Cenário 4: AWS Microsoft AD e uma confiança transitiva bidirecional para o local

Esse cenário, mostrado na figura a seguir, tem o AD AWS gerenciado implantado na AWS nuvem, que tem uma confiança transitiva bidirecional no AD local do cliente. Os usuários e WorkSpaces são criados no AD gerenciado, com a confiança do AD permitindo que os recursos sejam acessados no ambiente local.

Exemplo de arquitetura mostrando o AD AWS gerenciado implantado na AWS nuvem, que tem uma confiança transitiva bidirecional no AD local do cliente.

Figura 9: AWS Microsoft AD e uma confiança transitiva bidirecional para o local

Como no cenário 3, o AD DS (Microsoft AD) é implantado em sub-redes dedicadas que abrangem duas AZs, tornando o AD DS altamente disponível na nuvem. AWS

Esse cenário funciona bem para clientes que desejam ter um AWS Directory Service totalmente gerenciado, incluindo implantação, aplicação de patches, alta disponibilidade e monitoramento de sua AWS nuvem. Esse cenário também permite que WorkSpaces os usuários acessem recursos associados ao AD em suas redes existentes. Esse cenário exige a existência de uma relação de confiança de domínio. Grupos de segurança e regras de firewall precisam permitir a comunicação entre os dois diretórios ativos.

Além do posicionamento do AWS Directory Service, a figura anterior descreve o fluxo de tráfego de um usuário para um espaço de trabalho e como o espaço de trabalho interage com o servidor AD e o servidor MFA.

Essa arquitetura usa os seguintes componentes ou construções.

AWS

Amazon VPC — Criação de uma Amazon VPC com pelo menos quatro sub-redes privadas em duas AZs — duas para AD DS Microsoft AD, duas para AD Connector ou. WorkSpaces
Conjunto de opções DHCP — Criação de um conjunto de opções DHCP da Amazon VPC. Isso permite que o cliente defina um nome de domínio e DNS especificados (Microsoft AD). Para obter mais informações, consulte Conjuntos de opções de DHCP.
Opcional: Amazon virtual private gateway — Habilite a comunicação com uma rede de propriedade do cliente por meio de um túnel VPN IPsec (VPN) ou conexão. AWS Direct Connect Use para acessar sistemas de back-end locais.
AWS Directory Service — Microsoft AD implantado em um par dedicado de sub-redes VPC (AD DS Managed Service).

Amazon EC2 — Servidores RADIUS opcionais do cliente para MFA.
Amazon WorkSpaces — WorkSpaces são implantados nas mesmas sub-redes privadas do AD Connector. Para obter mais informações, consulte a seção Active Directory: Sites e Serviços deste documento.

Cliente

Conectividade de rede — VPN corporativa ou AWS Direct Connect endpoints.
Dispositivos de usuário final — dispositivos corporativos ou BYOL para usuários finais (como Windows, Macs, iPads, tablets Android, zero clients e Chromebooks) usados para acessar o serviço da Amazon. WorkSpaces Consulte a lista de aplicativos cliente para dispositivos e navegadores da Web compatíveis.

Essa solução requer conectividade com o data center local do cliente para permitir que o processo de confiança opere. Se WorkSpaces os usuários estiverem usando recursos na rede local, a latência e os custos de transferência de dados de saída precisam ser considerados.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Cenário 3: implantação isolada autônoma usando AWS Directory Service na nuvem AWS

Cenário 5: AWS Microsoft AD usando uma Virtual Private Cloud (VPC) de serviços compartilhados