로세스에서는 사용자 이름 Admin와 이 암호를 사용하여 관리자 계정을 생성합니다.

    암호에 "admin"이라는 말을 포함할 수 없습니다.

    디렉터리 관리자 암호는 대소문자를 구분하며 길이가 8~64자 사이여야 합니다. 또한 다음 네 범주 중 세 개에 해당하는 문자를 1자 이상 포함해야 합니다.

    • 소문자(a-z)

    • 대문자(A-Z)

    • 숫자(0-9)

    • 영숫자 외의 특수 문자(~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    [Confirm password]

    관리자 암호를 다시 입력합니다.

    (선택 사항) 사용자 및 그룹 관리

    활성화하려면 AWS 에서 관리되는 Microsoft AD 사용자 및 그룹 관리 AWS Management Console에서 사용자 및 그룹 관리 관리를 선택합니다. AWS Management Console. 사용자 및 그룹 관리를 사용하는 방법에 대한 자세한 내용은 을 참조하십시오다음을 사용하여 사용자 및 그룹을 관리합니다. AWS Management Console.

  4. 서브넷 선택 VPC 페이지에서 다음 정보를 제공하고 다음을 선택합니다.

    VPC

    VPC디렉터리용.

    서브넷

    도메인 컨트롤러에 대한 서브넷을 선택합니다. 두 서브넷이 서로 다른 가용 영역에 있어야 합니다.

  5. 검토 및 생성 페이지에서 디렉터리 정보를 검토하고 필요한 사항을 변경합니다. 정보가 올바르면 디렉터리 생성을 선택합니다. 디렉터리 생성은 20~40분 정도 걸립니다. 생성이 완료되면 상태 값이 활성 상태로 변경됩니다.

당신의 것으로 무엇이 만들어지나요? AWS 매니지드 마이크로소프트 AD

다음을 생성할 때 Active Directory with AWS 매니지드 마이크로소프트 AD, AWS Directory Service 사용자를 대신하여 다음 작업을 수행합니다.

  • Elastic Network Interface (ENI) 를 자동으로 생성하여 각 도메인 컨트롤러에 연결합니다. 이들 ENIs 각각은 사용자와 사용자 VPC 간의 연결에 필수적입니다. AWS Directory Service 도메인 컨트롤러이며 절대 삭제해서는 안 됩니다. 에서 사용하도록 예약된 모든 네트워크 인터페이스를 식별할 수 있습니다. AWS Directory Service 설명을 보면:”AWS 디렉토리 id"에 대한 네트워크 인터페이스를 생성했습니다. 자세한 내용은 Amazon EC2 사용 설명서의 엘라스틱 네트워크 인터페이스를 참조하십시오. 의 기본 DNS 서버 AWS 매니지드 마이크로소프트 AD Active Directory VPCDNS서버는 클래스 없는 도메인 간 라우팅 (CIDR) +2에 있습니다. 자세한 내용은 Amazon VPC사용 설명서의 Amazon DNS 서버를 참조하십시오.

    참고

    도메인 컨트롤러는 기본적으로 한 지역의 두 가용 영역에 배포되며 Amazon VPC (VPC) 에 연결됩니다. 백업은 하루에 한 번 자동으로 수행되며 Amazon EBS (EBS) 볼륨은 암호화되어 저장된 데이터를 안전하게 보호합니다. 장애가 발생한 도메인 컨트롤러는 동일한 IP 주소를 사용하여 동일한 가용 영역에서 자동으로 교체되며, 최신 백업을 사용하여 전체 재해 복구를 수행할 수 있습니다.

  • 조항 Active Directory 내결함성 및 고가용성을 위해 두 개의 도메인 컨트롤러를 VPC 사용하는 경우 디렉터리가 성공적으로 생성되고 활성 상태가 되면 복원력 및 성능을 높이기 위해 더 많은 도메인 컨트롤러를 프로비저닝할 수 있습니다. 자세한 내용은 추가 도메인 컨트롤러 배포 단원을 참조하십시오.

