跳至主要內容

AWS Directory Service

AWS Directory Service 功能

概觀

AWS Directory Service 為組織提供無縫的路徑,以便將與 Active Directory 相關的工作負載遷移至雲端。透過提供全受管原生 Windows Server Active Directory,該服務讓 IT 團隊能夠利用現有的 AD 技能和應用程式,同時受益於增強的安全性、可靠性與可擴展性。企業可以輕鬆地將其 AD 環境與 Amazon RDS、FSx 和 EC2 等雲端託管服務整合,從而實現跨環境一致的 AD 管理體驗。 

該服務具有強大的安全功能,包括端對端加密,符合業界標準,以及保護敏感資料。此外,憑藉多區域部署和自主管理,AWS Directory Service 確保您的關鍵目錄服務仍然具有高度可用性,即使面臨中斷。無論您是 IT 決策者、架構師,還是資訊長,AWS Directory Service 都能精簡您的雲端轉型之旅,讓您透過安全、可擴展的身分管理,讓您實現 AD 基礎設施現代化,並為員工賦能。 

可用性、可擴展性和恢復能力

全部開啟

    由於目錄是任務關鍵型基礎設施,因此 AWS Managed Microsoft AD 部署為高可用性 AWS 基礎設施且跨多個可用區域。網域控制器預設會在一個區域中的兩個可用區域部署,並且連線到您的 Amazon 虛擬私有雲 (VPC)。系統會每天自動備份一次,而且 Amazon Elastic Block Store (EBS) 磁碟區會經過加密以確保靜態資料的安全。在使用相同 IP 地址的同一可用區域內的網域控制站故障時,會被自動更換掉,並使用最新的備份進行災難復原。

    AWS 管理的微軟 AD 在由 Windows 伺服器 2019 支援的 AWS 受管基礎架構上執行。當您選取並啟動此目錄類型時,會做為連線至虛擬私人雲端 (VPC) 的高可用性網域控制站配對來建立。網域控制站會在您所選區域的不同可用區域中執行。根據 AWS 目錄服務的服務層級協議 (SLA) 為您設定和管理主機監控和復原、資料複製、快照和軟體更新。

全球工作負載管理

全部開啟

    多區域複寫可讓您在多個 AWS 區域部署和使用單一 AWS 受管理的 Microsoft AD 目錄。這讓您可以更簡單、更具成本效益地在全球範圍內部署和管理 Microsoft Windows 和 Linux 工作負載。借助自動的多區域複寫功能,您可以取得更高的彈性,而應用程式可以使用本機目錄實現更佳效能。

    AWS 管理的 Microsoft AD 與 AWS 組織緊密整合,允許跨多個 AWS 帳戶無縫共用目錄。您可以與同一組織內的其他受信任 AWS 帳戶共用單一目錄,或與組織外部的其他 AWS 帳戶共用該目錄。當您的 AWS 帳戶目前不是組織成員時,您也可以共用該目錄。

原生 Windows 2019 AD 功能

全部開啟

    AWS 管理的 Microsoft AD 可讓您針對全新和現有的 Windows 伺服器的 Amazon EC2,以及適用於 Linux 執行個體的亞馬遜 EC2,使用無縫網域加入。如果是全新 EC2 執行個體,您可以使用 AWS 管理主控台,選擇在啟動時要加入哪個網域。透過使用 EC2Config 服務,則可針對現有 EC2 執行個體使用無縫網域加入功能。Amazon EC2 執行個體也可以從任何 AWS 帳戶和區域內的任何 Amazon VPC 加入單一共享的目錄。

    您可以新增物件類別和屬性,藉此來延伸 AWS Managed Microsoft AD 結構描述。您也可以使用綱要擴充功能來啟用依賴特定 Active Directory 物件類別和屬性的應用程式的支援。如果您需要將依賴於 AWS Managed Microsoft AD 的公司應用程式遷移至 AWS 雲端,這會特別有用。(來源)

    管理員可以使用稱為群組受管理服務帳戶 (GMSA) 的方法來管理服務帳戶使用 gMSA,服務管理員不再需要手動管理服務執行個體之間的密碼同步化。取而代之的是,管理員只需在 Active Directory 中建立一個 gMSA,然後設定多個服務執行個體以使用該單一 gMSA。若要授予許可,讓 AWS Managed Microsoft AD 中的使用者可以建立 gMSA,您必須將其帳戶新增為 AWS 委派受管服務帳戶管理員安全群組的成員。管理員帳戶預設會是此群組的成員。

