- AWS Directory Service for Microsoft Active Directory
-
También conocido como AWS Managed Microsoft AD, el AWS Directory Service para Microsoft Active Directory funciona con un directorio real de Microsoft Windows Server Active Directory (AD), administrado por AWS en la nube de AWS. Le permite migrar una amplia gama de aplicaciones compatibles con el Active Directory a la nube de AWS. AWS Managed Microsoft AD funciona con Microsoft
SharePoint, grupos de disponibilidad Always On de Microsoft SQL Server y muchas aplicaciones .NET. También es compatible con aplicaciones y servicios administrados por AWS, como Amazon WorkSpaces, Amazon WorkDocs, Amazon QuickSight, Amazon Chime, Amazon Connect y Amazon Relational Database Service para Microsoft SQL
Server (Amazon RDS para SQL Server, Amazon RDS para Oracle y Amazon RDS para PostgreSQL).
AWS Managed Microsoft AD ha sido aprobado para aplicaciones en la nube de AWS sujetas al cumplimiento de la Ley de portabilidad y responsabilidad de los seguros médicos de EE. UU. (HIPAA) o del estándar de seguridad de datos del sector de las tarjetas de pago de EE. UU. (PCI DSS) cuando se habilita el cumplimiento para su directorio.
Todas las aplicaciones compatibles funcionan con credenciales de usuario que almacena en AWS Managed Microsoft AD. También puede conectarse a su infraestructura del AD existente con una relación de confianza y utilizar las credenciales desde el Active Directory que se ejecute en las instalaciones o en Windows EC2. Si une instancias de EC2 a su AWS Managed Microsoft AD, los usuarios pueden obtener acceso a cargas de trabajo de Windows en la nube de AWS con la misma experiencia de inicio de sesión único (SSO) de Windows que cuando obtienen acceso a las cargas de trabajo en su red en las instalaciones.
El AWS Managed Microsoft AD también admite casos de uso federados utilizando credenciales del Active Directory. Por sí solo, AWS Managed Microsoft AD le permite iniciar sesión en la AWS Management Console. Con AWS IAM Identity Center, también puede obtener credenciales a corto plazo para su uso con el SDK de AWS y la CLI y utilizar las integraciones de SAML preconfiguradas para iniciar sesión en muchas aplicaciones en la nube. Al agregar Microsoft Entra Connect (antes conocido comoAzure Active Directory Connect) y, de forma opcional, Active Directory Federation Service (AD FS), puede iniciar sesión en Microsoft Office 365 y en otras aplicaciones en la nube con las credenciales almacenadas en el AWS Managed Microsoft AD.
El servicio incluye características clave que le permiten ampliar el esquema, administrar políticas de contraseñas y habilitar las comunicaciones de LDAP seguro a través de capa de conexión segura (SSL)/Transport Layer Security (TLS). También puede habilitar la autenticación multifactor (MFA) para AWS Managed Microsoft AD para proporcionar una capa de seguridad adicional cuando los usuarios obtienen acceso a aplicaciones de AWS desde Internet. Dado que el Active Directory es un directorio LDAP, también puede utilizar el AWS Managed Microsoft AD para la autenticación en Linux Secure Shell (SSH) y otras aplicaciones compatibles con el LDAP.
AWS ofrece supervisión, instantáneas diarias y recuperación como parte del servicio: usted puede agregar usuarios y grupos a AWS Managed Microsoft AD y administrar la política de grupo mediante herramientas conocidas del Active Directory que se ejecutan en un equipo Windows vinculado al dominio del AWS Managed Microsoft AD. También puede escalar el directorio mediante la implementación de controladores de dominio adicionales y ayudar a mejorar el desempeño de las aplicaciones distribuyendo solicitudes a través de un gran número de controladores de dominio.
AWS Managed Microsoft AD está disponible en dos ediciones: Standard y Enterprise.
-
Standard Edition: AWS Managed Microsoft AD (Standard Edition) está optimizado para servir como directorio principal para compañías pequeñas y medianas con hasta 5000 empleados. Le facilita suficiente capacidad de almacenamiento como para dar cabida a 30 000* objetos de directorio, como usuarios, grupos y equipos.
-
Enterprise Edition: AWS Managed Microsoft AD (Enterprise Edition) está diseñado para su uso en grandes organizaciones y compañías con hasta 500 000* objetos de directorio.
* Los límites superiores son aproximaciones. Su directorio podría admitir más o menos objetos de directorio en función del tamaño de los mismos, y el comportamiento y las necesidades de rendimiento de sus aplicaciones.
Cuándo se debe usar
El AWS Managed Microsoft AD es la mejor opción si necesita características reales del Active Directory para trabajar con aplicaciones de AWS o cargas de trabajo de Windows, incluido Amazon Relational Database Service para Microsoft SQL Server. También es la mejor opción si quiere un Active Directory independiente en la nube de AWS compatible con Office 365 o si necesita un directorio LDAP para trabajar con sus aplicaciones Linux. Para obtener más información, consulte AWS Managed Microsoft AD.
