什麼是 AWS Directory Service? - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是 AWS Directory Service?

AWS Directory Service 提供多種方式,使 Microsoft Active Directory (AD) 得以與其他 AWS 服務搭配使用。目錄會存放使用者、群組和裝置的相關資訊,管理員會用該資訊來管理對資訊和資源的存取。AWS Directory Service 提供多種目錄,讓想要在雲端使用現有 Microsoft AD 或可運用輕量型目錄存取協定 (LDAP) 之應用程式的客戶選擇。它也同樣為需要使用目錄管理使用者、群組、裝置和存取的開發人員,提供這些選項。

該選擇哪種

您可以選擇功能和可擴展性最符合您需求的目錄服務。使用下表可協助您判斷哪種 AWS Directory Service 目錄選項最適用於您的組織。

您需要執行什麼作業? 建議的 AWS Directory Service 選項
我需要為雲端應用程式使用 Active Directory 或 LDAP

如果您需要AWS雲端中的實際 Microsoft Active Directory,以支援使用AWS中目錄感知工作負載或 Amazon 和 Amazon WorkSpaces 等應用程式和服務的實際 Microsoft Active Directory,或者您需要 Linux AWS 應用程式的 LDAP 支援,請使用適用於微軟 Active Directory 的 Directory Ser QuickSight vice (標準版或企業版)。

如果您只需要允許您的內部部署使用者以其 Active Directory 憑證登入 AWS 應用程式和服務,請使用 AD Connector。您也可以使用 AD Connector 將 Amazon EC2 執行個體加入您現有的 Active Directory 域。

如果您需要具基本 Active Directory 相容性,可支援與 Samba 4 相容之應用程式的低規模兼低成本目錄,或如果您需要可運用 LDAP 之應用程式的 LDAP 相容性,請使用 Simple AD

我開發 SaaS 應用程式 如果您開發大規模的 SaaS 應用程式,並需要使用具可擴展性的目錄管理和驗證您的訂閱者,且可搭配社交媒體身分運作,請使用 Amazon Cognito

如需有關 AWS Directory Service 目錄選項的詳細資訊,請參閱 How to choose Active Directory solutions on AWS

AWS Directory Service 選項

AWS Directory Service 提供多種目錄類型選項。如需詳細資訊,請選擇以下標籤的其中一個:

AWS Directory Service for Microsoft Active Directory

AWS Directory Service for Microsoft Active Directory (也稱為 AWS Managed Microsoft AD) 由實際的 Microsoft Windows Server Active Directory (AD) 提供支援,並且在 AWS 雲端中由 AWS 管理。它可讓您將多種 Active Directory 感知應用程式遷移到 AWS 雲端。AWS管理 Microsoft AD 與 Microsoft SharePoint、Microsoft SQL Server 永遠在可用性群組和許多 .NET 應用程式合作。它還支持AWS受管應用程序和服務 WorkSpaces,包括 Amazon WorkDocs QuickSightAmazon,Amazon 編號,Amazon ConnectAmazon Relational Database Service Microsoft SQL 服務器(Amazon RDS for SQL Server,Amazon RDS for Oracle 文和 Amazon RDS for PostgreSQL SQL)。

當您啟用目錄的合規時,AWS Managed Microsoft AD 經核准適用 AWS 雲端應用程式,符合美國健康保險流通與責任法案 (HIPAA) 或支付卡產業資料安全標準 (PCI DSS) 的規範。

所有相容的應用程式皆可使用您儲存在 AWS Managed Microsoft AD 的使用者登入資料,或者您可以透過信任關係連接至現有的 AD 基礎設施,並使用來自執行於內部部署環境或 EC2 Windows 的 Active Directory 的登入資料。如果您將 EC2 執行個體加入 AWS Managed Microsoft AD,您的使用者可以像存取您內部部署網路的工作負載時一樣,以相同的 Windows 單一登入 (SSO) 體驗存取 AWS 雲端的 Windows 工作負載。

AWS Managed Microsoft AD 亦支援利用 Active Directory 憑證的聯合身分使用案例。您可單獨使用 AWS Managed Microsoft AD 登入 AWS Management Console。透過 AWS IAM Identity Center,您也可以取得搭配 AWS SDK 和 CLI 使用的短期登入資料,並使用預先設定的 SAML 整合登入許多雲端應用程式。通過添加 Microsoft 恩特拉 Connect(以前稱為 Azure 活動目錄 Connect),以及可選的活動目錄同盟服務(AD FS),您可以登錄到 Microsoft 辦公室 365 和其他雲應用程序與存儲在託AWS管 Microsoft AD 的憑據。

此服務包括一些重要功能,可讓您擴展您的結構描述管理密碼政策,以及透過 Secure Socket Layer (SSL)/Transport Layer Security (TLS) 啟用安全 LDAP 通訊。您也可以啟用 AWS Managed Microsoft AD 多重要素驗證 (MFA),為使用者從網際網路存取 AWS 應用程式提供多一層安全防護。因為 Active Directory 為 LDAP 目錄,所以您也可以在 Linux Secure Shell (SSH) 身分驗證和其他啟用 LDAP 的應用程式使用 AWS Managed Microsoft AD 。

AWS 提供監控、每日快照和復原服務,您可新增使用者和群組至 AWS Managed Microsoft AD,並使用熟悉的 Active Directory 工具管理群組政策,該工具在加入 AWS Managed Microsoft AD 域的 Windows 電腦上執行。您也可透過以下方式擴展目錄:部署額外的網域控制站,並在大量的網域控制站之間分佈請求以協助提升應用程式效能。

