O que é AWS Directory Service?

PDFRSS

AWS Directory Service fornece várias maneiras de usar Microsoft Active Directory (AD) com outros AWS serviços. Os diretórios armazenam informações sobre usuários, grupos e dispositivos, e os administradores os usam para gerenciar o acesso a informações e recursos. AWS Directory Service fornece várias opções de diretório para clientes que desejam usar os existentes Microsoft Aplicativos compatíveis com AD ou Lightweight Directory Access Protocol (LDAP) na nuvem. Ele também oferece essas mesmas opções para os desenvolvedores que precisam de um diretório para gerenciar usuários, grupos, dispositivos e acesso.

AWS Directory Service opções

AWS Directory Service inclui vários tipos de diretórios para escolher. Para obter mais informações, selecione uma das seguintes guias:

AWS Directory Service for Microsoft Active Directory

Também conhecido como AWS Managed Microsoft AD, o AWS Directory Service for Microsoft Active Directory é alimentado por um Microsoft Windows Server Active Directory (AD), gerenciado pela AWS in the AWS Cloud. Ele permite que você migre uma ampla variedade de Active Directory—aplicativos compatíveis com a AWS nuvem. AWS O Microsoft AD gerenciado funciona com Microsoft SharePoint, Microsoft SQL Server Grupos de disponibilidade sempre ativos e muitos aplicativos.NET. Também oferece suporte a aplicativos e serviços AWS gerenciados, incluindo Amazon WorkSpaces, Amazon WorkDocs, Amazon QuickSight, Amazon Chime, Amazon Connect e Amazon Relational Database Service for Microsoft SQL Server(Amazon RDS para SQL Server, Amazon RDS para Oraclee Amazon RDS para PostgreSQL).

AWS O Microsoft AD gerenciado é aprovado para aplicativos na AWS nuvem que estão sujeitos à conformidade com a Lei de Portabilidade e Responsabilidade de Seguros de Saúde dos EUA (HIPAA) ou com o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) quando você habilita a conformidade para seu diretório.

Todos os aplicativos compatíveis funcionam com credenciais de usuário que você armazena no Microsoft AD AWS gerenciado, ou você pode se conectar à sua infraestrutura existente do AD com credenciais de confiança e uso de um Active Directory executando localmente ou no EC2 Windows. Se você unir EC2 instâncias ao seu Microsoft AD AWS gerenciado, seus usuários poderão acessar cargas de trabalho do Windows na AWS nuvem com a mesma experiência de login único (SSO) do Windows de quando acessam cargas de trabalho em sua rede local.

AWS O Microsoft AD gerenciado também oferece suporte a casos de uso federados usando Active Directory credenciais. Sozinho, o AWS Managed Microsoft AD permite que você entre no AWS Management Console. Com AWS IAM Identity Center, você também pode obter credenciais de curto prazo para uso com o AWS SDK e a CLI e usar integrações SAML pré-configuradas para fazer login em vários aplicativos em nuvem. Ao adicionar Microsoft Entra Connect (anteriormente conhecido como Azure Active Directory Connect) e, opcionalmente Active Directory Serviço de Federação (AD FS), você pode entrar no Microsoft Office 365 e outros aplicativos em nuvem com credenciais armazenadas no AWS Managed Microsoft AD.

O serviço inclui os principais recursos que permitem estender seu esquema, gerenciar políticas de senha e habilitar as comunicações LDAP por meio de Secure Socket Layer (SSL)/Transport Layer Security (TLS). Você também pode habilitar a autenticação multifator (MFA) para o AWS Managed Microsoft AD para fornecer uma camada adicional de segurança quando os usuários AWS acessam aplicativos pela Internet. Porque Active Directory é um diretório LDAP, você também pode usar o AWS Microsoft AD gerenciado para autenticação Linux Secure Shell (SSH) e para outros aplicativos habilitados para LDAP.

AWS fornece monitoramento, instantâneos diários e recuperação como parte do serviço — você adiciona usuários e grupos ao Managed AWS Microsoft AD e administra a Política de Grupo usando a conhecida Política de Grupo Active Directory ferramentas executadas em um Windows computador associado ao domínio AWS gerenciado do Microsoft AD. Você também pode dimensionar o diretório implantando controladores de domínio adicionais e pode ajudar a melhorar o desempenho do aplicativo distribuindo solicitações a um número maior de controladores de domínio.