    참고

    AWS 에 모니터링 에이전트를 설치할 수 없습니다. AWS 관리형 Microsoft AD 도메인 컨트롤러

  • 를 생성합니다. AWS 도메인 컨트롤러로 들어오고 나가는 트래픽에 대한 네트워크 규칙을 설정하는 보안 그룹. 기본 아웃바운드 규칙은 생성된 ENIs 트래픽이나 인스턴스에 연결된 모든 트래픽 또는 인스턴스를 허용합니다. AWS 보안 그룹. 기본 인바운드 규칙은 다음에 필요한 포트를 통한 트래픽만 허용합니다.Active Directory 모든 소스 (0.0.0.0/0) 에서 0.0.0.0/0 규칙은 도메인 컨트롤러에 대한 트래픽이 AmazonVPC, 다른 VPCs 피어링된 트래픽 또는 사용자가 사용하여 연결한 네트워크에서 들어오는 트래픽으로 제한되므로 보안 취약성을 유발하지 않습니다. AWS Direct Connect, AWS Transit Gateway 또는 가상 사설망 보안을 강화하기 위해 생성된 파일에는 Elastic이 IPs 연결되어 있지 않으며 사용자에게는 Elastic IP를 연결할 권한이 없습니다ENIs. ENIs 따라서 다음과 통신할 수 있는 유일한 인바운드 트래픽은 AWS 관리형 Microsoft AD는 로컬 VPC 및 VPC 라우팅 트래픽입니다. 이러한 규칙을 변경하면 도메인 컨트롤러와 통신하지 못할 수도 있으므로 특히 주의하세요. 자세한 내용은 AWS 관리형 Microsoft AD의 모범 사례 단원을 참조하십시오. 다음은 다음과 같습니다. AWS 보안 그룹 규칙은 기본적으로 생성됩니다.

    인바운드 규칙

    프로토콜 포트 범위 소스 트래픽 유형 Active Directory 사용
    ICMP N/A 0.0.0.0/0 Ping LDAP킵 얼라이브, DFS
    TCP & UDP 53 0.0.0.0/0 DNS 사용자 및 컴퓨터 인증, 이름 확인, 신뢰
    TCP & UDP 88 0.0.0.0/0 Kerberos 사용자 및 컴퓨터 인증, 포리스트 수준 신뢰
    TCP & UDP 389 0.0.0.0/0 LDAP 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰
    TCP & UDP 445 0.0.0.0/0 SMB / CIFS 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰
    TCP & UDP 464 0.0.0.0/0 Kerberos 암호 변경/설정 복제, 사용자 및 컴퓨터 인증, 신뢰
    TCP 135 0.0.0.0/0 복제 RPC, EPM
    TCP 636 0.0.0.0/0 LDAP SSL 디렉터리, 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰
    TCP 1024~65535 0.0.0.0/0 RPC 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰
    TCP 3268 - 3269 0.0.0.0/0 LDAPGC & LDAP GC SSL 디렉터리, 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰
    UDP 123 0.0.0.0/0 Windows 시간 Windows 시간, 신뢰
    UDP 138 0.0.0.0/0 DFSN & NetLogon DFS, 그룹 정책
    모두 모두 sg-################## 모든 트래픽

    아웃바운드 규칙

    프로토콜 포트 범위 대상 트래픽 유형 Active Directory 사용
    모두 모두 sg-################## 모든 트래픽
  • 도메인 루트 아래에 다음 세 개의 조직 단위 (OUs) 를 만듭니다.

    OU 이름 설명

    AWS 위임된 그룹

    위임에 사용할 수 있는 모든 그룹을 저장합니다. AWS 사용자에 대한 특정 권한.
    AWS 예약 모두 저장합니다. AWS 관리 전용 계정.
    <yourdomainname> 이 OU의 이름은 디렉터리를 생성할 때 입력한 네트워크 BIOS 이름을 기반으로 합니다. 넷 BIOS 이름을 지정하지 않은 경우 디렉토리 DNS 이름의 첫 부분이 기본적으로 사용됩니다 (예: corp.example.com의 경우 넷 BIOS 이름은 corp). 이 OU의 소유권은 다음과 같습니다. AWS 귀하의 모든 내용이 포함되어 있습니다. AWS모든 권한이 부여된 관련 디렉터리 개체. 이 OU에는 기본적으로 컴퓨터와 사용자라는 두 개의 하위 OUs 항목이 있습니다. 예:
    • Corp

      • 컴퓨터

      • 사용자

  • 에 다음 그룹을 만듭니다. AWS 위임된 그룹 OU:

    그룹 이름 설명
    AWS 위임 계정 운영자 이 보안 그룹의 멤버는 암호 재설정 등의 제한된 계정 관리 기능을 갖습니다

    AWS 위임된 Active Directory 기반 활성화 관리자

    이 보안 그룹의 구성원은 다음을 생성할 수 있습니다.Active Directory 볼륨 라이선스 활성화 개체: 기업은 도메인에 대한 연결을 통해 컴퓨터를 활성화할 수 있습니다.

