什麼是 AWS Directory Service? - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是 AWS Directory Service?

AWS Directory Service 提供多種方式與其他 AWS 服務搭配使用 Microsoft Active Directory (AD)。目錄儲存使用者、群組和裝置的相關資訊,而管理員則使用這些目錄來管理資訊和資源的存取。 AWS Directory Service 為想要在雲端中使用現有 Microsoft AD 或輕量型目錄存取通訊協定 (LDAP) 感知應用程式的客戶提供多種目錄選擇。它也同樣為需要使用目錄管理使用者、群組、裝置和存取的開發人員,提供這些選項。

該選擇哪種

您可以選擇功能和可擴展性最符合您需求的目錄服務。請使用下表來協助您判斷哪個 AWS Directory Service 目錄選項最適合您的組織。

您需要執行什麼作業? 推薦 AWS Directory Service 選項
我需要為雲端應用程式使用 Active Directory 或 LDAP

如果您需要支援 Active Directory —aware 工作負載的實際MicrosoftActive Directory AWS 雲端或應用AWS 程式和服務 (例如 Amazon 和 Amazon WorkSpaces ),或者您需要 Linux AWS 應用程式的 LDAP 支援,請使用適用於 Microsoft Active Directory (標準版或企業版) 的 Directory Ser QuickSight vice。

如果您只需要允許內部部署使用者使用其Active Directory認證登入 AWS 應用程式和服務,請使用 AD Connector。您也可以使用 AD Connector 將 Amazon EC2 執行個體加入現有的Active Directory網域。

如果您需要具有支援 Samba 4 Active Directory 相容應用程式的低規模、低成本的目錄,或者您需要 LDAP 感知應用程式的 LDAP 相容性,請使用 Simple AD

我開發 SaaS 應用程式 如果您開發大規模的 SaaS 應用程式,並需要使用具可擴展性的目錄管理和驗證您的訂閱者,且可搭配社交媒體身分運作,請使用 Amazon Cognito

如需 AWS Directory Service 目錄選項的詳細資訊,請參閱如何在上選擇Active Directory解決方案 AWS

AWS Directory Service 選項

AWS Directory Service 包括數種目錄類型可供選擇。如需詳細資訊,請選擇以下標籤的其中一個:

AWS Directory Service for Microsoft Active Directory

也被稱為 Microsoft AWS 託管 AD, AWS Directory Service 的 Microsoft 活動目錄是由一個實際的 Microsoft Windows ServerActive Directory(AD)供電, AWS 在 AWS 雲中管理。它可讓您將廣泛的使用中目錄感知應用程式遷移到雲端 AWS 。 AWS 受管理的 Microsoft AD 可與Microsoft SharePointMicrosoft SQL Server永遠在可用性群組和許多 .NET 應用程式搭配使用。它還支援 AWS 受管應用程式和服務 WorkSpaces,包括 Amazon WorkDocs QuickSight、AmazonAmazon 編號、Amazon Connect 和 Amazon Relational Database Service 服務 Microsoft SQL Server(Amazon RDSSQL Server,Amazon RDS 和 PostgreSQL 的亞馬遜 RDS)。Oracle

AWS 當您為目錄啟用合規性時,受到美國 Health 保險可攜性與責任法案 (HIPAA) 或支付卡產業資料安全標準 (PCI DSS) 規範的 AWS 雲端應程式獲得核准。

所有相容的應用程式都可以使用您存放在 AWS Managed Microsoft AD 中的使用者登入資料,或者您可以透過信任連線至現有 AD 基礎架構,並使用Active Directory執行中的現場部署或 EC2 Windows 上的認證。如果您將 EC2 執行個體加入 AWS 受管 Microsoft AD,您的使用者可以使用與存取現場部署網路中的工作負載相同的 Windows 單一登入 (SSO) 體驗來存取 AWS 雲端中的 Windows 工作負載。

AWS 受管理的 Microsoft AD 也支援使用Active Directory認證的同盟使用案例。單獨, Microsoft AWS 管理 AD 使您能夠登錄到 AWS Management Console. 透過 AWS IAM Identity Center,您也可以取得短期認證以搭配 AWS SDK 和 CLI 使用,並使用預先設定的 SAML 整合來登入許多雲端應用程式。透過新增 Microsoft Entra Connect (先前稱為Azure Active Directory Connect) 和選擇性的同Active Directory盟服務 (AD FS),您可以使用儲存在 AWS 受管理 Microsoft AD 中的認證登入Microsoft Office 365和其他雲端應用程式。

此服務包括一些重要功能,可讓您擴展您的結構描述管理密碼政策,以及透過 Secure Socket Layer (SSL)/Transport Layer Security (TLS) 啟用安全 LDAP 通訊。您也可以為 AWS 受管理的 Microsoft AD 啟用多重要素驗證 (MFA),以在使用者從網際網路存取 AWS 應用程式時提供額外的安全性層級。由於Active Directory是 LDAP 目錄,因此您也可以使用 AWS Linux 安全殼層 (SSH) 驗證和其他啟用 LDAP 的應用程式使用 Microsoft AD。

AWS 提供監視、每日快照和復原作為服務的一部分 — 您可以將使用者和群組新增至 AWS 受管理的 Microsoft AD AD,並使用在加入受管理 Microsoft AD 網域的Windows電腦上執行的熟悉Active Directory工具來 AWS 管理群組原則。您也可透過以下方式擴展目錄:部署額外的網域控制站,並在大量的網域控制站之間分佈請求以協助提升應用程式效能。

