아마존에서 AWS AD 커넥터의 역할 WorkSpaces

AWS AD AWS Connector는 Active Directory의 프록시 서비스 역할을 하는 디렉터리 서비스입니다. 사용자 자격 증명을 저장하거나 캐시하지는 않지만 인증 또는 조회 요청을 Active Directory (온프레미스 또는 온프레미스) 에 전달합니다. AWS 를 사용하지 않는 한 Amazon WorkSpaces () 에서 사용하기 AWS Managed Microsoft AD 위해 Active Directory (온프레미스 또는 확장 AWS) 를 등록할 수 있는 유일한 방법이기도 합니다. WorkSpaces

AD 커넥터는 온프레미스 Active Directory, 확장된 Active Directory AWS (Amazon EC2의 AD 도메인 컨트롤러) 또는 를 가리킬 수 있습니다. AWS Managed Microsoft AD

AD Connector는 다음 섹션에서 다루는 대부분의 배포 시나리오에서 중요한 역할을 합니다. AD Connector와 함께 WorkSpaces 사용하면 다음과 같은 여러 가지 이점이 있습니다.

• 회사 Active Directory를 가리키면 사용자는 기존 회사 자격 증명을 사용하여 WorkSpaces Amazon과 같은 다른 서비스에 로그온할 수 WorkDocs 있습니다.

• 사용자가 온프레미스 인프라 또는 기타 인프라의 리소스에 액세스하는지 여부에 관계없이 기존 보안 정책 (암호 만료, 계정 잠금 등) 을 일관되게 적용할 수 있습니다. AWS 클라우드 WorkSpaces

• AD Connector를 사용하면 기존 RADIUS 기반 MFA 인프라와 간단하게 통합하여 추가 보안 계층을 제공할 수 있습니다.

• 이를 통해 사용자를 분리할 수 있습니다. 예를 들어 사용자 인증을 위해 여러 AD 커넥터가 Active Directory의 동일한 도메인 컨트롤러 (DNS 서버) 를 가리킬 수 있으므로 사업부 또는 개인 사용자별로 다양한 WorkSpaces 옵션을 구성할 수 있습니다.

  • Active Directory GPO (그룹 정책 개체) 의 대상 적용을 위한 대상 도메인 또는 조직 구성 단위

  • 들어오고 나가는 트래픽 흐름을 제어하는 다양한 보안 그룹 WorkSpaces

  • 다양한 액세스 제어 옵션 (허용된 클라이언트 장치) 및 IP 액세스 제어 그룹 (IP 범위에 대한 액세스 제한)

  • 로컬 관리자 권한의 선택적 활성화

  • 다양한 셀프 서비스 권한

  • 다중 요소 인증 (MFA) 의 선택적 적용

  • 격리를 위해 WorkSpaces 엘라스틱 네트워크 인터페이스 (ENI) 를 여러 VPC 또는 서브넷에 배치

또한 소형 또는 대형 AD 커넥터 하나의 성능 한계에 도달하는 경우 여러 AD 커넥터를 사용하면 더 많은 사용자를 지원할 수 있습니다. 자세한 내용은 크기 조정 AWS Managed Microsoft AD 섹션을 참조하십시오.

소형 AD 커넥터에는 활성 사용자가 한 명 이상 있고 대형 AD 커넥터에는 활성 WorkSpaces 사용자가 100명 이상이면 AD 커넥터를 무료로 사용할 수 있습니다. WorkSpaces WorkSpaces 자세한 내용은 AWS 디렉터리 서비스 요금 페이지를 참조하십시오.

온-프레미스 Active Directory를 AWS 사용한 네트워크 링크의 중요성

WorkSpaces 액티브 디렉터리와의 연결에 의존합니다. 따라서 Active Directory에 대한 네트워크 링크의 가용성이 가장 중요합니다. 예를 들어 시나리오 1의 네트워크 링크가 다운되면 사용자는 인증을 받을 수 없게 되고 결과적으로 네트워크 링크를 사용할 수 없게 됩니다. WorkSpaces

