Domande frequenti su AWS Directory Service

Domande generali

AWS Directory Service è un’offerta di servizi gestiti che fornisce un certo numero di directory con informazioni sulla tua organizzazione, fra cui utenti, gruppi, computer e altre risorse. Trattandosi di un’offerta gestita, AWS Directory Service è studiata per ridurre le attività di gestione, consentendoti così di dedicare una frazione maggiore del tuo tempo e delle tue risorse alla tua attività. Non occorre creare una propria topologia di directory complessa ad alta disponibilità, perché ogni directory viene distribuita su più zone di disponibilità e il monitoraggio rileva e sostituisce automaticamente eventuali controller di dominio con errori. Vengono inoltre configurati per te snapshot quotidiani automatici e repliche dei dati. Non occorre installare software e AWS si occupa dei patch e degli aggiornamenti del software.

AWS Directory Service consente di configurare ed eseguire facilmente directory nel cloud AWS, oppure di collegare le risorse AWS a una Microsoft Active Directory locale esistente. Una volta creata una directory, puoi utilizzarla per gestire utenti e gruppi, fornire single sign-on ad applicazioni e servizi, creare e applicare oggetti Criteri di gruppo e aggiungere istanze Amazon EC2 a un dominio, nonché per semplificare la distribuzione e la gestione di carichi di lavoro Linux e Microsoft Windows basati sul cloud. AWS Directory Service consente ai tuoi utenti finali di usare le loro credenziali aziendali esistenti quando accedono ad applicazioni AWS quali Amazon WorkSpaces, Amazon WorkDocs e Amazon WorkMail, nonché a carichi di lavoro Microsoft basati sulle directory, come le applicazioni personalizzate .NET o basate su SQL Server. Puoi infine utilizzare le tue credenziali aziendali esistenti per amministrare le risorse AWS tramite l'accesso alla Console di gestione AWS in base al ruolo di AWS Identity and Access Management (IAM), evitando la necessità di creare ulteriori infrastrutture di federazione delle identità.

Per creare una directory, puoi usare la Console di gestione AWS o l'API. Devi semplicemente fornire alcune informazioni di base, come un nome di dominio pienamente qualificato (FQDN) per la tua directory, un nome e una password di account di amministratore e il VPC cui desideri sia collegata la directory.

Sì, per aggiungere un'istanza EC2 esistente che esegue Linux o Windows a una directory AWS Managed Microsoft AD puoi utilizzare la Console di gestione AWS o l'API.

Le API pubbliche sono supportate per la creazione e la gestione delle directory. Ora puoi gestire le directory in modo programmatico usando le API pubbliche. Le API sono disponibili tramite AWS CLI e AWS SDK. Per ulteriori informazioni sulle API, consulta la documentazione del servizio di directory AWS.

Sì. Le azioni eseguite tramite le API di AWS Directory Service o la console di gestione sono incluse nei tuoi log di controllo di CloudTrail.

Sì. Puoi configurare Amazon Simple Notification Service (SNS) per ricevere messaggi e-mail e di testo quando si verificano variazioni dello stato del tuo servizio AWS Directory Service. Amazon SNS utilizza opportuni argomenti per la raccolta e la distribuzione dei messaggi ai sottoscrittori. Quando rileva una variazione dello stato di una tua directory, AWS Directory Service pubblica un messaggio sul relativo argomento, che viene successivamente inviato ai sottoscrittori di tale argomento. Per ulteriori informazioni, consulta la documentazione.

Per maggiori informazioni, consulta la pagina dei prezzi.

Sì. AWS Directory Service supporta l'applicazione di tag per l'allocazione dei costi. Grazie ai tag è più semplice suddividere i costi e ottimizzare le spese dividendo per categoria e raggruppando le risorse AWS. Ad esempio, puoi utilizzare tag per raggruppare le risorse in base ad amministratore, nome applicazione, centro di costo o progetto specifico.

Per ulteriori informazioni sulla disponibilità del servizio di directory AWS, consulta la sezione relativa a prodotti e servizi per regione.

