Cenário 5: AWS Microsoft AD usando uma Virtual Private Cloud (VPC) de serviços compartilhados

Esse cenário, mostrado na figura a seguir, tem um AD AWS gerenciado implantado na AWS nuvem, fornecendo serviços de autenticação para cargas de trabalho que já estão hospedadas AWS ou planejadas para serem parte de uma migração mais ampla. A recomendação de melhores práticas é ter a Amazon WorkSpaces em uma VPC dedicada. Os clientes também devem criar um AD OU específico para organizar os objetos do WorkSpaces computador.

Para implantar WorkSpaces com uma VPC de serviços compartilhados que hospeda o AD gerenciado, implante um AD Connector (ADC) com uma conta de serviço do ADC criada no AD gerenciado. A conta de serviço exige permissões para criar objetos de computador na OU WorkSpaces designada no AD gerenciado de serviços compartilhados.

Exemplo de arquitetura mostrando que, WorkSpaces com uma VPC de serviços compartilhados que hospeda o AD gerenciado, implante um AD Connector.

Figura 10: AWS Microsoft AD usando uma VPC de serviços compartilhados

Essa arquitetura usa os seguintes componentes ou construções.

AWS

Amazon VPC — Criação de uma Amazon VPC com pelo menos duas sub-redes privadas em duas AZs (duas para AD Connector e). WorkSpaces
Conjunto de opções DHCP — Criação de um conjunto de opções DHCP da Amazon VPC. Isso permite que um cliente defina um nome de domínio e DNS especificados (Microsoft AD). Para obter mais informações, consulte Conjuntos de opções de DHCP.
Opcional: Amazon virtual private gateway — Habilite a comunicação com uma rede de propriedade do cliente por meio de um túnel VPN IPsec (VPN) ou conexão. AWS Direct Connect Use para acessar sistemas de back-end locais.
AWS Directory Service — Microsoft AD implantado em um par dedicado de sub-redes VPC (AD DS Managed Service), AD Connector
AWS Transit Gateway/VPC Peering — Habilite a conectividade entre o Workspaces VPC e o Shared Services VPC
Amazon EC2 — Servidores RADIUS opcionais do cliente para MFA.
Amazon WorkSpaces — WorkSpaces são implantados nas mesmas sub-redes privadas do AD Connector. Para obter mais informações, consulte a seção Active Directory: Sites e Serviços deste documento.

Cliente

Conectividade de rede — VPN corporativa ou AWS Direct Connect endpoints.
Dispositivos de usuário final — dispositivos corporativos ou BYOL para usuários finais (como Windows, Macs, iPads, tablets Android, zero clients e Chromebooks) usados para acessar o serviço da Amazon. WorkSpaces Consulte a lista de aplicativos cliente para dispositivos e navegadores da Web compatíveis.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Cenário 4: AWS Microsoft AD e uma confiança transitiva bidirecional para o local

Cenário 6: AWS Microsoft AD, VPC de serviços compartilhados e uma confiança unidirecional no local