    AWS 도메인 사용자에게 워크스테이션 위임 추가 이 보안 그룹의 멤버는 10개의 컴퓨터를 도메인에 조인할 수 있습니다.
    AWS 위임된 관리자 이 보안 그룹의 구성원은 다음을 관리할 수 있습니다. AWS 관리형 Microsoft AD를 사용하면 OU의 모든 개체를 완전히 제어할 수 있으며 OU에 포함된 그룹을 관리할 수 있습니다. AWS 위임된 그룹 OU.
    AWS 위임 허용: 개체 인증 허용 이 보안 그룹의 구성원에게는 조직의 컴퓨터 리소스에 대해 인증할 수 있는 기능이 제공됩니다. AWS 예약된 OU (선택적 인증이 활성화된 트러스트가 있는 온-프레미스 개체에만 필요).
    AWS 도메인 컨트롤러에 위임 인증 허용 이 보안 그룹의 멤버에게는 도메인 컨트롤러 OU의 컴퓨터 리소스에 대해 인증할 수 있는 기능이 제공됩니다(선택적 인증이 설정된 신뢰가 있는 온프레미스 객체에만 필요).

    AWS 위임된 삭제 객체 평생 관리자

    이 보안 그룹의 구성원은 삭제된 DeletedObjectLifetime 개체를 AD 휴지통에서 복구할 수 있는 기간을 정의하는 MSDs-개체를 수정할 수 있습니다.

    AWS 위임된 분산 파일 시스템 관리자 이 보안 그룹의 구성원은 DFS -RFRS, DFS 네임스페이스를 추가하고 제거할 수 있습니다.
    AWS 위임된 도메인 이름 시스템 관리자 이 보안 그룹의 구성원은 Active Directory를 DNS 통합하여 관리할 수 있습니다.
    AWS 위임된 동적 호스트 구성 프로토콜 관리자 이 보안 그룹의 구성원은 권한을 부여할 수 있습니다.Windows DHCP기업 내 서버.
    AWS 위임된 엔터프라이즈 인증 기관 관리자 이 보안 그룹의 구성원은 배포 및 관리할 수 있습니다.Microsoft 엔터프라이즈 인증 기관 인프라.
    AWS 위임된 세분화된 암호 정책 관리자 이 보안 그룹의 멤버는 사전에 생성된 세분화된 암호 정책을 수정할 수 있습니다.
    AWS 위임된 관리자 FSx 이 보안 그룹의 구성원에게는 Amazon FSx 리소스를 관리할 수 있는 기능이 제공됩니다.
    AWS 위임된 그룹 정책 관리자 이 보안 그룹의 멤버는 그룹 정책 관리 작업(생성, 편집, 삭제, 연결)을 수행할 수 있습니다.
    AWS 위임된 Kerberos 위임 관리자 이 보안 그룹의 멤버는 컴퓨터 및 사용자 계정 객체에 대한 위임을 활성화할 수 있습니다.
    AWS 위임된 관리 서비스 계정 관리자 이 보안 그룹의 멤버는 관리형 서비스 계정을 생성하고 삭제할 수 있습니다.
    AWS 위임된 MS - NPRC 비준수 장치 이 보안 그룹의 구성원은 도메인 컨트롤러와의 보안 채널 통신 요구 대상에서 제외됩니다. 이 그룹은 컴퓨터 계정용입니다.
    AWS 위임된 원격 액세스 서비스 관리자 이 보안 그룹의 구성원은 및 RAS 서버 그룹에서 서버를 추가 RAS 및 IAS 제거할 수 있습니다.
    AWS 위임 복제 디렉터리 변경 관리자 이 보안 그룹의 구성원은 Active Directory의 프로필 정보를 서버와 동기화할 수 있습니다. SharePoint
    AWS 위임된 서버 관리자 이 보안 그룹의 멤버는 모든 도메인 조인 컴퓨터의 로컬 관리자 그룹에 포함됩니다.
    AWS 위임된 사이트 및 서비스 관리자 이 보안 그룹의 멤버는 Active Directory 사이트 및 서비스에서 Default-First-Site-Name 객체의 이름을 변경할 수 있습니다.
    AWS 위임된 시스템 관리 관리자 이 보안 그룹의 멤버는 시스템 관리 컨테이너에서 객체를 생성하고 관리할 수 있습니다.
    AWS 위임된 터미널 서버 라이선스 관리자 이 보안 그룹의 멤버는 터미널 서버 라이선스 서버 그룹에서 터미널 서버 라이선스 서버를 추가하고 제거할 수 있습니다.
    AWS 위임된 사용자 계정 이름 접미사 관리자 이 보안 그룹의 멤버는 사용자 보안 주체 이름 접미사를 추가하고 제거할 수 있습니다.
  • 다음 그룹 정책 개체 () 를 만들고 적용합니다. GPOs