- AD Connector
-
El Conector AD es un servicio de proxy que proporciona una forma sencilla de conectar aplicaciones compatibles de AWS, como Amazon WorkSpaces, Amazon QuickSight y Amazon EC2 para instancias de Windows
Server, al Microsoft Active Directory existente en las instalaciones. Con el Conector AD, puede simplemente agregar una cuenta de servicio a su Active Directory. Conector AD también elimina la necesidad de sincronización de directorios y los costos y dificultades que conlleva alojar una infraestructura de federación.
Al agregar usuarios a las aplicaciones de AWS, como Amazon QuickSight, el Conector AD lee el Active Directory existente para crear listas de usuarios y grupos de los cuales seleccionar. Cuando los usuarios inician sesión en las aplicaciones de AWS, el Conector AD reenvía las solicitudes de inicio de sesión a los controladores de dominio del Active Directory en las instalaciones para su autenticación. Conector AD funciona con muchas aplicaciones y servicios de AWS, como Amazon WorkSpaces, Amazon WorkDocs, Amazon QuickSight, Amazon Chime, Amazon Connect y Amazon WorkMail. También puede vincular sus instancias de EC2 de Windows al dominio del Active Directory en las instalaciones mediante el Conector AD con una vinculación de dominios fluida. El Conector AD también permite a los usuarios obtener acceso a la AWS Management Console y administrar los recursos de AWS al iniciar sesión con las credenciales existentes del Active Directory. Conector AD no es compatible con RDS SQL Server.
También puede utilizar Conector AD para habilitar la autenticación multifactor (MFA) para los usuarios de las aplicaciones de AWS conectándolo con su infraestructura de MFA basada en RADIUS existente. Esto proporciona una capa adicional de seguridad cuando los usuarios obtienen acceso a las aplicaciones de AWS.
Con el Conector AD, podrá seguir administrando el Active Directory como lo hace ahora. Por ejemplo, puede agregar nuevos usuarios y grupos y actualizar contraseñas con las herramientas estándar de administración del Active Directory en el Active Directory en las instalaciones. Así, podrá aplicar políticas de seguridad que ya existan de forma coherente, como la fecha de vencimiento de la contraseña, el historial de contraseñas y los bloqueos de cuentas, tanto si los usuarios obtienen acceso a recursos en su entorno local o en la nube de AWS.
Cuándo se debe usar
Conector AD es la mejor opción si desea utilizar su directorio en las instalaciones con los servicios compatibles de AWS. Para obtener más información, consulte Conector de AD.
- Simple AD
-
Simple AD es un directorio compatible con Microsoft Active Directory de AWS Directory Service y está basado en Samba 4. Simple AD admite características del Active Directory básicas, como cuentas de usuario, pertenencias a grupos, unión a un dominio Linux o a instancias de EC2 basadas en Windows, inicio de sesión único (SSO) basado en Kerberos y políticas de grupo. AWS facilita las tareas de supervisión, instantáneas diarias y recuperación como parte del servicio.
Simple AD es un directorio independiente en la nube que permite crear y administrar identidades de usuarios y administrar el acceso a las aplicaciones. Puede utilizar muchas aplicaciones y herramientas habituales compatibles con el Active Directory que requieren las características básicas del Active Directory. Simple AD es compatible con las siguientes aplicaciones de AWS: Amazon WorkSpaces, Amazon WorkDocs, Amazon QuickSight y Amazon WorkMail. También puede iniciar sesión en la AWS Management Console con cuentas de usuario de Simple AD y administrar recursos de AWS.
Simple AD no es compatible con autenticación multifactor (MFA), relaciones de confianza, actualización dinámica de DNS, ampliaciones de esquemas, comunicación a través de LDAPS, cmdlets de PowerShell para AD ni transferencia de roles FSMO. Simple AD no es compatible con RDS SQL Server. Los clientes que necesiten las características de un Microsoft Active Directory real o que contemplen el uso de su directorio con RDS SQL Server deben utilizar el AWS Managed Microsoft AD. Compruebe que las aplicaciones que necesita sean totalmente compatibles con Samba 4 antes de usar Simple AD. Para obtener más información, visite https://www.samba.org.
Cuándo se debe usar
Puede utilizar Simple AD como un directorio independiente en la nube para las cargas de trabajo de Windows que requieran características básicas del Active Directory, aplicaciones compatibles de AWS o para las cargas de trabajo de Linux que necesiten un servicio LDAP. Para obtener más información, consulte AD sencillo.
- Amazon Cognito
-
Amazon Cognito es un directorio de usuarios que agrega inscripciones e inicios de sesión a su aplicación móvil o aplicación web utilizando grupos de usuarios de Amazon Cognito.
Cuándo se debe usar
También puede utilizar Amazon Cognito si necesita crear campos de registro personalizados y almacenar los metadatos en su directorio de usuarios. Este servicio totalmente administrado puede adaptarse para admitir cientos de millones de usuarios. Para obtener más información, consulte Grupos de usuarios de Amazon Cognito en la Guía para desarrolladores de Amazon Cognito.