本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS AD Connector 與 Amazon 的作用 WorkSpaces
AWS AD Connector 是一種 AWS Directory Service,可做為「作用中目錄」的代理服務。它不會儲存或快取任何使用者認證,但會將驗證或查閱要求轉送至您的 Active Directory (內部部署或上)。 AWS除非您正在使用 AWS Managed Microsoft AD,否則它也是註冊您的 Active Directory(現場部署或擴展到 AWS)以與 Amazon WorkSpaces (WorkSpaces)一起使用的唯一方法。
AD Connector 器可以指向您的現場部署作用中目錄、延伸至 AWS (Amazon EC2 上的 AD 網域控制站) 的作用中目錄,或指向 AWS Managed Microsoft AD.
AD Connector 在以下各節中涵蓋的大多數部署案例中扮演著重要的角色。搭配使用 AD Connector 可 WorkSpaces 提供許多好處:
-
當指向您的公司 Active Directory 時,它允許您的使用者使用其現有的企業登入資料登入 WorkSpaces 和其他服務,例如 Amazon WorkDocs
。 -
您可以持續套用現有的安全性原則 (密碼到期、帳戶鎖定等),無論您的使用者正在存取內部部署基礎結構中的資源,或是存取中的資源 AWS 雲端,例如 WorkSpaces.
-
AD Connector 可與您現有的 Radius-based MFA 基礎架構進行簡單整合,以提供額外的安全性層。
-
它可以讓您的使用者隔離。例如,它允許設定每個業務單位或角色的數個 WorkSpaces 選項,因為多個 AD 連接器可以指向 Active Directory 的相同網域控制站 (DNS 伺服器),以進行使用者驗證:
-
作用中目錄群組原則物件 (GPO) 之目標應用程式的目標網域或組織單位
-
不同的安全群組來控制流量往返 WorkSpaces
-
不同的存取控制選項 (允許的用戶端裝置) 和 IP 存取控制群組 (限制對 IP 範圍的存取)
-
選擇性啟用本機管理員權限
-
不同的自助權限
-
選擇性強制執行 Multi-Factor Authentication (MFA)
-
將您的 WorkSpaces 彈性網路介面 (ENI) 放置到不同的 VPC 或子網路中以進行隔離
-
如果您達到單一小型或大型 AD 連接器的效能限制,則多個 AD Connector 器也可以支援更多使用者。請參閱的尺寸 AWS Managed Microsoft AD部分以獲取更多詳細信息。
使用 AD 連接器 WorkSpaces 是免費的,只要您在小型 AD 連接器中至少有一個作用中使用 WorkSpaces 者,大型 AD Connector 器中至少有 100 個作用中使用 WorkSpaces 者即可。如需詳細資訊,請參閱目AWS 錄服務定價
AWS 使用內部部署作用中目錄的網路連結的重要性
WorkSpaces 依賴於連接到您的活動目錄。因此,您的活動目錄的網絡鏈接的可用性是至關重要的。例如,如果您在案例 1 中的網路連結關閉,您的使用者將無法進行驗證,因此將無法使用他們的 WorkSpaces.