    참고

    사용자에게는 이러한 GPOs 항목을 삭제, 수정 또는 연결 해제할 권한이 없습니다. 이는 예약된 용도로만 설계된 것입니다. AWS 사용. 필요한 경우 제어할 수 OUs 있는 항목에 연결할 수 있습니다.

    그룹 정책 이름 적용 대상 설명
    기본 도메인 정책 도메인 도메인 암호 및 Kerberos 정책을 포함합니다.
    ServerAdmins 모든 비도메인 컨트롤러 컴퓨터 계정 '을 추가합니다.AWS 위임된 서버 관리자'를BUILTIN\ 관리자 그룹의 구성원으로 등록합니다.
    AWS 예약 정책:사용자 AWS 예약된 사용자 계정 의 모든 사용자 계정에 대한 권장 보안 설정을 설정합니다. AWS 예약된 OU.
    AWS 관리형 액티브 디렉터리 정책 모든 도메인 컨트롤러 모든 도메인 컨트롤러에 대해 권장되는 보안 설정을 지정합니다.
    TimePolicyNT5DS PDCe도메인 컨트롤러가 아닌 모든 컨트롤러 PDCe도메인 컨트롤러가 아닌 모든 시간 정책이 Windows Time (NT5DS) 을 사용하도록 설정합니다.
    TimePolicyPDC PDCe도메인 컨트롤러 네트워크 시간 프로토콜 (NTP) 을 사용하도록 PDCe 도메인 컨트롤러의 시간 정책을 설정합니다.
    기본 도메인 컨트롤러 정책 사용되지 않습니다 도메인 생성 중에 프로비전되며, AWS 관리형 액티브 디렉터리 정책이 대신 사용됩니다.

    각 GPO 설정을 보려면 그룹 정책 관리 콘솔 (GPMC) 을 사용하도록 설정한 상태로 도메인에 가입된 Windows 인스턴스에서 해당 설정을 볼 수 있습니다.

  • 에 대한 다음과 같은 기본 로컬 계정을 생성합니다. AWS 관리형 마이크로소프트 AD 관리:

    중요

    관리자 암호는 반드시 저장해 두세요. AWS Directory Service 이 비밀번호는 저장되지 않으며 검색할 수 없습니다. 하지만 다음에서 비밀번호를 재설정할 수 있습니다. AWS Directory Service 콘솔 또는 를 사용하여 ResetUserPasswordAPI.

    관리자

    admin은 다음과 같은 경우에 생성되는 디렉토리 관리자 계정입니다. AWS 관리형 Microsoft AD가 처음 생성됩니다. 계정을 만들 때 이 계정의 암호를 입력합니다. AWS 관리형 마이크로소프트 AD. 이 계정은 사용자 OU(예: Corp > 사용자) 아래에 있습니다. 이 계정을 사용하여 계정을 관리할 수 있습니다.Active Directory 에서 AWS. 자세한 내용은 을 참조하십시오관리자 계정에 대한 권한.

