Вопросы и ответы по AWS Directory Service

Общие вопросы

AWS Directory Service – это управляемый сервис каталогов, в которых содержатся сведения о вашей организации, включая информацию о пользователях, группах, компьютерах и других ресурсах. AWS Directory Service разрабатывался как управляемый сервис, призванный сократить количество административных задач, чтобы освободить время и ресурсы пользователя для развития бизнеса. Вам не придется создавать собственную сложную высокодоступную топологию каталогов, поскольку каждый каталог развертывается во множестве зон доступности, а система мониторинга автоматически обнаруживает и заменяет отказавшие контроллеры домена. Сервис также обеспечивает репликацию данных и ежедневное автоматическое создание снимков состояния. Он не требует установки программного обеспечения, к тому же AWS берет на себя все действия по установке исправлений и обновлений ПО.

AWS Directory Service позволяет легко установить и запустить службу каталогов в облаке AWS или соединить ваши ресурсы AWS с существующим локальным сервисом Microsoft Active Directory. С помощью созданного каталога можно управлять пользователями и группами, выполнять единый вход в приложения и сервисы, создавать и применять групповые политики, подключать инстансы Amazon EC2 к доменам, а также с легкостью развертывать в облаке рабочие нагрузки Linux и Microsoft Windows и управлять ими. AWS Directory Service позволяет конечным пользователям использовать существующие корпоративные данные для доступа, чтобы подключаться к приложениям AWS, таким как Amazon WorkSpaces, Amazon WorkDocs и Amazon WorkMail, а также к рабочим нагрузкам Microsoft с поддержкой каталогов, включая собственные приложения .NET и SQL Server. И наконец, вы можете использовать существующие корпоративные данные для доступа для администрирования ресурсов AWS через Консоль управления AWS благодаря доступу на основе ролей сервиса AWS Identity and Access Management (IAM), так что вам не придется расширять инфраструктуру федерации удостоверений.

Для создания каталогов можно использовать API или Консоль управления AWS. Нужно только указать некоторые основные сведения, в том числе полное доменное имя (FQDN) каталога, имя и пароль аккаунта администратора, а также VPC, к которому нужно подключить каталог.

Да, существующий инстанс EC2 на базе Linux или Windows можно добавить к каталогу AWS Managed Microsoft AD с помощью API или Консоли управления AWS.

Да, поддерживаются публичные API для создания каталогов и управления ими. Вы можете управлять каталогами программным путем, используя публичные API. Получить доступ к API можно через интерфейс командной строки и SDK AWS. Подробнее об API см. в документации по сервису каталогов AWS.

Да. Действия, совершенные через API AWS Directory Service или консоль управления сервиса, будут фиксироваться в журналах аудита CloudTrail.

Да. В сервисе Amazon Simple Notification Service (SNS) можно настроить отправку электронных писем и SMS-сообщений в случае изменения состояния каталогов AWS Directory Service. В сервисе Amazon SNS для сбора и отправки сообщений подписчикам используются темы. Когда сервис AWS Directory Service обнаруживает изменение состояния вашего каталога, он публикует сообщение в соответствующей теме, которое затем рассылается подписчикам этой темы. Подробнее см. в документации.

Подробнее см. на странице цен.

Да. Сервис AWS Directory Service поддерживает расстановку тегов для распределения расходов. Теги упрощают распределение расходов и оптимизацию затрат путем классификации и группировки ресурсов AWS. Например, можно использовать теги, чтобы сгруппировать ресурсы по администратору, по имени приложения, по центру затрат или по конкретному проекту.

Подробнее о доступности сервиса каталогов AWS по регионам см. на странице Продукты и сервисы по регионам.

С 31.05.2020 г. для доступа к файлам, хранящимся в общих папках SYSVOL и NETLOGON контроллеров домена для каталогов AWS Managed Microsoft AD, клиентские компьютеры смогут использовать только протокол SMB версии 2.0 (SMBv2) или новее. При этом AWS рекомендует клиентам использовать протокол SMBv2 или более новой версии во всех файловых сервисах на основе SMB.

