Melhores práticas do AD Connector - AWS Directory Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Melhores práticas do AD Connector

Estas são algumas sugestões e orientações que devem ser consideradas para evitar problemas e obter o máximo do AD Connector.

Configuração: Pré-requisitos

Considere essas diretrizes antes de criar seu diretório.

Verificar se você tem o tipo de diretório correto

O AWS Directory Service fornece várias maneiras de usar o Microsoft Active Directory com outros serviços da AWS. Você pode escolher o serviço de diretório com os recursos necessários a um custo que caiba em seu orçamento:

  • O AWS Directory Service para Microsoft Active Directory é um Microsoft Active Directory gerenciado e repleto de recursos hospedado na nuvem AWS. O AWS Managed Microsoft AD será sua melhor opção se você tiver mais de 5.000 usuários e precisar de uma configuração de relacionamento de confiança entre um diretório hospedado da AWS e seus diretórios no local.

  • O AD Connector simplesmente conecta seu Active Directory existente no local à AWS. O AD Connector é a melhor opção quando você deseja usar seu diretório existente no local com os serviços da AWS.

  • O Simple AD é um serviço acessível compatível com o serviço do Active Directory com os recursos comuns de diretório. Na maioria dos casos, o Simple AD é a opção mais barata e sua melhor opção, se você tiver 5.000 ou menos usuários e não precisar dos recursos mais avançados do Microsoft Active Directory.

Para obter uma comparação mais detalhada das opções do AWS Directory Service, consulte Qual escolher.

Verificar se suas VPCs e instâncias estão configuradas corretamente

Para conectar-se, gerenciar e usar seus diretórios, você deve configurar corretamente as VPCs às quais seus diretórios estão associados. Consulte Pré-requisitos do AWS Managed Microsoft AD, Pré-requisitos do AD Connector ou Pré-requisitos do Simple AD para obter informações sobre a segurança de VPC e os requisitos de rede.

Se estiver adicionando uma instância a seu domínio, verifique se você tem conectividade e acesso remoto à sua instância, conforme descrito em Associe uma instância do EC2 ao seu diretório AWS Managed Microsoft AD.

Lembrar-se de seus limites

Conheça os diversos limites para o seu tipo de diretório específico. O armazenamento disponível e o tamanho agregado dos objetos são as únicas restrições para o número de objetos que podem ser armazenados no diretório. Consulte Limites do AWS Managed Microsoft AD, Limites do AD Connector ou Limites do Simple AD para obter detalhes sobre o diretório selecionado.

Compreender a configuração e o uso da configuração do grupo de segurança da AWS de seu diretório

A AWS cria um grupo de segurança e anexa-a ao seu diretório interfaces de rede elásticas que são acessíveis a partir do seu colega ou redimensionado VPCs. A AWS configura o grupo de segurança para bloquear tráfego desnecessário para o diretório e permite tráfego necessário.

Modificar o grupo de segurança do diretório

Se você deseja modificar a segurança dos grupos de segurança de seus diretórios, você pode fazê-lo. Faça essas alterações apenas se você compreender totalmente como funciona a filtragem do grupo de segurança. Para obter mais informações, consulte Grupos de segurança do Amazon EC2 para instâncias do Linux no Guia do usuário do Amazon EC2. Alterações incorretas podem resultar na perda da comunicação com computadores e instâncias pretendidos. A AWS recomenda que você não tente abrir portas adicionais para o seu diretório, pois isso diminui a segurança dele. Reveja cuidadosamente o Modelo de responsabilidade compartilhada da AWS.

Atenção

Tecnicamente, é possível associar os grupos de segurança do diretório a outras instâncias do EC2 que você criar. Contudo, a AWS não recomenda essa prática. A AWS pode ter razões para modificar o grupo de segurança sem aviso prévio para resolver necessidades funcionais ou de segurança do diretório gerenciado. Essas alterações afetam as instâncias às quais você associa o grupo de segurança do diretório e podem interromper a operação das instâncias associadas. Além disso, a associação do grupo de segurança do diretório às suas instâncias do EC2 cria um possível risco de segurança para essas instâncias do EC2.

Configurar corretamente os sites e as sub-redes locais ao usar o AD Connector

Se a rede local tiver sites do Active Directory definidos, você deve verificar se as sub-redes da VPC onde o AD Connector reside estão definidas em um site do Active Directory e se não existem conflitos entre as sub-redes da VPC e as sub-redes de seus outros sites.

Para descobrir controladores de domínio, o AD Connector usa o site do Active Directory cujos intervalos de endereços IP de sub-rede estão próximos dos da VPC que contém o AD Connector. Se você tiver um site cujas sub-redes têm os mesmos intervalos de endereços IP que os de sua VPC, o AD Connector descobrirá os controladores de domínio nesse site, que podem não estar fisicamente próximos de sua região.

Entender as restrições de nome de usuário para aplicativos da AWS

O AWS Directory Service oferece suporte para a maioria dos formatos de caracteres que podem ser usados na construção de nomes de usuário. No entanto, há restrições de caracteres que são aplicadas em nomes de usuário que serão usadas para efetuar login em aplicativos da AWS, como Amazon WorkSpaces, Amazon WorkDocs, Amazon WorkMail ou Amazon QuickSight. Essas restrições exigem que os seguintes caracteres não sejam usados:

  • Espaços

  • !"#$%&'()*+,/:;<=>?@[\]^`{|}~

nota

O símbolo@ é permitido, desde que ele preceda um sufixo UPN.

Programar seus aplicativos

Antes de programar seus aplicativos, considere o seguinte:

Teste de carga antes da implantação na produção

Faça testes laboratoriais com aplicativos e solicitações que representem sua carga de trabalho de produção para confirmar se o diretório é dimensionado de acordo com a carga de seu aplicativo. Se precisar de capacidade adicional, distribua suas cargas em vários diretórios do AD Connector.

Usar o diretório

Estas são algumas sugestões a serem lembradas ao usar o diretório.

Alternar credenciais de administrador regularmente

Altere sua senha de administrador da conta de serviço do AD Connector regularmente e certifique-se de que a senha seja consistente com as políticas de senha do Active Directory existentes. Para obter instruções sobre como alterar a senha da conta de serviço, consulte Atualize suas credenciais da conta de serviço do AD Connector no AWS Directory Service.

Usar AD Connectors exclusivos para cada domínio

Os AD Connectors e seus domínios do AD no local têm uma relação de um para um. Ou seja, para cada domínio no local, incluindo domínios filhos em uma floresta do AD na qual você deseja se autenticar, é necessário criar um AD Connector exclusivo. Cada AD Connector que você criar deverá usar uma conta de serviço diferente, mesmo se estiver conectado ao mesmo diretório.

Verifique a compatibilidade

Ao usar o AD Connector, você deve garantir que seu diretório local seja e permaneça compatível com o AWS Directory Services. Para obter mais informações sobre suas responsabilidades, consulte nosso modelo de responsabilidade compartilhada.