    AWS_11111111111

    로 시작하는 모든 계정 이름 AWS 뒤에 밑줄이 있고 위치는 다음과 같습니다. AWS 예약된 OU는 서비스 관리 계정입니다. 이 서비스 관리 계정은 다음에 의해 사용됩니다. AWS 다음과 상호 작용하려면 Active Directory. 이러한 계정은 다음과 같은 경우에 생성됩니다. AWS Directory Service Data가 활성화되어 있으며 각각 새로 생성됨 AWS 애플리케이션은 다음에서 승인되었습니다.Active Directory. 다음 계정에는 다음 사용자만 액세스할 수 있습니다. AWS 서비스.

관리자 계정 및 에서 생성한 기타 계정에 대한 자세한 내용은 Active Directory를 참조하십시오. Microsoft 설명서.

관리자 계정에 대한 권한

생성할 때 AWS 마이크로소프트 액티브 디렉터리 디렉터리를 위한 Directory 서비스, AWS 모든 항목을 저장할 조직 단위 (OU) 를 만듭니다. AWS 관련 그룹 및 계정. 이 OU에 대한 자세한 내용은 당신의 것으로 무엇이 만들어지나요? AWS 매니지드 마이크로소프트 AD를 참조하세요. 여기에는 관리자 계정이 포함됩니다. 관리자 계정은 해당 OU에 대해 다음과 같은 일반적인 관리 활동을 수행하는 권한을 가집니다.

  • 사용자, 그룹 및 컴퓨터를 추가하거나 업데이트하거나 삭제합니다. 자세한 내용은 에서 사용자 및 그룹 관리 AWS 관리형 마이크로소프트 AD 단원을 참조하십시오.

  • 도메인(예: 파일 또는 인쇄 서버)에 리소스를 추가한 다음 OU 내의 사용자 및 그룹에 해당 리소스에 대한 권한 할당.

  • 추가 OUs 및 컨테이너를 생성합니다.

  • 추가 OUs 및 컨테이너의 권한을 위임합니다. 자세한 내용은 디렉터리 가입 권한을 위임하십시오. AWS 관리형 마이크로소프트 AD 단원을 참조하십시오.

  • 그룹 정책 생성 및 연결.

  • 에서 삭제된 개체를 복원합니다.Active Directory 휴지통.

  • 액티브 디렉터리를 실행하고 DNS Windows PowerShell 에 있는 모듈 Active Directory Web Service.

  • 그룹 관리형 서비스 계정을 생성하고 구성합니다. 자세한 내용은 그룹 관리형 서비스 계정 단원을 참조하십시오.

  • Kerberos 제한된 위임을 구성합니다. 자세한 내용은 Kerberos 제한된 위임 단원을 참조하십시오.

또한 admin 계정은 다음과 같은 도메인 차원 활동을 수행할 권한이 있습니다.

  • DNS구성 관리 (레코드, 영역 및 전달자 추가, 제거 또는 업데이트)

  • DNS이벤트 로그 보기

  • 보안 이벤트 로그 보기

여기 나열된 작업만 관리자 계정에 허용됩니다. 관리자 계정은 특정 OU(예: 상위 OU) 외부의 디렉터리 관련 작업들에 대한 권한이 없습니다.

중요

AWS 도메인 관리자는 호스팅되는 모든 도메인에 대한 전체 관리 액세스 권한을 가집니다. AWS. 계약 내용 보기 AWS 그리고 AWS 데이터 보호 방법에 FAQ 대한 자세한 내용은 다음을 참조하십시오. AWS 디렉터리 정보를 포함하여 사용자가 저장하는 콘텐츠를 처리합니다. AWS 시스템.

참고

이 계정을 삭제하거나 이름을 바꾸지 않는 것이 좋습니다. 계정을 더 이상 사용하지 않으려면 긴 암호(64자 이하의 임의 문자)를 설정한 다음 계정을 비활성화하는 것이 좋습니다.

엔터프라이즈 및 도메인 관리자 권한 계정

AWS 90일마다 기본 제공 관리자 암호를 임의의 암호로 자동 교체합니다. 사람이 사용할 수 있도록 기본 제공되는 관리자 암호를 요청할 때마다 AWS 티켓은 다음과 같이 생성되고 기록됩니다. AWS Directory Service 팀. 보안 인증 정보는 암호화되어 보안 채널을 통해 처리됩니다. 또한 관리자 계정 자격 증명은 다음 사용자만 요청할 수 있습니다. AWS Directory Service 관리 팀.