AWS Managed Microsoft AD

Для создания каталога AWS Managed Microsoft AD нужно перейти в консоль AWS Directory Service из Консоли управления AWS. Можно также использовать AWS SDK или интерфейс командной строки AWS.

По умолчанию каталоги AWS Managed Microsoft AD развертываются в двух зонах доступности одного региона и подключаются к облаку Amazon Virtual Private Cloud (VPC). Резервные копии автоматически создаются раз в сутки, а тома Amazon Elastic Block Store (EBS) шифруются для обеспечения защиты данных при хранении. В случае отказа контроллеров доменов происходит их автоматическая замена в той же зоне доступности с сохранением IP-адреса; кроме того, возможно полное аварийное восстановление из последней резервной копии.

Нет. В настоящий момент такие функциональные возможности не поддерживаются.

Для управления пользователями и группами в каталогах AWS Managed Microsoft AD можно использовать имеющиеся инструменты Active Directory на компьютерах с Windows, подключенных к домену AWS Managed Microsoft AD. Никаких дополнительных инструментов, политик и новых подходов не требуется.

Для обеспечения работы управляемого сервиса AWS Managed Microsoft AD запрещает клиентам выполнять операции, которые могут помешать управлению сервисом. Поэтому AWS ограничивает доступ к объектам каталога, ролям и группам, требующим повышенных привилегий. AWS Managed Microsoft AD не разрешает прямой доступ хоста к контроллерам домена через подключение к удаленному рабочему столу Windows, удаленно через PowerShell, Telnet или Secure Shell (SSH). При создании каталога AWS Managed Microsoft AD с ним связывается организационное подразделение (OU) и административная учетная запись с делегированными административными правами для данного OU. Это позволяет создавать пользовательские аккаунты, группы и политики в пределах подразделения с помощью стандартных инструментов удаленного администрирования сервера, таких как пользователи и группы Active Directory или модуль PowerShell ActiveDirectory.

Да. Административный аккаунт, созданный при настройке AWS Managed Microsoft AD, делегирует права на управление группе безопасности сервисов удаленного доступа (RAS) и аутентификации интернет-соединений (IAS). Это позволяет регистрировать сервер NPS в AWS Managed Microsoft AD и управлять политиками сетевого доступа для аккаунтов в своем домене.

Да. AWS Managed Microsoft AD поддерживает расширения схемы, передаваемые сервису в виде файлов в формате LDAP Data Interchange (LDIF). Основная схема Active Directory поддается расширению, но не изменению.

Amazon Chime

Amazon Connect

Инстансы Amazon EC2

Amazon FSx for Windows File Server

Amazon QuickSight

Amazon RDS для MySQL

Amazon RDS для Oracle

Amazon RDS для PostgreSQL

Amazon RDS для SQL Server

Amazon Single Sign On

Amazon WorkDocs

Amazon WorkMail

Amazon WorkSpaces

AWS Client VPN

Консоль управления AWS

Обратите внимание: поддерживаться могут не все конфигурации этих приложений.

Сервис AWS Managed Microsoft AD основан на реальной системе Active Directory и предоставляет самый широкий ассортимент встроенных инструментов AD, а также поддержку сторонних приложений, в том числе перечисленных ниже.

Активация с помощью Active Directory (ADBA)

Службы сертификатов Active Directory (AD CS): корпоративный центр сертификации

Active Directory Federation Services (AD FS)

Пользователи и компьютеры Active Directory (ADUC)

Application Server (.NET)

Azure Active Directory (Azure AD)

Azure Active Directory (AD) Connect

Репликация распределенной файловой системы (DFSR)

Пространства имен распределенной файловой системы (DFSN)

Сервер лицензирования служб удаленных рабочих столов Microsoft

Microsoft SharePoint Server

Microsoft SQL Server (включая группы доступности SQL Server Always On)

Microsoft System Center Configuration Manager (SCCM)

ОС Microsoft Windows и Windows Server

Office 365

Active Directory Certificate Services (AD CS): веб-сервис регистрации сертификатов

Active Directory Certificate Services (AD CS): веб-сервис политики регистрации сертификатов

Microsoft Exchange Server

Microsoft Skype для бизнеса Server

AWS не предоставляет инструментов миграции самоуправляемых систем Active Directory в AWS Managed Microsoft AD. Для проведения миграции необходимо разработать соответствующую стратегию с учетом сброса паролей, а затем реализовать ее с помощью инструментов удаленного администрирования серверов.

Да. Настроить серверы условной пересылки и доверительные отношения для AWS Managed Microsoft AD можно с помощью консоли сервиса каталогов, а также API

Да. Дополнительные контроллеры доменов можно добавить в управляемый домен с помощью консоли сервиса каталогов AWS или API. Обратите внимание: привязка инстансов Amazon EC2 к контроллерам домена вручную не поддерживается. 

Да. Для аутентификации пользователей Office 365 можно синхронизировать удостоверения из AWS Managed Microsoft AD с Azure AD с помощью Azure AD Connect и использовать Microsoft Active Directory Federation Services (AD FS) для Windows 2016 с AWS Managed Microsoft AD. Пошаговые инструкции см. в разделе Как предоставить пользователям доступ к Office 365 с учетными данными AWS Microsoft Active Directory.  

Да. Для аутентификации пользователей в облачных приложениях, поддерживающих SAML, можно использовать Microsoft Active Directory Federation Services (AD FS) для Windows 2016 с управляемым доменом AWS Managed Microsoft AD. 

Да. AWS Managed Microsoft AD поддерживает протокол Lightweight Directory Access Protocol (LDAP) через Secure Socket Layer (SSL) / Transport Layer Security (TLS), также известный как LDAPS, для ролей как клиента, так и сервера. При работе в роли сервера AWS Managed Microsoft AD поддерживает LDAPS через порты 636 (SSL) и 389 (TLS). Чтобы активировать LDAPS на стороне сервера, нужно установить на контроллерах домена AWS Managed Microsoft AD сертификат из центра сертификации (CA) Active Directory Certificate Services, работающего на AWS. Подробнее об этом см. в разделе Включение защищенного протокола LDAP (LDAPS)

Да. AWS Managed Microsoft AD поддерживает протокол Lightweight Directory Access Protocol (LDAP) через Secure Socket Layer (SSL) / Transport Layer Security (TLS), также известный как LDAPS, для ролей как клиента, так и сервера. При работе в роли клиента AWS Managed Microsoft AD поддерживает LDAPS через порт 636 (SSL). Чтобы активировать передачу данных по LDAPS на стороне клиента, требуется зарегистрировать в AWS сертификаты используемого центра сертификации (CA) на стороне сервера. Подробнее об этом см. в разделе Включение защищенного протокола LDAP (LDAPS)

AWS Managed Microsoft AD поддерживает как подписи LDAP, так и LDAP через SSL/TLS (LDAPS) при работе в качестве клиентов LDAP, взаимодействующих с самоуправляемым сервисом Active Directory. Чтобы включить подписи LDAP на стороне клиента, от пользователя не требуется никаких действий. При этом также обеспечивается целостность данных. LDAPS на стороне клиента нуждается в настройке и также обеспечивает целостность и конфиденциальность данных. Подробнее см. в этом сообщении на форумах AWS

AWS Managed Microsoft AD (Standard Edition) предусматривает 1 ГБ хранилища для объектов каталога. Этого объема достаточно для поддержки до 5000 пользователей или 30 000 объектов каталога, в том числе пользователей, групп и компьютеров. AWS Managed Microsoft AD (Enterprise Edition) предусматривает 17 ГБ хранилища для объектов каталога, чего достаточно для 100 000 пользователей или 500 000 объектов. 

