- AWS Directory Service for Microsoft Active Directory
-
Também conhecido como AWS Managed Microsoft AD, o AWS Directory Service para Microsoft Active Directory é fornecido por um Microsoft Windows Server Active Directory (AD) gerenciado pela AWS na Nuvem AWS. Ele permite migrar uma grande variedade de aplicações compatíveis com o Active Directory para a Nuvem AWS. O AWS Managed Microsoft AD funciona com Microsoft
SharePoint, Microsoft SQL Server Always On Availability Groups e muitas aplicações .NET. Ele também oferece suporte a aplicações e serviços gerenciados pela AWS, incluindo Amazon WorkSpaces, Amazon WorkDocs, Amazon QuickSight, Amazon Chime, Amazon Connect e Amazon Relational Database Service para Microsoft SQL
Server (Amazon RDS para SQL Server, Amazon RDS para Oracle e Amazon RDS para PostgreSQL).
O AWS Managed Microsoft AD é aprovado para aplicações na Nuvem AWS que estão sujeitos a conformidade com a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) ou o Padrão de segurança de dados do setor de cartão de pagamento (PCI DSS) quando você habilita a conformidade para o seu diretório.
Todas as aplicações compatíveis funcionam com as credenciais do usuário armazenadas no AWS Managed Microsoft AD, ou você pode se conectar à infraestrutura do AD existente com uma relação de confiança e usar as credenciais de um Active Directory em execução on-premises ou no Windows do EC2. Se você associar instâncias do EC2 ao seu AWS Managed Microsoft AD, os usuários poderão acessar workloads do Windows na Nuvem AWS com a mesma experiência de autenticação única (SSO) do Windows de quando eles acessarem workloads em sua rede on-premises.
O AWS Managed Microsoft AD também oferece suporte a casos de uso federados usando credenciais do Active Directory. Sozinho, o AWS Managed Microsoft AD permite que você entre no AWS Management Console. Com o AWS IAM Identity Center, você também pode obter credenciais de curto prazo para uso com o SDK e a CLI da AWS e usar integrações SAML pré-configuradas para fazer login em muitos aplicativos em nuvem. Ao adicionar o Microsoft Entra Connect (anteriormente conhecido como Azure Active Directory Connect) e, se desejar, o Active Directory Federation Service (AD FS), você pode fazer login no Microsoft Office 365 e em outras aplicações na nuvem com as credenciais armazenadas no AWS Managed Microsoft AD.
O serviço inclui os principais recursos que permitem estender seu esquema, gerenciar políticas de senha e habilitar as comunicações LDAP por meio de Secure Socket Layer (SSL)/Transport Layer Security (TLS). Você também poderá habilitar a autenticação multifator (MFA) para o AWS Managed Microsoft AD para fornecer uma camada adicional de segurança quando os usuários acessarem as aplicações da AWS via Internet. Como o Active Directory é um diretório LDAP, você também pode usar a autenticação do AWS Managed Microsoft AD para Secure Shell (SSH) do Linux e para outras aplicações habilitadas para LDAP.
A AWS oferece monitoramento, snapshots diários e recuperação como parte do serviço. Você adiciona usuários e grupos ao AWS Managed Microsoft AD e administra políticas de grupo usando ferramentas já conhecidas do Active Directory em execução em um computador Windows associado ao domínio do AWS Managed Microsoft AD. Você também pode dimensionar o diretório implantando controladores de domínio adicionais e pode ajudar a melhorar o desempenho do aplicativo distribuindo solicitações a um número maior de controladores de domínio.
OAWS Managed Microsoft AD está disponível em duas edições: Standard e Enterprise.
-
Standard Edition: o AWS Managed Microsoft AD (Standard Edition) é otimizado para ser o diretório principal para empresas de pequeno e médio porte com até 5.000 funcionários. Ele fornece capacidade de armazenamento suficiente para oferecer suporte a até 30.000* objetos de diretório, como usuários, grupos e computadores.
-
Enterprise Edition: o AWS Managed Microsoft AD (Enterprise Edition) foi criado para oferecer suporte a empresas com até 500.000* objetos de diretório.
*Os limites superiores são aproximações. Seu diretório pode oferecer suporte a mais ou menos objetos de diretório, dependendo do tamanho dos objetos e do comportamento e das necessidades de desempenho de seus aplicativos.
Quando usar
O AWS Managed Microsoft AD é a melhor opção se você precisa de recursos do Active Directory para oferecer suporte a aplicações da AWS ou workloads do Windows, incluindo o Amazon Relational Database Service para Microsoft SQL Server. Também é a melhor opção se você deseja um Active Directory independente na Nuvem AWS que oferece suporte ao Office 365 ou se precisa de um diretório LDAP para oferecer suporte às aplicações do Linux. Para ter mais informações, consulte AWS Managed Microsoft AD.
- AD Connector
-
O AD Connector é um serviço de proxy que fornece uma maneira fácil de conectar aplicações da AWS compatíveis, como Amazon WorkSpaces, Amazon QuickSight e Amazon EC2 para instâncias do Windows
Server, ao Microsoft Active Directory on-premises existente. Com o AD Connector, você pode simplesmente adicionar uma conta de serviço ao Active Directory. O AD Connector também elimina a necessidade de sincronização de diretórios ou o custo e a complexidade da hospedagem de uma infraestrutura de federação.
Ao adicionar usuários a aplicações da AWS, como o Amazon QuickSight, o AD Connector lê seu Active Directory existente para criar listas de usuários e grupos para seleção. Quando os usuários fazem login nas aplicações da AWS, o AD Connector encaminha solicitações de entrada para controladores de domínio do Active Directory on-premises para fins de autenticação. O AD Connector funciona com vários serviços e aplicações da AWS, incluindo Amazon WorkSpaces, Amazon WorkDocs, Amazon QuickSight, Amazon Chime, Amazon Connect e Amazon WorkMail. Você também pode associar as instâncias do EC2 para Windows ao domínio do Active Directory on-premises por meio do AD Connector usando uma associação de domínio integrada. O AD Connector também permite que os usuários acessem o AWS Management Console e gerenciem recursos da AWS fazendo login com suas credenciais existentes do Active Directory. O AD Connector não é compatível com o RDS SQL Server.
Também é possível usar o AD Connector para habilitar a autenticação multifator (MFA) para os usuários de aplicações da AWS conectando-o à infraestrutura de MFA baseada em RADIUS. Isso fornece uma camada adicional de segurança quando os usuários acessam aplicativos da AWS.
Com o AD Connector, você continua gerenciando o Active Directory como sempre fez. Por exemplo, você adiciona novos usuários e grupos e atualiza senhas usando ferramentas de administração padrão do Active Directory no Active Directory on-premises. Isso ajuda a impor consistentemente suas políticas de segurança, como expiração de senha, histórico de senha e bloqueios de conta, se os usuários estão acessando recursos on-premises ou na Nuvem da AWS.
Quando usar
O AD Connector é a melhor opção quando você deseja usar seu diretório on-premises existente com os serviços da AWS compatíveis. Para ter mais informações, consulte AD Connector.
- Simple AD
-
O Simple AD é um diretório compatível com o Microsoft Active Directory do AWS Directory Service habilitado pelo Samba 4. O Simple AD oferece suporte a recursos básicos do Active Directory, como contas de usuário, associações de grupos, associação de um domínio do Linux ou instâncias do EC2 baseadas em Windows, SSO baseada em Kerberos e políticas de grupo. A AWS fornece monitoramento, snapshots diários e recuperação como parte do serviço.
O Simple AD é um diretório independente na nuvem que permite criar e gerenciar identidades de usuários e gerenciar o acesso a aplicações. Você pode usar muitas aplicações conhecidas compatíveis com o Active Directory e ferramentas que exigem recursos básicos do Active Directory. O Simple AD é compatível com as seguintes aplicações da AWS: Amazon WorkSpaces, Amazon WorkDocs, Amazon QuickSight e Amazon WorkMail. Você também pode fazer login no AWS Management Console com contas de usuário do Simple AD e gerenciar recursos da AWS.
O Simple AD não oferece suporte a autenticação multifator (MFA), relações de confiança, atualização dinâmica do DNS, extensões de esquema, comunicação sobre LDAPS, cmdlets do PowerShell AD ou transferência de perfis de FSMO. O Simple AD não é compatível com o RDS SQL Server. Clientes que exigem os recursos de um Microsoft Active Directory ou que pretendem usar o diretório com RDS SQL Server devem usar o AWS Managed Microsoft AD. Verifique se as aplicações necessárias são totalmente compatíveis com Samba 4 antes de usar o Simple AD. Para obter mais informações, consulte https://www.samba.org.
Quando usar
Você pode usar o Simple AD como um diretório independente na nuvem para oferecer suporte a workloads do Windows que precisam de recursos básicos do Active Directory, aplicações compatíveis da AWS ou para oferecer suporte a workloads do Linux que precisam do serviço LDAP. Para ter mais informações, consulte Simple AD.
- Amazon Cognito
-
O Amazon Cognito é um diretório de usuário que adiciona recursos de registro e login em sua aplicação móvel ou Web usando grupos de usuários do Amazon Cognito.
Quando usar
Você também poderá usar o Amazon Cognito quando precisar criar campos de registro personalizados e armazenar esses metadados em seu diretório de usuários. Esse serviço totalmente gerenciado pode ser dimensionado para oferecer suporte a centenas de milhões de usuários. Para obter mais informações, consulte Grupos de usuários do Amazon Cognito no Guia do desenvolvedor do Amazon Cognito.