A partire dal 31/05/2020, i computer client possono utilizzare solo SMB versione 2.0 (SMBv2) o più recente per accedere ai file archiviati nelle condivisioni SYSVOL e NETLOGON dei controller di dominio per le directory AWS Managed Microsoft AD. Tuttavia, AWS consiglia ai clienti di utilizzare solo SMBv2 o versioni successive su tutti i servizi di file basati su SMB.

AWS Managed Microsoft AD

Per creare una directory di AWS Managed Microsoft AD, puoi lanciare la console di AWS Directory Service dalla Console di gestione AWS. In alternativa, puoi usare il kit SDK AWS o l'interfaccia a riga di comando di AWS.

Le directory di AWS Managed Microsoft AD sono distribuite per default su due zone di disponibilità di una regione e sono collegate al cloud privato virtuale o Amazon Virtual Private Cloud (VPC). I backup vengono eseguiti automaticamente una volta al giorno, e i volumi Amazon Elastic Block Store (EBS) vengono crittografati per garantire la protezione dei dati durante i periodi di inattività. I controller di dominio con errori vengono sostituiti automaticamente nella stessa zona di disponibilità utilizzando il medesimo indirizzo IP, e il backup più recente può essere impiegato per eseguire un disaster recovery completo.

No. Attualmente questa funzionalità non è supportata.

Puoi usare gli strumenti esistenti di Active Directory in esecuzione su computer Windows aggiunti al dominio di AWS Managed Microsoft AD per gestire utenti e gruppi nelle relative directory. Non è necessario usare strumenti, policy o modifiche di comportamento particolari.

Per offrire un servizio gestito, AWS Managed Microsoft AD deve impedire ai clienti le operazioni che potrebbero interferire con la gestione del servizio. Pertanto, AWS limita l'accesso agli oggetti della directory, ai ruoli e ai gruppi che richiedono privilegi elevati. AWS Managed Microsoft AD non consente l'accesso host diretto ai controller di dominio tramite Windows Remote Desktop Connection, PowerShell Remoting, Telnet, o Secure Shell (SSH). Quando crei una directory di AWS Managed Microsoft AD, ti viene assegnata un'unità organizzativa o OU (Organizational Unit) e un account di amministratore con in delega i diritti di amministratore per l'unità. Puoi creare account, gruppi e policy utente all'interno dell'OU tramite gli Strumenti di amministrazione remota del server standard, ad esempio Utenti e Gruppi Active Directory o il modulo PowerShell ActiveDirectory.

Sì. L'account di amministratore creato al momento dell'impostazione di AWS Managed Microsoft AD dispone della delega per i diritti di gestione sui gruppi di sicurezza Remote Access Service (RAS) e Internet Authentication Service (IAS). In questo modo è possibile registrare NPS con AWS Managed Microsoft AD e gestire le policy di accesso alla rete per gli account nel dominio.

Sì. AWS Managed Microsoft AD supporta le estensioni di schema inviate al servizio in formato di interscambio di dati LDAP (LDIF). La parte centrale degli schemi di Active Directory può essere estesa ma non modificata.

Amazon Chime

Amazon Connect

istanze di Amazon EC2

Amazon FSx for Windows File Server

Amazon QuickSight

Amazon RDS per MySQL

Amazon RDS per Oracle

Amazon RDS per PostgreSQL

Amazon RDS per SQL Server

Amazon Single Sign On

Amazon WorkDocs

Amazon WorkMail

Amazon WorkSpaces

AWS Client VPN

Console di gestione AWS

Tieni presente che non tutte le configurazioni di queste applicazioni potrebbero essere supportate.