Да. Сервис можно использовать в качестве основного каталога для управления пользователями, группами, компьютерами и объектами групповых политик (GPO) в облаке. Вы можете управлять доступом и использовать технологию единого входа (SSO) в приложениях и сервисах AWS, а также в приложениях сторонних разработчиков с поддержкой каталогов, работающих на инстансах Amazon EC2 в облаке AWS. Кроме того, можно использовать Azure AD Connect и AD FS для поддержки SSO в облачных приложениях, в том числе в Office 365. 

Да. AWS Managed Microsoft AD можно использовать в качестве леса ресурсов, который содержит прежде всего компьютеры и группы, состоящие в доверительных отношениях с локальным каталогом. Это позволяет пользователям получать доступ к приложениям и ресурсам AWS с использованием локальных учетных данных AD. 

Многорегиональная репликация

Многорегиональная репликация – это функция, с помощью которой можно развернуть и использовать один каталог AWS Managed Microsoft AD в нескольких регионах AWS. Такое решение упрощает развертывание рабочих нагрузок Microsoft Windows и Linux и управление ими в глобальном масштабе, а также позволяет снизить затраты. Использование автоматической многорегиональной репликации приводит к повышению отказоустойчивости, при этом ваши приложения используют локальный каталог для оптимальной производительности. Эта функция доступна только в AWS Managed Microsoft AD (Enterprise Edition). Ее можно использовать для новых и имеющихся каталогов.

Сначала откройте консоль AWS Directory Service в регионе, где ваш каталог уже запущен и работает (основной регион). Выберите каталог, который необходимо развернуть, затем нажмите Add Region (Добавить регион). После этого укажите нужный регион, Amazon Virtual Private Cloud (VPC) и подсети, в которых вы хотите развернуть свой каталог. Для развертывания каталога также можно использовать API. Подробнее см. в документации.

AWS Managed Microsoft AD автоматически настраивает межрегиональное сетевое подключение, развертывает контроллеры домена и реплицирует все данные вашего каталога, включая пользователей, группы, объекты групповой политики (GPO) и схему, в выбранных вами регионах. Кроме того, AWS Managed Microsoft AD настраивает новый сайт AD для каждого региона, что позволяет оптимизировать аутентификацию пользователей и производительность репликации контроллера домена в регионе, а также снизить затраты за счет сведения передачи данных между регионами к минимуму. Для нового региона используется тот же идентификатор каталога (directory_id), что и в учетной записи AWS для вашего основного региона.

Да. Используя функцию многорегиональной репликации вы можете поделиться своим каталогом с другими учетными записями AWS в каждом регионе. Настройки доступа к каталогу не реплицируются автоматически из основного региона. Подробнее о том, как поделиться каталогом с другими аккаунтами AWS, см. в документации.

Да, с помощью многорегиональной репликации вы можете легко определять количество контроллеров домена для каждого региона. Подробнее о том, как добавить контроллер домена, см. в документации.

В случае применения функции многорегиональной репликации вы отслеживаете статус каталога отдельно для каждого региона. Используя консоль AWS Directory Service или API, необходимо активировать Amazon Simple Notification Service (SNS) в каждом регионе, где вы развернули свой каталог. Подробнее см. в документации.

В случае применения функции многорегиональной репликации вы отслеживаете статус журнала безопасности каталога отдельно для каждого региона. Используя консоль AWS Directory Service или API, необходимо активировать Amazon CloudWatch Logs в каждом регионе, где вы развернули свой каталог. Подробнее см. в документации.

Да, вы можете переименовать название сайта AD вашего каталога для каждого региона, используя стандартные инструменты AD. Подробнее см. в документации.

Да. Если у вас нет приложений AWS, зарегистрированных в каталоге, и вы не предоставили доступ к каталогу ни одной учетной записи AWS в регионе, можно удалить регион из вашего каталога с помощью AWS Managed Microsoft AD. Основной регион можно удалить только вместе с каталогом.

