本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS AD Connector 在亚马逊的角色 WorkSpaces
AWS AD Connec tor 是一种 AWS 目录服务,充当 Active Directory 的代理服务。它不存储或缓存任何用户凭据,而是将身份验证或查找请求转发到您的 Active Directory(本地或本地)。 AWS除非您正在使用 AWS Managed Microsoft AD,否则它也是注册您的 Active Directory(本地或扩展到 AWS)以便在 Amazon WorkSpaces (WorkSpaces) 中使用的唯一方法。
AD Connector 可以指向您的本地 Active Directory、扩展到 AWS (Amazon EC2 上的 AD 域控制器)的活动目录,或者指向 AWS Managed Microsoft AD。
AD Connector 在以下各节中介绍的大多数部署场景中起着重要作用。将 AD Connec WorkSpaces tor 与配合使用具有许多好处:
-
当指向您的公司 Active Directory 时,它允许您的用户使用他们现有的公司凭证登录 WorkSpaces 和其他服务,例如亚马逊 WorkDocs
。 -
无论您的用户访问的是本地基础设施中的资源还是诸如中的资源,您都可以始终如 WorkSpaces一地应用现有的安全策略(密码过期 AWS 云、帐户锁定等)。
-
AD Connector 可与您现有的基于 RADIUS 的 MFA 基础设施轻松集成,从而提供额外的安全保护。
-
它可以隔离您的用户。例如,它允许为每个业务部门或角色配置多个 WorkSpaces 选项,因为多个 AD 连接器可以指向 Active Directory 的相同域控制器(DNS 服务器)进行用户身份验证:
-
目标域或组织单位,用于有针对性地应用 Active Directory 组策略对象 (GPO)
-
使用不同的安全组来控制往返流量 WorkSpaces
-
不同的访问控制选项(允许的客户端设备)和 IP 访问控制组(限制对 IP 范围的访问)
-
选择性启用本地管理员权限
-
不同的自助服务权限
-
选择性地强制执行多因素身份验证 (MFA) Authentication
-
将您的 WorkSpaces 弹性网络接口 (ENI) 放置到不同的 VPC 或子网中进行隔离
-
如果您达到单个小型或大型 AD 连接器的性能极限,则多个 AD 连接器还允许支持更多用户。有关更多详细信息,请参阅该的大小 AWS Managed Microsoft AD部分。
只要小型 AD Connec WorkSpaces tor 中至少有一个活跃 WorkSpaces 用户,大型 AD Connector 中至少有 100 个活跃 WorkSpaces 用户,就可以免费使用 AD Connector。有关更多信息,请参阅AWS 目录服务定价
网络 AWS 与本地 Active Directory 关联的重要性
WorkSpaces 依赖于与您的活动目录的连接。因此,指向 Active Directory 的网络链接的可用性至关重要。例如,如果场景 1 中的网络链接已关闭,则您的用户将无法进行身份验证,因此也将无法使用他们的 WorkSpaces。
如果要将本地 Active Directory 用作场景的一部分,则需要考虑网络链接的弹性、延迟和流量成本。 AWS在多区域 WorkSpaces 部署中,这可能涉及不同 AWS 区域的多个网络链接,或者在它们之间建立对等连接的多个 AWS Transit Gateway网络链接,将您的 AD 流量路由到与本地 AD 相连的 VPC。这些网络链接注意事项适用于以下各节中概述的大多数场景,但对于那些来自 AD Connectors 的广告流量 WorkSpaces 需要穿过网络链接才能到达本地 Active Directory 的场景尤其重要。 场景 1 重点介绍了一些注意事项。
将多因素身份验证与 WorkSpaces
如果您计划将多因素身份验证 (MFA) Authentication WorkSpaces 与一起使用,则必须使用 AD Conn AWS ector 或 AWS Managed Microsoft AD,因为只有这些服务允许注册目录以与 RADIUS 一起使用 WorkSpaces 和配置。对于您的 RADIUS 服务器的放置,本网络 AWS 与本地 Active Directory 关联的重要性节中介绍的网络链路注意事项适用。
将账户和资源域分开
出于安全原因或为了提高可管理性,可能需要将账户域与资源域分开。例如,将 WorkSpaces 计算机对象放在单独的资源域中,而用户则是帐户域的一部分。这样的实现可用于允许合作伙伴组织在资源域中 WorkSpaces使用 AD 组策略进行管理,同时不放弃对账户域的控制权或授予访问权限。这可以通过使用两个带有已配置活动目录信任的活动目录来实现。以下各节对此进行了更详细的介绍:
大型活动目录部署
您必须确保相应地配置 Active Directory 网站和服务。如果您的 Active Directory 由位于不同地理位置的大量域控制器组成,则这一点尤其重要。你的 Windows WorkSpaces 使用标准的 Microsoft 机制
将 Microsoft Azure 活动目录或活动目录域服务与 WorkSpaces
如果你打算将 Microsoft Azure 活动目录与一起使用 WorkSpaces,你可以使用 Azure AD Connect 将你的身份与本地活动目录或开启的活动目录同步 AWS (亚马逊 EC2 上的域控制器或 AWS Managed Microsoft AD)。但是,这将不允许你加 WorkSpaces 入 Azure 活动目录。有关更多信息,请参阅微软 Azure 文档中的微软混合身份
如果你想加入 Azure Active Directory,你需要部署微软 Azure Active Directory 域服务 (Azure AD DS),在 AWS 和 Azure 之间建立连接,然后使用指向 Azure A AWS D DS 域控制器的 AD Connector。 WorkSpaces 有关如何设置的更多信息,请参阅使用 Azure Active Directory 域服务将你的添加 WorkSpaces 到 Azure AD
将 AWS Directory Service s 与 s 配合使用时 WorkSpaces,必须考虑 WorkSpaces部署规模及其预期增长,才能 AWS Directory Service 适当地调整部署规模。本节提供有关调整大小以 AWS Directory Service 供使用的指导 WorkSpaces。我们还建议您查看 AD Connector 的最佳做法和《AWS Directory Service 管理指南》中 AWS Managed Microsoft AD各节的最佳实践。
AD Connector 的大小调整为 WorkSpaces
Active Directory 连接器(AD Connector)有两种尺寸可供选择,小号和大号。虽然没有强制性的用户或连接限制,但我们建议对最多 500 个授权用户使用小型 AD Connector,为最多 5000 个 WorkSpaces 授权用户使用大型 AD Connector。 WorkSpaces 您可以将应用程序负载分布在多个 AD Connector 上,以根据您的性能需求进行扩展。例如,如果您需要支持 1500 个 WorkSpaces 用户,则可以 WorkSpaces 平均分配到三个小型 AD Connector,每个都支持 500 个用户。如果您的所有用户都居住在同一个域中,则 AD Connector 可以全部指向同一组 DNS 服务器来解析您的 Active Directory 域。
请注意,如果您从小型 AD Connector 开始,并且 WorkSpaces 部署会随着时间的推移而增长,则可以提出支持请求,将 AD Connector 的大小从小改为大,以便处理更多的 WorkSpaces 授权用户。
的大小 AWS Managed Microsoft AD
AWS Managed Microsoft AD
如果你需要支持超过 500,000 个目录对象,可以考虑在 Amazon EC2 上部署 Microsoft Active Directory 域控制器。有关这些域控制器的大小,请参阅微软的 Act ive Directory 域服务容量规划