AWS Managed Microsoft AD si basa sulla versione corrente di Active Directory e offre la gamma più ampia di strumenti AD nativi e supporto ad app di terzi, tra cui:

Active Directory-Based Activation (ADBA)

Active Directory Certificate Services (AD CS): autorità di certificazione d'impresa

Active Directory Federation Services (AD FS)

Active Directory Users and Computers (ADUC)

Server di applicazioni (.NET)

Azure Active Directory (Azure AD)

Azure Active Directory (AD) Connect

Distributed File System Replication (DFSR)

Distributed File System Namespaces (DFSN)

Microsoft Servizi Desktop remoto con server licenze

Microsoft SharePoint Server

Microsoft SQL Server (compresa la funzionalità Always On di SQL Server sui gruppi di disponibilità)

Microsoft System Center Configuration Manager (SCCM)

Microsoft Windows e sistema operativo Windows Server

Office 365

Active Directory Certificate Services (AD CS): servizio Web di registrazione certificati

Active Directory Certificate Services (AD CS): servizio Web di informazioni sulle registrazioni di certificati

Microsoft Exchange Server

Skype for Business Server Microsoft

AWS non offre strumenti per eseguire la migrazione di un Active Directory autogestita in AWS Managed Microsoft AD. Per completare la migrazione è necessario studiare una strategia che includa la riconfigurazione delle password e implementarla tramite Strumenti di amministrazione remota del server.

Sì. È possibile configurare server di inoltro e trust condizionali per AWS Managed Microsoft AD utilizzando la console del servizio di directory o l'API

Sì. È possibile aggiungere ulteriori controller di dominio al dominio gestito tramite la console del servizio di directory AWS o l'API. Tieni presente che la promozione manuale di istanze di Amazon EC2 nei controller di dominio non è supportata. 

Sì. Puoi sincronizzare le identità da AWS Managed Microsoft AD ad Azure AD utilizzando Azure AD Connect e utilizzare Microsoft Active Directory Federation Services (AD FS) per Windows 2016 con AWS Managed Microsoft AD per autenticare gli utenti Office 365. Per istruzioni passo per passo, consulta How to Enable Your Users to Access Office 365 with AWS Microsoft Active Directory Credentials.  

Sì. Puoi utilizzare Microsoft Active Directory Federation Services (AD FS) per Windows 2016 con il tuo dominio gestito AWS Managed Microsoft AD per autenticare gli utenti nelle applicazioni cloud che supportano SAML. 

Sì. AWS Managed Microsoft AD supporta Lightweight Directory Access Protocol (LDAP) su Secure Socket Layer (SSL) / Transport Layer Security (TLS), noto anche come LDAPS, in entrambi i ruoli client e server. Quando funziona come server, AWS Managed Microsoft AD supporta LDAPS sulle porte 636 (SSL) e 389 (TLS). È possibile abilitare la comunicazione LDAPS lato server installando un certificato sui controller di dominio AWS Managed Microsoft AD da un'autorità di certificazione (CA) di servizi certificati Active Directory basata su AWS. Per ulteriori informazioni, consulta Enable Secure LDAP (LDAPS)

Sì. AWS Managed Microsoft AD supporta Lightweight Directory Access Protocol (LDAP) su Secure Socket Layer (SSL) / Transport Layer Security (TLS), noto anche come LDAPS, in entrambi i ruoli client e server. Quando funziona come client, AWS Managed Microsoft AD supporta LDAPS sulle porte 636 (SSL). È possibile abilitare la comunicazione LDAPS lato client registrando i certificati di autorità di certificazione (CA) dall'emittente di certificati server in AWS. Per ulteriori informazioni, consulta Enable Secure LDAP (LDAPS)

AWS Managed Microsoft AD supporta sia la firma LDAP che LDAP su SSL/TLS (LDAPS) quando funge da client LDAP che comunica con l'Active Directory gestita dal cliente. La firma LDAP non necessita di azioni da parte del cliente per permettere e fornire l'integrità dei dati. LDAPS lato client richiede la configurazione e fornisce integrità e riservatezza dei dati. Per ulteriori informazioni, consulta questo post del Forum AWS

AWS Managed Microsoft AD (Standard Edition) include 1 GB di storage di oggetti di directory. Questa capacità è in grado di supportare fino a 5.000 utenti o 30.000 oggetti di directory che comprendono utenti, gruppi e computer. AWS Managed Microsoft AD (Enterprise Edition) include 17 GB di storage di oggetti di directory, per supportare fino a 100.000 utenti o 500.000 oggetti. 