Функция многорегиональной репликации можно использовать вместе с Amazon EC2, Amazon RDS (SQL Server, Oracle, MySQL, PostgreSQL и MariaDB), Amazon Aurora (MySQL и PostgreSQL) и Amazon FSx для файлового сервера Windows. Вы также можете интегрировать другие приложения AWS, такие как Amazon WorkSpaces, AWS Single Sign-On, AWS Client VPN, Amazon QuickSight, Amazon Connect, Amazon WorkDocs, Amazon WorkMail и Amazon Chime, с вашим каталогом в новых регионах, настроив AD Connector в соответствии с каталогом AWS Managed Microsoft AD для каждого региона.

Простое присоединение к домену

Простое присоединение к домену – это возможность, позволяющая легко присоединять к домену инстансы Amazon EC2 для Windows Server и Amazon EC2 для Linux во время их запуска, используя для этого Консоль управления AWS. При запуске сервиса AWS Managed Microsoft AD в облаке AWS к нему можно присоединять свои инстансы.

Создав и запустив через Консоль управления AWS инстанс EC2 для Windows или EC2 для Linux, вы можете выбрать, к какому домену присоединить этот инстанс. Подробнее см. в документации.

Для существующих инстансов EC2 для Windows Server и EC2 для Linux недоступна функция простого присоединения к домену из Консоли управления AWS, но вы можете присоединить существующие инстансы к домену с помощью API EC2 или при помощи PowerShell в инстансе. Подробнее см. в документации.

В настоящее время функция простого присоединения к домену доступна для Amazon Linux, Amazon Linux 2, CentOS 7 (и более поздних версий), RHEL 7.5 (и более поздних версий) и Ubuntu 14–18.

Интеграция с IAM

В AWS Directory Service можно назначать роли IAM пользователям и группам AWS Managed Microsoft AD или Simple AD в облаке AWS, а также существующим локальным пользователям и группам Microsoft Active Directory с помощью AD Connector. Эти роли на основе присвоенных им политик IAM будут контролировать доступ пользователей к сервисам AWS. Сервис AWS Directory Service предоставит для каждого клиента индивидуальный URL, по которому можно войти в Консоль управления AWS, используя существующие корпоративные данные для доступа. Подробнее об этой функции см. в документации

Соответствие требованиям

Да. В AWS Managed Microsoft AD реализованы средства управления, необходимые для обеспечения соответствия требованиям Закона США о передаче и защите данных учреждений здравоохранения (HIPAA). Кроме того, этот сервис включен в качестве соответствующего сервиса в Отчет о подтверждении соответствия и ответственности Стандарта безопасности данных индустрии платежных карт (PCI DSS)

Чтобы получить доступ к полному перечню документов, связанных с обеспечением соответствия требованиям и безопасностью в облаке AWS, обратитесь к сервису AWS Artifact.

Обеспечение безопасности, включая соответствие требованиям HIPAA и PCI DSS, — это сфера общей ответственности AWS и клиента. Например, в зону ответственности клиента входит настройка политик паролей управляемой AWS Microsoft AD в соответствии с требованиями PCI DSS при использовании управляемой AWS Microsoft AD. Для получения дополнительной информации о действиях, которые могут потребоваться для обеспечения соответствия требованиям HIPAA и PCI DSS, изучите документацию о соответствии требованиям для AWS Managed Microsoft AD, материал Создание архитектуры, соответствующей требованиям HIPAA на странице технических описаний Amazon Web Services, а также разделы Соответствие облака AWS нормативным требованиям, Соответствие требованиям HIPAA и Соответствие требованиям PCI DSS.

Подробнее о ценах на Сервис каталогов

Ознакомьтесь с примерами расчета стоимости и рассчитайте свои расходы.

Подробнее 
Зарегистрировать аккаунт AWS
Зарегистрировать бесплатный аккаунт

Получите мгновенный доступ к уровню бесплатного пользования AWS. 

Регистрация 
Начать разработку с помощью Directory Service
Начать разработку в консоли

Начните разработку с использованием AWS Directory Service в Консоли AWS.

Войти