AWS Managed Microsoft AD 提供兩種可用版本:標準版與企業版。

  • 標準版本:AWS Managed Microsoft AD (標準版) 經過最佳化,適合擁有多達 5,000 名員工的中小型企業做為主要目錄使用。其提供您足夠的儲存容量,可支援最多 30,000* 個目錄物件,例如使用者、群組和電腦。

  • 企業版本:AWS Managed Microsoft AD (企業版) 可支援擁有多達 500,000* 個目錄物件的企業組織。

* 上限為約略值。您的目錄可支援更多或更少個目錄物件,這取決於您物件的大小和您應用程式的行為和效能需求。

使用情況

如果您需要實際的 Active Directory 功能來支援 AWS 應用程式或 Windows 工作負載,包括 Amazon Relational Database Service for Microsoft SQL Server,AWS Managed Microsoft AD 是您的最佳選擇。這也是最好的,如果你想要一個獨立的活動目錄在AWS雲支持辦公室 365 或者你需要一個 LDAP 目錄來支持你的 Linux 應用程序。如需詳細資訊,請參閱AWS Managed Microsoft AD

AD Connector

AD 連接器是一種代理服務,它提供了一種簡單的方法,將兼容的AWS應用程序(例如 Amazon WorkSpaces QuickSight,Amazon 和 Amazon EC2 適用於 Windows 服務器實例)連接到現有的現場部署 Microsoft 活動目錄。使用 AD Connector 可讓您簡單地將某個服務帳戶新增到您的 Active Directory。AD Connector 也免除了同步目錄的需要,或託管聯合基礎設施的成本和複雜性。

當您將使用者新增至AWS應用程式 (例如 Amazon) 時 QuickSight,AD Connector 會讀取您現有的 Active Directory,以建立可供選取的使用者和群組清單。當使用者登入 AWS 應用程式時,AD Connector 會將登入請求轉送到您的內部部署 Active Directory 域控制站進行身分驗證。AD Connector 適用於許多AWS應用程序和服務 WorkDocs,包括 Amazon WorkSpaces QuickSight,AmazonAmazon,Amazon ConnectAmazon WorkMail您也可透過 AD Connector 使用無縫加入域功能,將您的 EC2 Windows 執行個體加入您的內部部署 Active Directory 域。AD Connector 也可讓您的使用者使用現有的 Active Directory 憑證登入,來存取 AWS Management Console 和管理 AWS 資源。AD Connector 無法與 RDS SQL Server 相容。

您也可以使用 AD Connector 連線到您現有的 RADIUS 型 MFA 基礎設施,來為您的 AWS 應用程式使用者啟用多重要素驗證 (MFA)。當使用者存取 AWS 應用程式時,這可多提供一層安全保護。

使用 AD Connector,您可持續以目前的方式管理您的 Active Directory。例如,您可以在您的內部部署 Active Directory 中使用標準的 Active Directory 管理工具,新增使用者和群組及更新密碼。無論使用者存取內部部署或 AWS 雲端的資源,這都可協助您一致地強制執行安全政策,如密碼過期、密碼歷史記錄和帳戶鎖定。

使用情況

如果您想要搭配相容的 AWS 服務使用您現有的內部部署目錄,AD Connector 是您的最佳選擇。如需詳細資訊,請參閱AD Connector

Simple AD

Simple AD 為 AWS Directory Service 提供的目錄,與 Microsoft Active Directory 相容並採用 Samba 4 技術。Simple AD 支援基本的 Active Directory 功能,例如使用者帳戶、群組成員資格、加入 Linux 域或以 Windows 為基礎的 EC2 執行個體、以 Kerberos 為基礎的 SSO,以及群組政策。AWS 在這項服務中提供監控、每日快照和復原。

Simple AD 是獨立的雲端目錄,您可在目錄中建立和管理使用者身分與對應用程式的存取。您可以使用許多大家熟悉需基本 Active Directory 功能之可使用 Active Directory 的應用程式和工具。Simple AD 與以下AWS應用程序兼容:Amazon WorkSpaces WorkDocsAmazon QuickSightAmazon 和 Amazon WorkMail。您也可以使用 Simple AD 使用者帳戶登入 AWS Management Console,及管理 AWS 資源。

Simple AD 不支援多重要素驗證 (MFA)、信任關係、DNS 動態更新、結構描述擴充、透過 LDAPS 的通訊、 PowerShell AD 指令程式或 FSMO 角色傳輸。Simple AD 無法與 RDS SQL Server 相容。客戶若需要實際 Microsoft Active Directory 的功能,或希望搭配 RDS SQL Server 使用目錄,則應改用 AWS Managed Microsoft AD。請確認在您使用 Simple AD 前,您的必要應用程式與 Samba 4 完全相容。如需詳細資訊,請參閱 https://www.samba.org

使用情況

您可以使用 Simple AD 做為雲端中的獨立目錄,以支援需要基本 Active Directory 功能、相容AWS應用程式或支援需要 LDAP 服務的 Linux 工作負載的 Windows 工作負載。如需詳細資訊,請參閱簡易 AD

Amazon Cognito

Amazon Cognito 是使用者目錄,可讓您使用 Amazon Cognito 使用者集區,為行動應用程式或 Web 應用程式新增登錄和登入。

使用情況

當您需要建立自訂登錄欄位,並將該中繼資料存放在您的使用者目錄中時,也可以使用 Amazon Cognito。這項全受管的服務可擴展,以支援數億名使用者。如需詳細資訊,請參閱《Amazon Cognito 開發人員指南》中的Amazon Cognito 使用者集區

如需每個區域支援的目錄類型清單,請參閱 AWS Directory Service 的區域可用性

使用 Amazon EC2

了解 Amazon EC2 的基本概念對於使用 AWS Directory Service 非常重要。建議您一開始先閱讀下列主題: