시나리오 5: 공유 서비스 가상 사설 클라우드 (VPC) 를 사용하는 AWS Microsoft AD

다음 그림에 표시된 이 시나리오에서는 AWS 관리형 AD가 AWS 클라우드에 배포되어 이미 호스팅되어 AWS 있거나 더 광범위한 마이그레이션의 일환으로 제공될 예정인 워크로드에 대한 인증 서비스를 제공합니다. 모범 사례 권장 사항은 Amazon을 전용 VPC에 WorkSpaces 두는 것입니다. 또한 고객은 특정 AD OU를 만들어 WorkSpaces 컴퓨터 객체를 구성해야 합니다.

관리형 AD를 호스팅하는 공유 서비스 VPC를 사용하여 WorkSpaces 배포하려면 관리형 AD에서 만든 ADC 서비스 계정을 사용하여 AD 커넥터 (ADC) 를 배포하십시오. 서비스 계정에는 공유 서비스 관리형 AD의 WorkSpaces 지정된 OU에 컴퓨터 개체를 만들 수 있는 권한이 필요합니다.

그림 10: 공유 서비스 VPC를 사용하는 AWS Microsoft AD

이 아키텍처는 다음 구성 요소 또는 구조를 사용합니다.

AWS

• Amazon VPC — 두 개의 AZ에 걸쳐 최소 두 개의 프라이빗 서브넷이 있는 Amazon VPC 생성 (AD Connector의 경우 2개, AD Connector의 경우 2개) WorkSpaces

• DHCP 옵션 세트 — Amazon VPC DHCP 옵션 세트 생성. 이를 통해 고객은 지정된 도메인 이름과 DNS (Microsoft AD) 를 정의할 수 있습니다. 자세한 내용은 DHCP 옵션 세트를 참조하십시오.

• 선택 사항: Amazon 가상 프라이빗 게이트웨이 — IPsec VPN 터널 (VPN) 또는 연결을 통해 고객 소유 네트워크와 통신할 수 있습니다. AWS Direct Connect 온프레미스 백엔드 시스템에 액세스하는 데 사용합니다.

• AWS 디렉터리 서비스 — 전용 VPC 서브넷 쌍 (AD DS 관리 서비스), AD Connector에 배포된 Microsoft AD

• AWS 트랜짓 게이트웨이/VPC 피어링 — 워크스페이스 VPC와 공유 서비스 VPC 간 연결 지원

• Amazon EC2 — 고객이 선택할 수 있는 MFA용 RADIUS 서버.

• Amazon WorkSpaces — AD Connector와 동일한 프라이빗 서브넷에 WorkSpaces 배포됩니다. 자세한 내용은 이 문서의 Active Directory: 사이트 및 서비스 섹션을 참조하십시오.

고객

• 네트워크 연결 — 기업 VPN 또는 AWS Direct Connect 엔드포인트.

• 최종 사용자 디바이스 — Amazon 서비스에 액세스하는 데 사용되는 기업용 또는 BYOL 최종 사용자 디바이스 (예: 윈도우, 맥, 아이패드, 안드로이드 태블릿, 제로 클라이언트, 크롬북). WorkSpaces 지원되는 장치 및 웹 브라우저에 대한 클라이언트 애플리케이션 목록을 참조하십시오.