Simple AD 모범 사례 - AWS Directory Service

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

Simple AD 모범 사례

여기에는 문제를 방지하고 AWS Managed Microsoft AD를 최대한 활용하기 위해 반드시 고려해야 할 몇 가지 제안 및 가이드라인이 나와 있습니다.

설정 사전 조건

디렉터리를 생성하기 전에 여기 나온 가이드라인을 고려하십시오.

디렉터리 유형이 올바른지 확인

AWS Directory Service는 다른 AWS 서비스에서 Microsoft Active Directory를 사용할 수 있는 몇 가지 방법을 제공합니다. 예산에 맞는 비용으로 필요한 기능을 갖춘 디렉터리 서비스를 선택할 수 있습니다.

  • Microsoft Active Directory용 AWS Directory Service는 풍부한 기능을 갖춘 관리형 Microsoft Active Directory이며 AWS 클라우드에서 호스팅됩니다. AWS Managed Microsoft AD는 사용자가 5,000명 이상이고 AWS 호스팅 디렉터리와 온프레미스 디렉터리 간에 신뢰 관계가 필요할 경우 가장 적합합니다.

  • AD Connector는 기존의 온프레미스 Active Directory를 AWS에 간단히 연결합니다. AD Connector는 기존의 온프레미스 디렉터리를 AWS 서비스와 함께 사용하려는 경우 가장 적합합니다.

  • Simple AD는 공통 디렉터리 기능을 갖추고 있으면서 경제적인 Active Directory 호환 서비스입니다. 대부분의 경우 Simple AD는 사용자 수가 5,000명 이하이고 고급 Microsoft Active Directory 기능이 필요하지 않은 경우에 가장 적합한 저가 옵션입니다.

AWS Directory Service 옵션의 세부적인 비교는 무엇을 선택할 것인가 단원을 참조하십시오.

VPC와 인스턴스가 올바르게 구성되도록 보장

디렉터리를 연결, 관리 및 사용하려면 디렉터리와 연관이 있는 VPC를 제대로 구성해야 합니다. VPC 보안 및 네트워킹 요건에 대한 자세한 내용은 AWS Managed Microsoft AD 사전 조건, AD Connector 사전 조건 또는 Simple AD 사전 조건 섹션을 참조하십시오.

도메인에 인스턴스를 추가하는 경우에는 AWS Managed Microsoft AD 디렉터리에 EC2 인스턴스 조인에 설명된 대로 인스턴스에 대한 연결 및 원격 액세스가 가능한지 확인하십시오.

한도에 유의

특정 디렉터리 유형에 대한 다양한 제한에 대해 알아봅니다. 가용 스토리지와 객체의 전체 크기가 디렉터리에 저장할 수 있는 객체 수에 대한 유일한 제한입니다. 선택한 디렉터리에 대한 자세한 내용은 AWS Managed Microsoft AD의 제한 사항, AD Connector의 제한 사항 또는 Simple AD의 제한 사항 섹션을 참조하십시오.

디렉터리의 AWS 보안 그룹 구성 및 사용을 이해

AWS는 보안 그룹을 생성하여 이를 디렉터리의 도메인 컨트롤러 탄력적 네트워크 인터페이스에 연결합니다. AWS는 디렉터리로 가는 불필요한 트래픽을 차단하고 필요한 트래픽만 허용하도록 이 보안 그룹을 구성합니다.

디렉터리 보안 그룹 수정

디렉터리의 보안 그룹에 대해 보안을 수정하고 싶으면 수정할 수 있습니다. 단, 보안 그룹 필터링이 어떻게 작동하는지 완전히 이해하는 경우에만 이렇게 변경하십시오. 자세한 내용은 을 참조하십시오. Linux 인스턴스용 Amazon EC2 보안 그룹 에서 Amazon EC2 사용자 가이드. 잘못 변경할 경우 의도한 컴퓨터 및 인스턴스와 통신이 중단될 수 있습니다. 디렉터리에 대한 포트를 추가로 열지 않는 것이 좋습니다. 그러면 디렉터리의 보안이 저해되기 때문입니다. AWS 공동 책임 모델을 자세히 검토하시기 바랍니다.

주의

디렉터리의 보안 그룹을 사용자가 생성한 다른 EC2 인스턴스에 연결하는 것은 기술적으로 가능합니다. 하지만 이렇게 하지 않는 것이 좋습니다. AWS가 관리형 디렉터리의 기능 또는 보안상 필요를 처리하기 위해 통지 없이 보안 그룹을 변경해야 할 수 있기 때문입니다. 그러한 변경은 디렉터리 보안 그룹과 연결된 모든 인스턴스에 영향을 미치며, 연결된 인스턴스의 작동이 중단될 수 있습니다. 또한 디렉터리 보안 그룹을 EC2 인스턴스와 연결하면 EC2 인스턴스에 잠재적 보안 위험이 생길 수 있습니다.

신뢰 관계가 필요한 경우 AWS Managed Microsoft AD를 사용

Simple AD는 신뢰 관계를 지원하지 않습니다. AWS Directory Service 디렉터리와 또 다른 디렉터리 간에 신뢰를 설정해야 하는 경우에는 반드시 Microsoft Active Directory용 AWS Directory Service를 사용합니다.

설정 디렉토리 생성

여기에는 디렉터리를 생성할 때 고려해야 할 몇 가지 제안이 나와 있습니다.

관리자 ID 및 암호를 기억

디렉터리를 설정할 때 관리자 계정에 대한 암호를 제시합니다. 해당 계정 ID는 Simple AD의 경우 Administrator입니다. 이 계정에 대해 생성한 암호를 기억하십시오. 그렇지 않으면 디렉터리에 객체를 추가할 수 없습니다.

AWS 애플리케이션에 대한 사용자 이름 제한 이해

AWS Directory Service는 사용자 이름 구성에 사용할 수 있는 대부분의 문자 형식을 지원합니다. 하지만 Amazon WorkSpaces, Amazon WorkDocs, Amazon WorkMail, Amazon QuickSight 등 AWS 애플리케이션에 로그인할 때 사용되는 사용자 이름에 적용되는 문자 제한이 있습니다. 이러한 제한 때문에 다음 문자는 사용할 수 없습니다.

  • 공백

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

참고

@ 기호는 UPN 접미사 앞에서만 허용됩니다.

애플리케이션 프로그래밍

애플리케이션을 프로그래밍하기 전에 다음 사항을 고려하십시오.

Windows DC 로케이터 서비스 사용

애플리케이션을 개발할 때는 Windows DC 로케이터 서비스를 사용하거나 AWS Managed Microsoft AD의 동적 DNS(DDNS) 서비스를 사용하여 도메인 컨트롤러(DC)를 검색합니다. 애플리케이션을 DC의 주소로 하드 코딩해서는 안 됩니다. DC 로케이터 서비스를 사용하면 디렉터리 로드를 확실히 분산할 수 있고 도메인 컨트롤러를 해당 배포에 추가하여 수평 조정을 활용할 수 있습니다. 애플리케이션을 고정 DC에 결합하고 이 DC가 패치 적용 또는 복구 과정을 거치는 경우, 애플리케이션은 남은 DC 중 하나를 사용하는 대신에 DC에 액세스할 수 있는 권한을 상실하게 됩니다. 뿐만 아니라 DC를 하드 코딩하면 단일 DC에 핫스폿이 발생할 수 있습니다. 심한 경우에는 핫스폿으로 인해 DC가 반응하지 않을 수 있습니다. 또한 AWS 디렉터리 자동화에서 해당 디렉터리를 손상된 것으로 플래그 지정하여 응답하지 않는 DC를 교체하는 복구 프로세스가 트리거될 수도 있습니다.

프로덕션 단계로 넘어가기 전에 로드 테스트 실시

프로덕션 워크로드를 대표하는 객체 및 요청에 대해 랩 테스트를 실시하여 디렉터리가 애플리케이션의 로드에 맞게 조정되는지 확인해야 합니다. 추가 용량이 필요한 경우에는 Microsoft Active Directory용 AWS Directory Service를 사용해야 합니다. 그러면 높은 성능을 위해 도메인 컨트롤러를 추가할 수 있게 됩니다. 자세한 정보는 추가 도메인 컨트롤러 배포 단원을 참조하십시오.

효율적인 LDAP 쿼리 사용

수천 개의 객체에 대해 도메인 컨트롤러에 광범위한 LDAP 쿼리를 수행하면 DC 하나에서 상당히 많은 CPU 주기가 사용되면서 핫스폿이 발생할 수 있습니다. 이는 쿼리 중에 동일한 DC를 공유하는 애플리케이션에 부정적인 영향을 미칠 수 있습니다.