Sì. Puoi utilizzarlo come directory principale per gestire utenti, gruppi, computer e oggetti Criteri di gruppo (GPO) nel cloud. Puoi gestire gli accessi e fornire funzionalità Single sign-on (SSO) alle applicazioni e ai servizi AWS e ad applicazioni basate sulle directory di terze parti che eseguono le istanze di Amazon EC2 nel cloud AWS. Inoltre, puoi utilizzare Azure AD Connect e AD FS per supportare SSO nelle applicazioni cloud, compreso Office 365. 

Sì. Puoi utilizzare AWS Managed Microsoft AD come resource forest contenente principalmente computer e gruppi con relazioni di trust per la tua directory locale. Questo permette ai tuoi utenti di accedere alle applicazioni e risorse AWS con le loro credenziali AD locali. 

Replica multi-regione

La replica multi-regione è una funzionalità che consente di distribuire e utilizzare una singola directory AWS Managed Microsoft Active Directory (AD) in più regioni AWS. Questo rende più semplice e più conveniente distribuire e gestire a livello globale i carichi di lavoro di Microsoft Windows e Linux. Con la funzionalità automatizzata di replica multi-regione, ottieni una maggiore resilienza, mentre le applicazioni utilizzano una directory locale per prestazioni ottimali. Questa funzionalità è disponibile solo in AWS Managed Microsoft AD (Enterprise Edition). È possibile utilizzare la funzionalità per directory nuove ed esistenti.

Innanzitutto apri la console AWS Directory Service nella regione in cui la directory è già impostata e in esecuzione (regione primaria). Seleziona la directory da espandere e scegli Region (Regione). Quindi, seleziona la regione in cui intendi espanderti, fornisci l'Amazon Virtual Private Cloud (VPC) e le subnet in cui distribuire la directory. Per espandere la directory, puoi usare anche le API. Per ulteriori informazioni, consulta la documentazione.

AWS Managed Microsoft AD configura automaticamente la connettività di rete tra regioni, distribuisce controller di dominio e replica tutti i dati delle directory, compresi gli utenti, i gruppi, gli oggetti Criteri di gruppo (GPO) e gli schemi, nelle regioni selezionate. Inoltre, AWS Managed Microsoft AD configura un nuovo sito Active Directory per ogni regione, il che migliora le prestazioni di replica dei controller di dominio e di autenticazione utente all'interno della regione riducendo al contempo i costi grazie alla limitazione dei trasferimenti di dati tra regioni. L'identificativo della directory (directory_id) rimane invariato nella nuova regione e viene distribuito nello stesso account AWS della regione primaria.

Sì, con la replica multi-regione disponi della flessibilità di condividere la propria directory con altri account AWS per ciascuna regione. Le configurazioni di condivisione delle directory non vengono replicate automaticamente dalla regione primaria. Per scoprire come condividere la directory con altri account AWS, consulta la documentazione.

Sì, grazie alla replica multi-regione disponi della flessibilità per definire il numero di controller di dominio per ciascuna regione. Per scoprire come aggiungere un controller di dominio, consulta la documentazione.

Grazie alla replica multi-regione, è possibile monitorare lo stato della directory in modo indipendente per ciascuna regione. Devi abilitare Amazon Simple Notification Service (SNS) in ogni regione in cui è stata distribuita la directory utilizzando la console o l'API di AWS Directory Service. Per ulteriori informazioni, consulta la documentazione.

Grazie alla replica multi-regione, è possibile monitorare i log di sicurezza della directory in modo indipendente per ciascuna regione. È necessario abilitare l'inoltro di Amazon CloudWatch Logs in ogni regione in cui è stata distribuita la directory utilizzando la console o l'API di AWS Directory Service. Per ulteriori informazioni, consulta la documentazione.

Sì, è possibile modificare il nome del sito AD della directory per ciascuna regione utilizzando gli strumenti AD standard. Per ulteriori informazioni, consulta la documentazione.

Sì. Se nella directory non sono state registrate applicazioni AWS e se la directory non è stata condivisa con altri account AWS della regione, AWS Managed Microsoft AD consente di rimuovere una regione AWS dalla directory. Non è possibile rimuovere la regione primaria, a meno che non si elimini la directory.

La replica multi-regione è compatibile con Amazon EC2, Amazon RDS (SQL Server, Oracle, MySQL, PostgreSQL e MariaDB), Amazon Aurora (MySQL e PostgreSQL) e Amazon FSx for Windows File Server in modo nativo. È anche possibile integrare altre applicazioni AWS, quali Amazon WorkSpaces, AWS Single Sign-On, AWS Client VPN, Amazon QuickSight, Amazon Connect, Amazon WorkDocs, Amazon WorkMail e Amazon Chime con la directory nelle nuove regioni, configurando AD Connector per la relativa directory di AWS Managed Microsoft AD per ogni regione.

Aggiunta ai domini ottimizzata

L'aggiunta ai domini ottimizzata è una caratteristica che ti consente di aggiungere al momento del lancio le istanze di Amazon EC2 per Windows Server e di Amazon EC2 per Linux a un dominio in modo ottimizzato, tramite la Console di gestione AWS. Puoi aggiungere le istanze avviate in AWS Cloud ad AWS Managed Microsoft AD.

Quando crei e lanci un'istanza EC2 per Windows o Linux dalla Console di gestione AWS, hai la possibilità di scegliere il dominio cui tale istanza viene aggiunta. Per ulteriori informazioni, consulta la documentazione.

Non puoi utilizzare l'aggiunta ai domini ottimizzata dalla Console di gestione AWS per le istanze EC2 per Windows Server e Linux esistenti, ma puoi aggiungere istanze esistenti a un dominio con l'API EC2 o tramite PowerShell sull'istanza. Per ulteriori informazioni, consulta la documentazione.

Al momento, l'aggiunta al dominio in modo ottimizzato è disponibile per Amazon Linux, Amazon Linux 2, CentOS 7 o successive, RHEL 7.5 o successive e Ubuntu 14 a 18.

Integrazione con IAM

AWS Directory Service permette di assegnare ruoli IAM agli utenti e ai gruppi di AWS Managed Microsoft AD o Simple AD nel cloud AWS, nonché agli utenti e ai gruppi di una Microsoft Active Directory locale esistente utilizzando AD Connector. Tali ruoli controllano l’accesso degli utenti ai servizi AWS in base alle policy IAM assegnate ai ruoli stessi. AWS Directory Service fornisce per la Console di gestione AWS un URL specifico per ciascun cliente, che gli utenti possono utilizzare per l’accesso con le loro credenziali aziendali esistenti. Per ulteriori informazioni su questa funzionalità, consulta la nostra documentazione

Conformità

Sì. AWS Managed Microsoft AD ha implementato i controlli necessari a permetterti di soddisfare i requisiti della normativa americana HIPAA (Health Insurance Portability and Accountability Act) ed è incluso come servizio di competenza nell'attestazione di conformità e riepilogo di responsabilità PCI DSS (Payment Card Industry Data Security Standard)

Per accedere a un elenco completo dei documenti relativi a conformità e sicurezza nel cloud AWS, consulta AWS Artifact.

La sicurezza, inclusa la conformità HIPAA e PCI DSS, è una responsabilità condivisa tra te e AWS. Ad esempio, è tua responsabilità configurare le tue policy per le password di AWS Managed Microsoft AD in modo da soddisfare i requisiti PCI DSS quando utilizzi AWS Managed Microsoft AD. Per maggiori informazioni sulle eventuali azioni da intraprendere per rispettare i requisiti di conformità HIPAA e PCI DSS, consulta la documentazione sulla conformità per AWS Managed Microsoft AD, leggi il whitepaper Architecting for HIPAA Security and Compliance su Amazon Web Services e consulta Conformità del cloud AWSConformità HIPAAConformità PCI DSS.

Ulteriori informazioni sui prezzi del Servizio di directory

Consulta gli esempi di prezzi e calcola i costi.

Ulteriori informazioni 
Registrati per creare un account AWS
Registrati per creare un account gratuito

Ottieni l'accesso immediato al piano gratuito di AWS. 

Registrati 
Inizia la creazione con Directory Service
Inizia a lavorare nella console

Inizia subito con AWS Directory Service nella console AWS

Accedi