如果要使用內部部署 Active Directory 做為案例的一部分,您必須考慮網路連結的復原能力、延遲和流量成本。 AWS在多地區 WorkSpaces 部署中,這可能涉及不同區 AWS 域中的多個網路連結,或是在它們之間建立了多個 AWS Transit Gateway對等連結,以便將 AD 流量路由到 VPC,並連線到內部部署 AD。這些網路連結考量適用於下列各節中所述的大部分案例,但對於 AD 連接器的 AD 流量,而且 WorkSpaces 需要周遊網路連結才能到達內部部署 Active Directory 的那些案例尤其重要。 情況 1 突出顯示了一些警告。
使用多因素身份驗證 WorkSpaces
如果您打算搭配使用 Multi-Factor Authentication (MFA) WorkSpaces,則必須使用 AWS AD Connector 或 AWS Managed Microsoft AD,因為只有這些服務允許註冊目錄以與 RADIUS 搭配使用 WorkSpaces 和設定。若要放置 RADIUS 伺服器,則適用AWS 使用內部部署作用中目錄的網路連結的重要性本節中涵蓋的網路連結考量。
分隔帳號和資源網域
基於安全性考量或為了更好的管理性,您可能需要將帳號網域與資源網域分開。例如,將 [ WorkSpaces 電腦物件] 放入個別的 [資源網域] 中,而 [使用者] 則是 [帳號網域] 的一部分。這樣的實作可用於允許合作夥伴組織管理資源網域中 WorkSpaces使用 AD 群組原則,同時不會放棄控制權或授與帳戶網域的存取權。這可以通過使用兩個活動目錄與配置的活動目錄信任來完成。以下各節將更詳細地介紹這一點:
大型作用中目錄部署
您必須確保活動目錄站點和服務相應地配置。如果您的 Active Directory 包含大量位於不同地理位置的網域控制站,這一點尤其重要。您的 Windows WorkSpaces 使用標準的 Microsoft 機制
使用 Microsoft Azure 活動目錄或活動目錄域服務 WorkSpaces
如果您打算使用 Microsoft Azure 活動目錄 WorkSpaces,您可以使用 Azure 的 AD Connect 與您的現場部署活動目錄或與您的活動目錄 AWS (在 Amazon EC2 上的域控制器 AWS Managed Microsoft AD)同步您的身份。但是,這將不允許您加入 WorkSpaces 到您的 Azure 活動目錄。如需詳細資訊,請參閱 Microsoft Azure 文件中的 Microsoft 混合身分識別
如果你想要加入您 WorkSpaces 的 Azure 活動目錄,您將需要部署 Microsoft Azure 活動目錄域服務(Azure AD DS),建立 AWS 和 Azure 之間的連接,並使用 AWS AD Connector 器指向您的 Azure AD DS 域控制器。如需有關如何設定此項目的詳細資訊,請參閱使用 Azure 作用中目錄網域服務將您新增 WorkSpaces 至 Azure AD
搭配使用 AWS Directory Service s 時 WorkSpaces,您必須考慮 WorkSpaces部署的大小及其預期成長,才能 AWS Directory Service 適當地調整大小。本節提供調整大小以搭配使 AWS Directory Service 用的指南 WorkSpaces。我們也建議您檢閱 AD Connector 的最佳做法,以及《AWS Directory Service 管理指南》 AWS Managed Microsoft AD各節的最佳做法。
AD Connector 尺寸 WorkSpaces
作用中目錄連接器 (AD Connector) 有兩種大小:小型和大型。雖然沒有強制使用者或連線限制,但我們建議您使用小型 AD Connector,最多可容納 500 WorkSpaces 名授權的使用者,以及最多可容納 5000 WorkSpaces 名獲權使用者的大型 AD Connector。您可以將應用程式負載分散到多個 AD Connector,以根據效能需求進行擴充。例如,如果您需要支援 1500 個 WorkSpaces 使用者,您可以將您的 WorkSpaces 平均分散到三個小型 AD 連接器,每個連接器都支援 500 位使用者。如果所有使用者都位於相同的網域中,AD Connector 器可以全部指向解析您 Active Directory 網域的同一組 DNS 伺服器。
請注意,如果您開始使用小型 AD Connector,且 WorkSpaces 部署隨著時間的推移而成長,您可以提出支援票證,讓 AD Connector 的大小從小變更為大,以處理更多有 WorkSpaces 權使用者。
的尺寸 AWS Managed Microsoft AD
AWS Managed Microsoft AD
如果您需要支援超過 500,000 個目錄物件,請考慮在 Amazon EC2 上部署 Microsoft 活動目錄網域控制器。如需這些網域控制站的大小,請參閱 Microsoft 的使用中目錄網域服務的容量規劃