AWS 託管 Microsoft AD 有兩個版本:標準版和企業版。

  • 標準版本:AWS Managed Microsoft AD (標準版) 經過最佳化,適合擁有多達 5,000 名員工的中小型企業做為主要目錄使用。其提供您足夠的儲存容量,可支援最多 30,000* 個目錄物件,例如使用者、群組和電腦。

  • 企業版本:AWS Managed Microsoft AD (企業版) 可支援擁有多達 500,000* 個目錄物件的企業組織。

* 上限為約略值。您的目錄可支援更多或更少個目錄物件,這取決於您物件的大小和您應用程式的行為和效能需求。

使用情況

AWS 如果您需要實際Active Directory功能來支援 AWS 應用程式或Windows工作負載 (包括適用於的 Amazon Relational Database Service),受管 Microsoft AD 是您的最佳選擇Microsoft SQL Server。這也是最好的,如果你想要一個獨立Active Directory的 AWS 雲支持辦公室 365 或者你需要一個 LDAP 目錄來支持你的 Linux 應用程序。如需詳細資訊,請參閱 AWS 管理 Microsoft AD

AD Connector

AD 連接器是一種代理服務,可讓您輕鬆將適用於Windows Server執行個體的相容 AWS 應用程式 (例如 Amazon WorkSpaces QuickSight、Amazon 和 Amazon EC2) 連接到現有的現場部署MicrosoftActive Directory。使用 AD Connector,您只需將一個服務帳戶添加到您的Active Directory. AD Connector 也免除了同步目錄的需要,或託管聯合基礎設施的成本和複雜性。

當您將使用者新增至 AWS 應用程式 (例如 Amazon) 時 QuickSight,AD Connector 會讀取您現有的,Active Directory以建立可供選取的使用者和群組清單。當使用者登入 AWS 應用程式時,AD Connector 會將登入要求轉送至您的內部部署Active Directory網域控制站進行驗證。AD Connector 適用於許多 AWS 應用程序和服務 WorkDocs,包括 Amazon WorkSpaces QuickSight,AmazonAmazon,Amazon ConnectAmazon WorkMail您也可以使用無縫Active Directory網域加入,透過 AD Connector 將 Windows EC2 執行個體加入現場部署網域。AD Connector 也可讓您的使用者使用現有的Active Directory認證登入,以存取 AWS Management Console 和管理 AWS 資源。AD Connector 無法與 RDS SQL Server 相容。

您也可以使用 AD Connector,透過將應用程式使用者連接至現有的 Radius 型 MFA 基礎架構,為 AWS 應用程式使用者啟用多重要素驗證 (MFA)。當使用者存取 AWS 應用程式時,這可多提供一層安全保護。

使用 AD Connector,您可以Active Directory像現在一樣繼續管理您的。例如,您可以使用內部部署中的標準Active Directory管理工具新增使用者和群組,並更新密碼Active Directory。這可協助您持續強制執行安全性原則,例如密碼到期、密碼歷程記錄和帳戶鎖定,無論使用者是在內部部署或 AWS 雲端中存取資源。

使用情況

當您想要將現有的內部部署目錄與相容 AWS 服務搭配使用時,AD Connector 是您的最佳選擇。如需詳細資訊,請參閱 AD Connector

Simple AD

Simple AD 是一個MicrosoftActive Directory兼容的目錄 AWS Directory Service ,由 Samba 4 供電。Simple AD 支援基本Active Directory功能,例如使用者帳戶、群組成員資格、加入 Linux 網域或Windows基於 EC2 執行個體、Kerberos 型 SSO 和群組政策。 AWS 作為服務的一部分,提供監控,每日快照和恢復。

Simple AD 是獨立的雲端目錄,您可在目錄中建立和管理使用者身分與對應用程式的存取。您可以使用許多需要基本Active Directory功能的熟Active Directory悉應用程式和工具。Simple AD 與以下 AWS 應用程序兼容:Amazon WorkSpaces WorkDocsAmazon QuickSightAmazon 和 Amazon WorkMail。您也可以使用 Simple AD 使用者帳戶登入並管理 AWS 資源。 AWS Management Console

Simple AD 不支援多重要素驗證 (MFA)、信任關係、DNS 動態更新、結構描述擴充、透過 LDAPS 的通訊、 PowerShell AD 指令程式或 FSMO 角色傳輸。Simple AD 無法與 RDS SQL Server 相容。如果客戶需要實際功能 MicrosoftActive Directory,或想要使用目錄搭配 RDS SQL Server,則應改為使用 AWS 受管理的 Microsoft AD。請確認在您使用 Simple AD 前,您的必要應用程式與 Samba 4 完全相容。如需詳細資訊,請參閱 https://www.samba.org

使用情況

您可以使用 Simple AD 做為雲端中的獨立目錄,以支援Windows需要基本Active Directory功能、相容 AWS 應用程式或支援需要 LDAP 服務的 Linux 工作負載的工作負載。如需詳細資訊,請參閱 Simple AD

Amazon Cognito

Amazon Cognito 是使用者目錄,可讓您使用 Amazon Cognito 使用者集區,為行動應用程式或 Web 應用程式新增登錄和登入。

使用情況

當您需要建立自訂登錄欄位,並將該中繼資料存放在您的使用者目錄中時,也可以使用 Amazon Cognito。這項全受管的服務可擴展,以支援數億名使用者。如需詳細資訊,請參閱《Amazon Cognito 開發人員指南》中的Amazon Cognito 使用者集區

如需每個區域支援的目錄類型清單,請參閱 的區域可用性 AWS Directory Service

使用 Amazon EC2

了解 Amazon EC2 的基本概念對於使用 AWS Directory Service非常重要。建議您一開始先閱讀下列主題: