AWS Managed Microsoft AD 사전 조건 - AWS Directory Service

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

AWS Managed Microsoft AD 사전 조건

AWS Managed Microsoft AD 디렉터리를 생성하려면 다음에서 VPC가 필요합니다.

  • 최소 2개의 서브넷. 각 서브넷은 서로 다른 가용 영역에 있어야 합니다.

  • VPC는 기본 하드웨어 테넌시를 가지고 있어야 합니다.

  • 198.18.0.0/15 주소 공간의 주소를 사용해 VPC에서 AWS Managed Microsoft AD를 생성할 수 없습니다.

  • AWS Directory Service는 Active Directory에서 NAT(Network Address Translation) 사용을 지원하지 않습니다. NAT 사용으로 복제 오류가 야기될 수 있습니다.

AWS Managed Microsoft AD 도메인을 기존 온프레미스 Active Directory 도메인과 통합해야 할 경우 온프레미스 도메인에 대한 포리스트 및 도메인 기능 수준이 Windows Server 2003 이상으로 설정되어야 합니다.

AWS Directory Service는 2개의 VPC 구조를 사용합니다. 디렉터리가 AWS 계정 외부에서 실행되게 하고, AWS에서 관리하는 EC2 인스턴스. ETH0ETH1라는 2개의 어댑터가 있습니다. ETH0는 관리 어댑터로써 계정 외부에 위치합니다. ETH1는 계정 내부에서 생성됩니다.

디렉터리 ETH0 네트워크의 관리 IP 범위는 198.18.0.0/15입니다.

AWS Single Sign-On 사전 조건

AWS Managed Microsoft AD에서 AWS Single Sign-On(AWS SSO)을 사용하려는 경우, 다음 사항이 충족되는지 확인해야 합니다.

  • 귀하의 AWS Managed Microsoft AD 디렉토리가 AWS 조직 마스터 계정.

  • AWS SSO의 인스턴스가 AWS Managed Microsoft AD 디렉터리가 설정된 동일한 리전에 있습니다.

자세한 내용은 AWS Single Sign-On 사용 설명서의 AWS SSO 사전 조건을 참조하십시오.

멀티 팩터 인증 사전 조건

AWS Managed Microsoft AD 디렉터리에서 멀티 팩터 인증을 지원하려면 AWS의 AWS Managed Microsoft AD 디렉터리로부터 요청을 수락할 수 있도록 아래와 같이 온프레미스 또는 클라우드 기반 Remote Authentication Dial-In User Service(RADIUS) 서버를 구성해야 합니다.

  1. RADIUS 서버에서 두 개의 RADIUS 클라이언트를 생성해서 AWS에서 두 AWS Managed Microsoft AD 도메인 컨트롤러(DC)를 모두 표현합니다. 아래의 공통 파라미터를 이용해 두 클라이언트를 모두 구성해야 합니다(RADIUS 서버는 다를 수 있음).

    • 주소(DNS 또는 IP): 다음 중 하나의 DNS 주소입니다. AWS Managed Microsoft AD DC. 두 DNS 주소 모두 MFA 사용을 계획하고 있는 AWS Managed Microsoft AD 디렉터리의 세부 정보 페이지에 있는 AWS 디렉터리 서비스 콘솔에서 찾을 수 있습니다. 표시된 DNS 주소는 AWS가 사용하는 두 AWS Managed Microsoft AD DC 모두에 대한 IP 주소를 나타냅니다.

      참고

      RADIUS 서버가 DNS 주소를 지원하는 경우에는 오직 한 개의 RADIUS 클라이언트 구성만 생성해야 합니다. 그렇지 않으면 각 AWS Managed Microsoft AD DC마다 한 개의 RADIUS 클라이언트 구성을 생성해야 합니다.

    • 포트 번호 RADIUS 서버가 RADIUS 클라이언트 연결을 허용할 포트 번호를 구성합니다. 표준 RADIUS 포트는 1812입니다.

    • 공유 비밀: RADIUS 서버가 RADIUS 클라이언트와 연결하는 데 사용할 공유 암호를 입력하거나 생성합니다.

    • 프로토콜 다음 사이에 인증 프로토콜을 구성해야 할 수 있습니다. AWS Managed Microsoft AD DC 및 RADIUS 서버. 지원 프로토콜로는 PAP, CHAP MS-CHAPv1, MS-CHAPv2이 있습니다. MS-CHAPv2는 세 가지 옵션을 가진 가장 강력한 보안을 제공한다는 점에서 권장됩니다.

    • 애플리케이션 이름 일부 RADIUS 서버에서는 옵션일 수 있으며 일반적으로 메시지 또는 보고서에서 응용 프로그램을 식별합니다.

  2. RADIUS 클라이언트(AWS Managed Microsoft AD DC DNS 주소, 1단계 참조)에서 RADIUS 서버 포트로의 인바운드 트래픽을 허용하도록 기존 네트워크를 구성합니다.

  3. 이전에 정의한 RADIUS 서버 DNS 주소 및 포트 번호에서 인바운드 트래픽을 허용하는 AWS Managed Microsoft AD 도메인에서 Amazon EC2 보안 그룹에 규칙을 추가합니다. 자세한 내용은 을 참조하십시오. 보안 그룹에 규칙 추가 에서 EC2 사용자 안내서.

MFA와 AWS Managed Microsoft AD을 함께 사용하는 방법에 대한 자세한 내용은 AWS Managed Microsoft AD에 대한 멀티 팩터 인증 활성화 단원을 참조하십시오.