    您可以使用 AD 信任關係,將 AWS Managed Microsoft AD 與現有 AD 整合。使用信任可讓您使用現有的 Active Directory 來控制哪些 AD 使用者可以存取 AWS 資源。

    AWS Managed Microsoft AD 使用相同的 Kerberos 身份驗證,來作為您的現有內部部署 AD。透過將您的 AWS 資源與 AWS 管理的 Microsoft AD 整合,您的 AD 使用者可以使用單一憑證集以 SSO 登入 AWS 應用程式和資源。

安全與合規

全部開啟

    您可以為 AWS Managed Microsoft AD 設定精細的目錄設定,以滿足您的合規與安全要求,而不會增加營運工作負載。在目錄設定中,您可以為目錄中使用的通訊協定和密碼更新安全通道組態。例如,您可以靈活地停用個別舊式密碼 (例如 RC4 或 DES),以及 SSL 2.0/3.0 和 TLS 1.0/1.1 等通訊協定。然後,AWS Managed Microsoft AD 會將組態部署到目錄中的所有網域控制站、管理網域控制站重新啟動,以及在橫向擴展或部署其他 AWS 區域時維護此組態。如需所有可用的設定,請參閱目錄安全性設定清單。

    AWS 管理的 Microsoft AD AD 連接器與 AWS 專用憑證授權單位 (AWS 私有 CA) AD 連接器整合可讓您使用 AWS 私有 CA 發行的憑證註冊 AD 網域加入的物件 (包括使用者、群組和機器)。 您可以使用 AWS Private CA 做為自我管理企業 CA 的即用替代方案,無需部署、修補或更新本機代理程式或代理伺服器。只需按幾下滑鼠,或透過 API 以程式設計方式,即可設定 AWS Private CA 與目錄的整合。

    您可以使用 AWS Managed Microsoft AD,來建置和執行符合美國聯邦政府風險與授權管理計畫 (FedRAMP)、健康保險可攜性和責任法(HIPAA)和支付卡行業數據安全標準(PCI DSS)合規計劃當您管理自己的 HIPAA 風險管理方案、PCI DSS 或 FedRAMP 合規認證時,AWS Managed Microsoft AD 可減少為雲端應用程式部署合規 AD 基礎架構所花費的心力。 請參閱 AWS Managed AD 符合資格的合規計的完整清單。

監控、記錄與可觀測性

全部開啟

    AWS 目錄服務與 Amazon CloudWatch 整合,協助您為目錄中每個網域控制站提供重要的效能指標。這意味著您可以監控網域控制站效能計數器,例如 CPU 和記憶體使用率。您還可以設定警示並啟用自動化動作,以在高使用率期間做出回應。 

    使用 AWS 目錄服務主控台或 API,將網域控制器安全事件記錄轉寄到 Amazon CloudWatch 記錄檔。這可讓目錄中的安全事件公開透明,協助滿足安全監控、稽核和日誌保留政策需求。您也可以將安全事件記錄從目錄轉寄至您選擇的 Amazon Web 服務 (AWS) 帳戶中的 Amazon CloudWatch 記錄檔,並使用 AWS 服務或第三方應用程式集中監控事件,例如擁有 AWS 安全能力的 AWS 合作夥伴網路 (APN) 進階技術合作夥 Splunk

AD 依賴工作負載移轉和 AWS 應用程式整合

全部開啟

    AWS 管理的 Microsoft AD (混合版) 可讓您將現有的 AD 網域擴展到 AWS,從而在您的 AD 環境中建立統一目錄體驗。此解決方案可在內部部署和雲端資源之間順暢整合,確保整個基礎架構的一致身分管理。

    對於尋求專用雲端目錄服務的組織,我們的標準版和企業版本會在 AWS 中建立新的 AD 網域,能夠與您現有 AD 基礎架構建立安全的信任關係。這為您提供了彈性來維護單獨的目錄服務,同時確保環境之間的無縫互動。AD 連接器提供代理服務,可將 AWS 服務連接到您現有的 AD,而無需將目錄資料儲存在雲端中。這是一個輕巧、具成本效益的解決方案,可協助您在利用 AWS 服務的同時利用現有 AD 投資。

    您可以透過選取 AWS Managed Microsoft AD 作為身份來源,授予內部部署 AD 使用者存取權,以使用 AWS Identity Center (AWS SSO 的後繼者) 的現有 AD 憑證登入 AWS 管理主控台和 AWS CLI。這讓您的使用者能夠在登入時擔任其指派的角色之一,並根據為角色定義的許可來存取資源並對其採取動作。另一個選項是使用 AWS 管理的 Microsoft AD 讓您的使用者擔任 AWS 身分與存取管理 (IAM) 角色。