Was ist AWS Directory Service? - AWS Directory Service
Welche sollte man auswählenAWS Directory Service OptionenArbeiten mit Amazon EC2

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Was ist AWS Directory Service?

AWS Directory Service bietet mehrere Möglichkeiten, Microsoft Active Directory (AD) mit anderen AWS Diensten zu verwenden. Verzeichnisse speichern Informationen über Benutzer, Gruppen und Geräte, und Administratoren verwenden sie, um den Zugriff auf Informationen und Ressourcen zu verwalten. AWS Directory Service bietet Kunden, die bestehende Microsoft AD- oder LDAP-fähige Anwendungen (Lightweight Directory Access Protocol) in der Cloud verwenden möchten, mehrere Verzeichnisoptionen. Dieselben Optionen bietet es Entwicklern, die ein Verzeichnis zum Verwalten von Benutzern, Gruppen, Geräten und Zugriff benötigen.

Welche sollte man auswählen

Sie können Verzeichnisdienste mit der Kapazität und der Skalierbarkeit wählen, die Ihren Anforderungen am besten entsprechen. Anhand der folgenden Tabelle können Sie ermitteln, welche AWS Directory Service Verzeichnisoption für Ihr Unternehmen am besten geeignet ist.

Was müssen Sie als Nächstes tun? Empfohlene AWS Directory Service Optionen
Ich benötige Active Directory oder LDAP für meine Anwendungen in der Cloud.

Verwenden Sie AWS Directory Service für Microsoft Active Directory (Standard Edition oder Enterprise Edition), wenn Sie eine Lösung Microsoft Active Directory in der AWS Cloud benötigen, die Workloads oder AWS Anwendungen und Dienste wie Amazon WorkSpaces und Amazon unterstützt Active Directory QuickSight, oder wenn Sie LDAP-Unterstützung für Linux-Anwendungen benötigen.

Verwenden Sie AD Connector, wenn Sie Ihren lokalen Benutzern nur erlauben müssen, sich mit ihren Active Directory Anmeldeinformationen bei AWS Anwendungen und Diensten anzumelden. Sie können AD Connector auch verwenden, um Amazon EC2 EC2-Instances mit Ihrer bestehenden Active Directory Domain zu verbinden.

Verwenden Sie Simple AD, wenn Sie ein niedriges, kostengünstiges Verzeichnis mit Active Directory Basiskompatibilität benötigen, das Samba 4-kompatible Anwendungen unterstützt, oder wenn Sie LDAP-Kompatibilität für LDAP-fähige Anwendungen benötigen.
Ich entwickle SaaS-Anwendungen. Verwenden Sie Amazon Cognito, wenn Sie umfangreiche SaaS-Anwendungen entwickeln und ein skalierbares Verzeichnis benötigen, um Ihre Abonnenten zu verwalten und zu authentifizieren, die mit Social Media-Identitäten arbeiten.

Weitere Informationen zu AWS Directory Service Verzeichnisoptionen finden Sie unter So wählen Sie Lösungen auf. Active DirectoryAWS

AWS Directory Service Optionen

AWS Directory Service beinhaltet mehrere Verzeichnistypen, aus denen Sie wählen können. Weitere Informationen finden Sie auf einer der folgenden Registerkarten:

AWS Directory Service for Microsoft Active Directory

Der AWS Directory Service für Microsoft Active Directory, auch AWS Managed Microsoft AD genannt, wird von einem echten Microsoft Windows Server Active Directory (AD) betrieben, das AWS in der AWS Cloud verwaltet wird. Damit können Sie eine Vielzahl von Active Directory-fähigen Anwendungen in die Cloud migrieren. AWS AWS Managed Microsoft AD funktioniert mit Microsoft SharePoint Microsoft SQL Server Always-On-Verfügbarkeitsgruppen und vielen .NET-Anwendungen. Es unterstützt auch AWS verwaltete Anwendungen und Dienste wie Amazon WorkSpaces, Amazon WorkDocs, Amazon QuickSight, Amazon Chime, Amazon Connect und Amazon Relational Database Service für Microsoft SQL Server (Amazon RDS fürSQL Server, Amazon RDS für und Amazon RDS for Oracle PostgreSQL).