온-프레미스 Active Directory를 시나리오의 일부로 사용하려면 네트워크 연결의 복원력, 지연 시간 및 트래픽 비용을 고려해야 합니다. AWS 다중 지역 WorkSpaces 배포의 경우 여기에는 서로 다른 AWS 지역에 있는 여러 네트워크 링크가 포함되거나, 온프레미스 AD에 연결된 상태에서 AD 트래픽을 VPC로 라우팅하기 위해 두 지역 간에 피어링이 설정된 여러 AWS Transit Gateway 개의 네트워크 링크가 포함될 수 있습니다. 이러한 네트워크 링크 고려 사항은 다음 섹션에 설명된 대부분의 시나리오에 적용되지만, AD 커넥터의 AD 트래픽이 온프레미스 Active Directory에 도달하기 위해 네트워크 링크를 WorkSpaces 통과해야 하는 시나리오에 특히 중요합니다. 시나리오 1에서는 몇 가지 주의 사항을 중점적으로 설명합니다.

다단계 인증 사용: WorkSpaces

MFA (Multi-Factor Authentication) WorkSpaces 를 사용하려는 경우 AD AWS Connector 또는 AWS Managed Microsoft AD an을 사용해야 합니다. 이러한 서비스에서만 RADIUS에서 사용할 WorkSpaces 디렉터리를 등록하고 RADIUS를 구성할 수 있기 때문입니다. RADIUS 서버를 배치할 때는 온-프레미스 Active Directory를 AWS 사용한 네트워크 링크의 중요성 섹션에서 다룬 네트워크 연결 고려 사항이 적용됩니다.

계정과 리소스 도메인 분리

보안상의 이유나 관리 용이성을 위해 계정 도메인과 리소스 도메인을 분리하는 것이 좋을 수 있습니다. 예를 들어, WorkSpaces 컴퓨터 개체는 별도의 리소스 도메인에 배치하고 사용자는 계정 도메인에 속해 있습니다. 이와 같은 구현을 사용하면 파트너 조직이 계정 도메인에 대한 제어권을 포기하거나 액세스 권한을 부여하지 않으면서 리소스 도메인의 AD 그룹 정책 WorkSpaces 사용을 관리할 수 있습니다. Active Directory 트러스트가 구성된 두 개의 액티브 디렉터리를 사용하면 이 작업을 수행할 수 있습니다. 다음 섹션에서는 이에 대해 더 자세히 다룹니다.

• 시나리오 4: AWS Microsoft AD 및 온-프레미스로의 양방향 전이적 신뢰

• 시나리오 6: AWS Microsoft AD, 공유 서비스 VPC, 온프레미스로의 단방향 트러스트

대규모 액티브 디렉터리 배포

Active Directory 사이트 및 서비스가 적절하게 구성되어 있는지 확인해야 합니다. 이는 Active Directory가 서로 다른 지리적 위치에 있는 많은 수의 도메인 컨트롤러로 구성된 경우 특히 중요합니다. Windows는 표준 Microsoft 메커니즘을 WorkSpaces 사용하여 할당된 Active Directory 사이트에 대한 도메인 컨트롤러를 검색합니다. 이 DC 로케이터 프로세스는 DNS를 사용하며 DC 로케이터 프로세스의 초기 단계에서 우선 순위와 가중치가 지정되지 않은 긴 도메인 컨트롤러 목록이 반환되는 경우 상당히 오래 걸릴 수 있습니다. 더 중요한 것은 최적이 아닌 도메인 컨트롤러에 “고정”되면 광역 네트워크 링크를 통과할 때 이 도메인 컨트롤러와의 모든 후속 통신에 네트워크 지연 시간이 증가하고 대역폭이 감소할 수 있다는 점입니다. WorkSpaces 이렇게 하면 잠재적으로 많은 수의 그룹 정책 개체 (GPO) 처리 및 도메인 컨트롤러로부터의 파일 전송을 포함하여 도메인 컨트롤러와의 모든 통신 속도가 느려집니다. 네트워크 토폴로지에 따라 도메인 컨트롤러 간에 WorkSpaces 교환되는 데이터가 비용이 많이 드는 네트워크 경로를 불필요하게 통과할 수 있기 때문에 네트워킹 비용이 증가할 수도 있습니다. VPC 설계의 VPC 설계 DHCP 및 DNS, Active Directory 사이트 및 서비스에 대한 지침은 및 설계 고려 사항 섹션을 참조하십시오.

