案例 5： AWS Microsoft AD 使用共用服務 Virtual Private Cloud (VPC) (VPC)

此案例如下圖所示，已在 AWS 雲端部署 AWS Managed AD，為已在中託管 AWS 或計劃作為更廣泛移轉一部分的工作負載提供驗證服務。最佳做法建議是將 Amazon 放 WorkSpaces 在專用 VPC 中。客戶也應該建立特定的 AD OU 來組織 WorkSpaces 電腦物件。

若要 WorkSpaces 使用主控受管理 AD 的共用服務 VPC 進行部署，請使用在受管理 AD 中建立的 ADC 服務帳戶部署 AD 連接器 (ADC)。服務帳戶需要權限，才能在共用服務受管理 AD 中的 WorkSpaces指定 OU 中建立電腦物件。

圖 10： AWS Microsoft AD 使用共享服務 VPC

此架構使用下列元件或建構。

AWS

Amazon VPC — 建立具有跨兩個 AZ 的至少兩個私有子網路的 Amazon VPC (兩個用於 AD Connector 和)。 WorkSpaces
DHCP 選項集 — 建立一個 Amazon VPC 端 DHCP 選項集。這可讓客戶定義指定的網域名稱和 DNS (Microsoft AD)。如需詳細資訊，請參閱 DHCP 選項集。
選用：Amazon 虛擬私有閘道 — 啟用透過 IPSec VPN 通道 (VPN) 或 AWS Direct Connect 連線與客戶擁有的網路進行通訊。用於存取內部部署後端系統。
AWS Directory Service — Microsoft AD 部署到一對專用的 VPC 子網路 (AD DS 受管理服務)、AD Connector
AWS 傳@@ 輸道/VPC 對等 — 啟用工作區 VPC 與共用服務 VPC 之間的連線
Amazon EC2 — 客戶可選購 MFA 的半徑伺服器。
Amazon WorkSpaces — 部署到與 AD Connector 相同的私 WorkSpaces 有子網中。如需詳細資訊，請參閱本文件的 Active Directory：網站與服務一節。

網路連線 — 企業 VPN 或 AWS Direct Connect 端點。
終端使用者裝置 — 用於存取 Amazon 服務的企業或 BYOL 終端使用者裝置 (例如視窗、Mac、iPads、安卓平板電腦、零用戶端和 Chromebook)。 WorkSpaces 如需支援的裝置和 Web 瀏覽器，請參閱用戶端應用程式清單。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

案例 4： AWS Microsoft AD 和內部部署的雙向傳遞信任

案例 6： AWS Microsoft AD、共用服務 VPC，以及內部部署的單向信任