AWS Managed Microsoft AD ist für Anwendungen in der AWS Cloud zugelassen, die der Einhaltung des US-amerikanischen Health Insurance Portability and Accountability Act (HIPAA) oder des Payment Card Industry Data Security Standard (PCI DSS) unterliegen, wenn Sie die Compliance für Ihr Verzeichnis aktivieren.

Alle kompatiblen Anwendungen funktionieren mit Benutzeranmeldeinformationen, die Sie in AWS Managed Microsoft AD speichern, oder Sie können vertrauenswürdig eine Verbindung zu Ihrer vorhandenen AD-Infrastruktur herstellen und Anmeldeinformationen von einem lokal oder unter EC2 Active Directory laufenden Windows verwenden. Wenn Sie EC2-Instances mit Ihrem AWS Managed Microsoft AD verbinden, können Ihre Benutzer auf Windows-Workloads in der AWS Cloud mit derselben Windows Single Sign-On (SSO) -Erfahrung zugreifen wie beim Zugriff auf Workloads in Ihrem lokalen Netzwerk.

AWS Managed Microsoft AD unterstützt auch föderierte Anwendungsfälle mit Active Directory Anmeldeinformationen. Allein mit AWS Managed Microsoft AD können Sie sich bei der anmelden AWS Management Console. Mit AWS IAM Identity Centerkönnen Sie auch kurzfristige Anmeldeinformationen für die Verwendung mit dem AWS SDK und der CLI abrufen und vorkonfigurierte SAML-Integrationen verwenden, um sich bei vielen Cloud-Anwendungen anzumelden. Durch Hinzufügen Microsoft Entra Connect (früher bekannt alsAzure Active Directory Connect) und optional Active Directory Federation Service (AD FS) können Sie sich mit in AWS Managed Microsoft AD gespeicherten Anmeldeinformationen bei Microsoft Office 365 und anderen Cloud-Anwendungen anmelden.

Der Service umfasst die wichtigsten Funktionen, mit denen Sie Ihr Schema erweitern, Passwortrichtlinien verwalten und eine sichere LDAP-Kommunikation über Secure Socket Layer (SSL)/Transport Layer Security (TLS) aktivieren können. Sie können auch die Multi-Faktor-Authentifizierung (MFA) für AWS Managed Microsoft AD aktivieren, um eine zusätzliche Sicherheitsebene zu bieten, wenn Benutzer über das Internet auf AWS Anwendungen zugreifen. Da Active Directory es sich um ein LDAP-Verzeichnis handelt, können Sie AWS Managed Microsoft AD auch für die Linux Secure Shell (SSH) -Authentifizierung und für andere LDAP-fähige Anwendungen verwenden.

AWS bietet Überwachung, tägliche Snapshots und Wiederherstellung als Teil des Dienstes. Sie fügen Benutzer und Gruppen zu AWS Managed Microsoft AD hinzu und verwalten Gruppenrichtlinien mithilfe vertrauter Active Directory Tools, die auf einem Windows Computer ausgeführt werden, der zur AWS Managed Microsoft AD-Domäne gehört. Sie können das Verzeichnis auch skalieren, indem Sie zusätzliche Domain-Controller bereitstellen, und verbessern die Anwendungsleistung, indem Sie Anfragen über eine größere Anzahl von Domain-Controllern verteilen.

AWS Managed Microsoft AD ist in zwei Editionen erhältlich: Standard und Enterprise.

  • Standard Edition: AWS Managed Microsoft AD (Standard Edition) ist als primäres Verzeichnis für kleine und mittelgroße Unternehmen mit bis zu 5 000 Mitarbeitern optimiert. Es bietet genügend Speicherkapazität für bis zu 30.000* Verzeichnisobjekte, wie beispielsweise Benutzer, Gruppen und Computer.