다음과 함께 Microsoft Azure 액티브 디렉터리 또는 액티브 디렉터리 도메인 서비스 사용 WorkSpaces

Microsoft Azure Active Directory를 와 함께 WorkSpaces 사용하려는 경우 Azure AD Connect를 사용하여 자격 증명을 온-프레미스 Active Directory나 AWS (Amazon EC2의 도메인 컨트롤러) 의 액티브 디렉터리와 동기화할 수 있습니다. AWS Managed Microsoft AD 하지만 이렇게 하면 Azure Active Directory에 WorkSpaces 가입할 수 없습니다. 자세한 내용은 Microsoft Azure 설명서의 Microsoft 하이브리드 ID 설명서를 참조하십시오.

Azure 액티브 디렉터리에 WorkSpaces 가입하려면 Microsoft Azure Active Directory 도메인 서비스 (Azure AD DS) 를 AWS 배포하고, Azure 간에 연결을 설정하고, Azure AD DS 도메인 컨트롤러를 가리키는 AWS AD 커넥터를 사용해야 합니다. 이를 설정하는 방법에 대한 자세한 내용은 Azure Active Directory 도메인 서비스를 사용하여 Azure AD에 WorkSpaces 추가하기 블로그 게시물을 참조하십시오.

AWS Directory Services와 함께 WorkSpaces 사용할 때는 WorkSpaces 배포 크기와 예상 성장률을 고려하여 적절한 크기를 조정해야 합니다. AWS Directory Service 이 섹션에서는 에서 사용할 크기 조정에 AWS Directory Service 대한 지침을 제공합니다. WorkSpaces 또한 AWS Directory Service 관리 가이드의 섹션에서 AD Connector의 모범 사례와 모범 사례 AWS Managed Microsoft AD 섹션을 검토하는 것이 좋습니다.

AD 커넥터 크기 조정 (포함) WorkSpaces

Active Directory 커넥터 (AD 커넥터) 는 소형과 대형의 두 가지 크기로 제공됩니다. 사용자 또는 연결 제한이 적용되지는 않지만, WorkSpaces 권한이 있는 사용자 최대 500명까지는 소형 AD Connector를 사용하고, 최대 WorkSpaces 5000명의 자격 있는 사용자에게는 대형 AD Connector를 사용하는 것이 좋습니다. 애플리케이션 부하를 여러 AD Connector에 분산하여 성능 요구 사항에 맞게 확장할 수 있습니다. 예를 들어 WorkSpaces 1500명의 사용자를 지원해야 하는 경우 각각 500명의 사용자를 지원하는 3개의 소형 AD Connector에 WorkSpaces 균등하게 분산할 수 있습니다. 모든 사용자가 같은 도메인에 있는 경우 AD 커넥터는 모두 Active Directory 도메인을 확인하는 동일한 DNS 서버 집합을 가리킬 수 있습니다.

참고, 처음에는 AD Connector가 작게 시작했고 시간이 지나면서 WorkSpaces 배포 규모가 커지면 사용 WorkSpaces 권한이 있는 많은 사용자를 처리하기 위해 AD Connector의 크기를 소형에서 대형으로 변경하도록 지원 티켓을 제출할 수 있습니다.

크기 조정 AWS Managed Microsoft AD

AWS Managed Microsoft ADMicrosoft Active Directory를 관리 서비스로 실행할 수 있습니다. 서비스를 시작할 때 스탠다드 에디션과 엔터프라이즈 에디션 중에서 선택할 수 있습니다. Standard Edition은 최대 5,000명의 사용자가 있는 중소기업에 권장되며 사용자, 그룹, 컴퓨터 등 약 30,000개의 디렉터리 객체를 지원합니다. Enterprise Edition은 최대 500,000개의 디렉터리 개체를 지원하도록 설계되었으며 다중 지역 복제와 같은 추가 기능도 제공합니다.

500,000개 이상의 디렉터리 객체를 지원해야 하는 경우 Amazon EC2에 Microsoft Active Directory 도메인 컨트롤러를 배포하는 것을 고려해 보십시오. 이러한 도메인 컨트롤러의 크기 조정에 대한 내용은 Microsoft의 Active Directory 도메인 서비스 용량 계획 문서를 참조하십시오.