디렉토리의 운영 관리를 수행하려면 AWS 엔터프라이즈 관리자 및 도메인 관리자 권한이 있는 계정을 독점적으로 제어할 수 있습니다. 여기에는 Active Directory 관리자 계정에 대한 독점적 제어가 포함됩니다. AWS 암호 저장소를 사용하여 암호 관리를 자동화하여 이 계정을 보호합니다. 관리자 암호가 자동으로 교체되는 동안 AWS 임시 사용자 계정을 만들고 이 계정에 도메인 관리자 권한을 부여합니다. 이 임시 계정은 관리자 계정에서 암호 교체 실패 시 백업으로 사용됩니다. After AWS 관리자 암호를 성공적으로 교체합니다. AWS 임시 관리자 계정을 삭제합니다.

일반적으로 AWS 디렉토리를 완전히 자동화를 통해 운영합니다. 자동화 프로세스로 운영 문제를 해결할 수 없는 경우 AWS 진단을 수행하려면 지원 엔지니어가 도메인 컨트롤러 (DC) 에 로그인하도록 해야 할 수 있습니다. 다음과 같은 드문 경우지만 AWS 액세스 권한을 부여하는 요청/알림 시스템을 구현합니다. 이 과정에서 AWS 자동화를 통해 디렉터리에 도메인 관리자 권한이 있는 기간 제한 사용자 계정이 생성됩니다. AWS 사용자 계정을 디렉터리에서 작업하도록 배정된 엔지니어와 연결합니다. AWS 이 연결을 로그 시스템에 기록하고 엔지니어에게 사용할 자격 증명을 제공합니다. 엔지니어가 취하는 모든 행동은 Windows 이벤트 로그에 기록됩니다. 할당된 시간이 경과되면 자동화에서는 사용자 계정을 삭제합니다.

디렉터리에서 로그 전송 기능을 사용하여 관리자 계정을 모니터링할 수 있습니다. 이 기능을 사용하면 AD Security 이벤트를 CloudWatch 시스템에 전달하여 모니터링 솔루션을 구현할 수 있습니다. 자세한 내용은 AWS 관리형 Microsoft AD에 대한 Amazon CloudWatch 로그 로그 전달을 활성화합니다. 단원을 참조하십시오.

누군가가 대화식으로 DC에 로그온하면 보안 이벤트 IDs 4624, 4672 및 4648이 모두 기록됩니다. 도메인에 가입된 Windows 컴퓨터에서 이벤트 뷰어 Microsoft 관리 콘솔 (MMC) 을 사용하여 각 DC의 Windows 보안 이벤트 로그를 볼 수 있습니다. 모든 보안 이벤트 로그를 계정의 AWS 관리형 Microsoft AD에 대한 Amazon CloudWatch 로그 로그 전달을 활성화합니다. 로그로 보낼 수도 있습니다. CloudWatch

가끔 계정 내에서 사용자가 생성되고 삭제된 것을 볼 수 있습니다. AWS 예약된 OU. AWS 이 OU 및 사용자에게 액세스 및 관리 권한을 위임하지 않은 기타 OU 또는 컨테이너에 있는 모든 개체의 관리 및 보안을 책임집니다. 해당 OU에서 생성 및 삭제를 확인할 수 있습니다. 그 이유는 AWS Directory Service 자동화를 사용하여 도메인 관리자 암호를 정기적으로 교체합니다. 암호가 교체되면 교체가 실패할 경우를 대비하여 백업이 생성됩니다. 교체가 성공하면 백업 계정이 자동으로 삭제됩니다. 또한 드문 경우이긴 하지만 문제 해결을 DCs 위해 에서 대화형 액세스가 필요한 경우에는 다음을 위한 임시 사용자 계정이 생성됩니다. AWS Directory Service 엔지니어가 사용할 수 있습니다. 엔지니어가 작업을 완료하면 임시 사용자 계정이 삭제됩니다. 참고로 디렉터리에 대한 대화형 자격 증명이 요청될 때마다 AWS Directory Service 관리 팀에 알림이 전송됩니다.