  • Enterprise Edition: AWS Managed Microsoft AD (Enterprise Edition) ist für Unternehmen und Organisationen mit bis zu 500 000* Verzeichnisobjekten ausgelegt.

* Die Obergrenzen sind Annäherungswerte. Ihr Verzeichnis kann mehr oder weniger Verzeichnisobjekte unterstützen, abhängig von der Größe Ihrer Objekte und dem Verhalten und den Leistungsanforderungen Ihrer Anwendungen.

Wann sollte dies verwendet werden?

AWS Managed Microsoft AD ist die beste Wahl, wenn Sie aktuelle Active Directory Funktionen zur Unterstützung von AWS Anwendungen oder Windows Workloads benötigen, einschließlich Amazon Relational Database Service für. Microsoft SQL Server Es ist auch am besten, wenn Sie eine eigenständige Lösung Active Directory in der AWS Cloud benötigen, die Office 365 unterstützt, oder wenn Sie ein LDAP-Verzeichnis zur Unterstützung Ihrer Linux-Anwendungen benötigen. Weitere Informationen finden Sie unter AWS Verwaltetes Microsoft AD.

AD Connector

AD Connector ist ein Proxy-Service, der eine einfache Möglichkeit bietet, kompatible AWS Anwendungen wie Amazon WorkSpaces, Amazon und Amazon QuickSight EC2 für Windows Server Instances mit Ihren vorhandenen lokalen Microsoft Active Directory Systemen zu verbinden. Mit AD Connector können Sie einfach ein Dienstkonto zu Ihrem hinzufügenActive Directory. Außerdem ist es mit AD Connector nicht mehr notwendig, Verzeichnisse zu synchronisieren. Die Kosten und die Komplexität des Hostings einer komplexen Verbund-Infrastruktur fallen weg.

Wenn Sie Benutzer zu AWS Anwendungen wie Amazon hinzufügen QuickSight, liest AD Connector Ihre vorhandenen, Active Directory um Listen mit Benutzern und Gruppen zu erstellen, aus denen Sie auswählen können. Wenn sich Benutzer bei den AWS Anwendungen anmelden, leitet AD Connector Anmeldeanfragen zur Authentifizierung an Ihre lokalen Active Directory Domänencontroller weiter. AD Connector funktioniert mit vielen AWS Anwendungen und Diensten WorkSpaces, darunter Amazon WorkDocs, Amazon QuickSight, Amazon Chime, Amazon Connect und Amazon WorkMail. Sie können Ihre Windows EC2-Instances auch über AD Connector mit Ihrer lokalen Active Directory Domain verbinden, indem Sie Seamless Domain Join verwenden. Mit AD Connector können Ihre Benutzer auch auf die AWS Ressourcen zugreifen AWS Management Console und diese verwalten, indem sie sich mit ihren vorhandenen Active Directory Anmeldeinformationen anmelden. AD Connector ist nicht kompatibel mit RDS SQL Server.

Sie können AD Connector auch verwenden, um die Multi-Faktor-Authentifizierung (MFA) für Ihre AWS Anwendungsbenutzer zu aktivieren, indem Sie sie mit Ihrer vorhandenen RADIUS-basierten MFA-Infrastruktur verbinden. Dies sorgt für eine zusätzliche Sicherheitsebene, wenn Benutzer auf AWS -Anwendungen zugreifen.

Mit AD Connector verwalten Sie Ihre weiterhin Active Directory wie bisher. Sie fügen beispielsweise neue Benutzer und Gruppen hinzu und aktualisieren Kennwörter mithilfe von Active Directory Standard-Verwaltungstools vor OrtActive Directory. Auf diese Weise können Sie Ihre Sicherheitsrichtlinien wie Ablauf von Kennwörtern, Kennwortverlauf und Kontosperrungen konsistent durchsetzen, unabhängig davon, ob Benutzer auf Ressourcen vor Ort oder in der AWS Cloud zugreifen.