AWS O Microsoft AD gerenciado está disponível em duas edições: Standard e Enterprise.

• Standard Edition: o AWS Managed Microsoft AD (Standard Edition) é otimizado para ser o diretório principal para empresas de pequeno e médio porte com até 5.000 funcionários. Ele fornece capacidade de armazenamento suficiente para oferecer suporte a até 30.000* objetos de diretório, como usuários, grupos e computadores.

• Enterprise Edition: o AWS Managed Microsoft AD (Enterprise Edition) foi criado para oferecer suporte a empresas com até 500.000* objetos de diretório.

*Os limites superiores são aproximações. Seu diretório pode oferecer suporte a mais ou menos objetos de diretório, dependendo do tamanho dos objetos e do comportamento e das necessidades de desempenho de seus aplicativos.

Quando usar

AWS O Microsoft AD gerenciado é sua melhor escolha se você precisar de Active Directory recursos para suportar AWS aplicativos ou Windows cargas de trabalho, incluindo Amazon Relational Database Service para Microsoft SQL Server. Também é melhor se você quiser um autônomo Active Directory na AWS nuvem que suporta o Office 365 ou você precisa de um diretório LDAP para suportar seus aplicativos Linux. Para obter mais informações, consulte AWS Microsoft AD gerenciado.

AD Connector

O AD Connector é um serviço de proxy que fornece uma maneira fácil de conectar AWS aplicativos compatíveis, como Amazon WorkSpaces QuickSight, Amazon e Amazon EC2 for Windows Server instâncias, para suas instâncias locais existentes Microsoft Active Directory. Com o AD Connector, você pode simplesmente adicionar uma conta de serviço à sua Active Directory. O AD Connector também elimina a necessidade de sincronização de diretórios ou o custo e a complexidade de hospedar uma infraestrutura de federação.

Quando você adiciona usuários a AWS aplicativos como o Amazon QuickSight, o AD Connector lê seus aplicativos existentes Active Directory para criar listas de usuários e grupos para selecionar. Quando os usuários fazem login nos AWS aplicativos, o AD Connector encaminha as solicitações de login para seu local Active Directory controladores de domínio para autenticação. O AD Connector funciona com muitos AWS aplicativos e serviços, incluindo Amazon WorkSpaces, Amazon WorkDocs, Amazon QuickSight, Amazon Chime, Amazon Connect e Amazon. WorkMail Você também pode se juntar ao seu EC2 Windows instâncias para seu local Active Directory domínio por meio do AD Connector usando união de domínio perfeita. O AD Connector também permite que seus usuários acessem AWS Management Console e gerenciem AWS os recursos fazendo login com seus recursos existentes. Active Directory credenciais. O AD Connector não é compatível com o RDS SQL Server.

Você também pode usar o AD Connector para habilitar a autenticação multifator (MFA) para os usuários do AWS seu aplicativo conectando-a à sua infraestrutura de MFA baseada em RADIUS existente. Isso fornece uma camada adicional de segurança quando os usuários acessam aplicativos da AWS .

Com o AD Connector, você continua gerenciando seu Active Directory como você faz agora. Por exemplo, você adiciona novos usuários e grupos e atualiza senhas usando o padrão Active Directory ferramentas de administração em seu local Active Directory . Isso ajuda você a aplicar consistentemente suas políticas de segurança, como expiração de senha, histórico de senhas e bloqueios de contas, independentemente de os usuários estarem acessando recursos no local ou na AWS nuvem.

Quando usar

O AD Connector é sua melhor opção quando você deseja usar seu diretório local existente com AWS serviços compatíveis. Para obter mais informações, consulte AD Connector.

Simple AD

Simple AD é um Microsoft Active Directory— diretório compatível a partir do AWS Directory Service qual é alimentado pelo Samba 4. O Simple AD oferece suporte básico Active Directory recursos como contas de usuário, associações a grupos, ingresso em um domínio Linux ou Windows EC2 instâncias baseadas, SSO baseado em Kerberos e políticas de grupo. AWS fornece monitoramento, instantâneos diários e recuperação como parte do serviço.

O Simple AD é um diretório independente na nuvem que permite criar e gerenciar identidades de usuários e gerenciar o acesso a aplicações. Você pode usar muitos familiares Active Directory—aplicativos e ferramentas compatíveis que exigem ferramentas básicas Active Directory características. O Simple AD é compatível com os seguintes AWS aplicativos: Amazon WorkSpaces WorkDocs, Amazon QuickSight, Amazon e Amazon WorkMail. Você também pode entrar nas contas AWS Management Console de usuário do Simple AD e gerenciar AWS recursos.

O Simple AD não oferece suporte à autenticação multifator (MFA), relações de confiança, atualização dinâmica de DNS, extensões de esquema, comunicação por LDAPS PowerShell , cmdlets do AD ou transferência de função FSMO. O Simple AD não é compatível com o RDS SQL Server. Clientes que precisam das características de um produto real Microsoft Active Directory, ou quem imagina usar seu diretório com o RDS SQL Server deve usar o AWS Microsoft AD gerenciado em vez disso. Verifique se as aplicações necessárias são totalmente compatíveis com Samba 4 antes de usar o Simple AD. Para obter mais informações, consulte https://www.samba.org.

Quando usar

Você pode usar o Simple AD como um diretório independente na nuvem para oferecer suporte Windows cargas de trabalho que precisam de recursos básicos Active Directory recursos, AWS aplicativos compatíveis ou para suportar cargas de trabalho Linux que precisam do serviço LDAP. Para obter mais informações, consulte Simple AD.

Consulte Disponibilidade da região para AWS Directory Service para obter uma lista de tipos de diretório compatíveis por região.

Qual escolher

Você pode escolher os serviços de diretório com os recursos e o dimensionamento que melhor atendem às suas necessidades. Use a tabela a seguir para ajudá-lo a determinar qual opção de AWS Directory Service diretório funciona melhor para sua organização.

O que você precisa fazer?	AWS Directory Service Opções recomendadas
Eu preciso Active Directory ou LDAP para meus aplicativos na nuvem	Use o AWS Directory Service para Microsoft Active Directory (Standard Edition ou Enterprise Edition) se você precisar de um Microsoft Active Directory na AWS nuvem que suporta Active Directory—cargas de trabalho com reconhecimento ou AWS aplicativos e serviços como Amazon e WorkSpaces Amazon QuickSight, ou você precisa de suporte LDAP para aplicativos Linux. Use o AD Connector se você só precisar permitir que seus usuários locais façam login em AWS aplicativos e serviços com seus Active Directory credenciais. Você também pode usar o AD Connector para unir EC2 instâncias da Amazon às suas instâncias existentes. Active Directory domínio. Use o Simple AD se precisar de um diretório de baixa escala e baixo custo com o básico Active Directory compatibilidade que suporte aplicativos compatíveis com Samba 4, ou você precisa de compatibilidade com LDAP para aplicativos compatíveis com LDAP.
Eu desenvolvo aplicativos SaaS	Use o Amazon Cognito se você desenvolve aplicativos SaaS de alta escala e precisa de um diretório escalável para gerenciar e autenticar seus assinantes e que funcione com as identidades de redes sociais.

Para obter mais informações sobre as opções de AWS Directory Service diretório, consulte Como escolher Active Directory soluções ativadas AWS.

Trabalhando com a Amazon EC2

Uma compreensão básica da Amazon EC2 é essencial para o uso AWS Directory Service. Recomendamos que você comece lendo os seguintes tópicos:

• O que é a Amazon EC2? no Guia do EC2 usuário da Amazon.

• Inicie uma EC2 instância da Amazon no Guia EC2 do usuário da Amazon.

• Grupos EC2 de segurança da Amazon para suas EC2 instâncias no Guia EC2 do usuário da Amazon.

• O que é o Amazon VPC? no Guia do usuário do Amazon VPC.

• Conecte sua VPC a redes remotas usando o AWS Virtual Private Network no Guia de usuário da Amazon VPC.