Wann sollte dies verwendet werden?

AD Connector ist die beste Wahl, wenn Sie Ihr vorhandenes lokales Verzeichnis mit kompatiblen AWS Diensten verwenden möchten. Weitere Informationen finden Sie unter AD Connector.

Simple AD

Simple AD ist ein Microsoft Active Directory — kompatibles Verzeichnis AWS Directory Service , das von Samba 4 unterstützt wird. Simple AD unterstützt grundlegende Active Directory Funktionen wie Benutzerkonten, Gruppenmitgliedschaften, Beitritt zu einer Linux-Domäne oder Windows basierten EC2-Instances, Kerberos-basiertes SSO und Gruppenrichtlinien. AWS bietet Überwachung, tägliche Snapshots und Wiederherstellung als Teil des Service.

Simple AD ist ein eigenständiges Verzeichnis in der Cloud, in dem Sie Benutzeridentitäten erstellen und verwalten und den Zugriff auf Anwendungen verwalten können. Sie können viele vertraute Anwendungen und Tools verwendenActive Directory, für die grundlegende Funktionen erforderlich sind. Active Directory Simple AD ist mit den folgenden AWS Anwendungen kompatibel: Amazon WorkSpaces WorkDocs, Amazon QuickSight, Amazon und Amazon WorkMail. Sie können sich auch AWS Management Console mit Simple AD AD-Benutzerkonten anmelden und AWS Ressourcen verwalten.

Simple AD unterstützt keine Multi-Faktor-Authentifizierung (MFA), Vertrauensstellungen, dynamische DNS-Updates, Schemaerweiterungen, Kommunikation über LDAPS, PowerShell AD-Cmdlets oder FSMO-Rollenübertragung. Simple AD ist nicht kompatibel mit RDS SQL Server. Kunden, die die Funktionen eines aktuellen Verzeichnisses benötigen oder beabsichtigen MicrosoftActive Directory, ihr Verzeichnis mit RDS SQL Server zu verwenden, sollten stattdessen AWS Managed Microsoft AD verwenden. Bitte überprüfen Sie, ob Ihre erforderlichen Anwendungen vollständig mit Samba 4 kompatibel sind, bevor Sie Simple AD verwenden. Weitere Informationen finden Sie unter https://www.samba.org.

Wann sollte dies verwendet werden?

Sie können Simple AD als eigenständiges Verzeichnis in der Cloud verwenden, um Windows Workloads zu unterstützen, die grundlegende Active Directory Funktionen und kompatible AWS Anwendungen benötigen, oder um Linux-Workloads zu unterstützen, die einen LDAP-Dienst benötigen. Weitere Informationen finden Sie unter Simple AD.

Amazon Cognito

Amazon Cognito ist ein Benutzerverzeichnis, das Registrierung und Anmeldung für mobile Apps oder Webanwendungen über Amazon-Cognito-Benutzerpools hinzufügt.

Wann sollte dies verwendet werden?

Sie können Amazon Cognito auch für die Erstellung benutzerdefinierter Registrierungsfelder verwenden und die Metadaten in Ihrem Benutzerverzeichnis speichern. Dieser vollständig verwaltete Service unterstützt Hunderte Millionen von Benutzern. Weitere Informationen finden Sie unter Amazon-Cognito-Benutzerpools im Amazon-Cognito-Entwicklerhandbuch.

Eine Liste der unterstützten Verzeichnistypen pro Region finden Sie unter Verfügbarkeit in der Region für AWS Directory Service.

Arbeiten mit Amazon EC2

Ein grundlegendes Verständnis von Amazon EC2 ist wichtig, um AWS Directory Service zu nutzen. Wir empfehlen, dass Sie zuerst die folgenden Themen lesen: