¿Qué es AWS Directory Service?

También conocido como AWS Managed Microsoft AD, AWS Directory Service for Microsoft Active Directory funciona con un Microsoft Windows Server Active Directory (AD), AWS gestionado desde la AWS nube. Le permite migrar una amplia gama de Active Directory—aplicaciones compatibles con los sistemas en la AWS nube. AWS Microsoft AD administrado funciona con Microsoft SharePoint, Microsoft SQL Server Grupos de disponibilidad Always On y muchas aplicaciones.NET. También es compatible con aplicaciones y servicios AWS gestionados, como Amazon WorkSpaces WorkDocs, Amazon QuickSight, Amazon Chime, Amazon Connect y Amazon Relational Database Service para Microsoft SQL Server(Amazon RDS para SQL Server, Amazon RDS para Oracley Amazon RDS para PostgreSQL).

AWS Managed Microsoft AD está aprobado para aplicaciones en la AWS nube que están sujetas al cumplimiento de la Ley de Portabilidad y Responsabilidad de los Seguros de Salud (HIPAA) de EE. UU. o al Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) cuando habilita la conformidad para su directorio.

Todas las aplicaciones compatibles funcionan con las credenciales de usuario que usted almacena en Microsoft AD AWS administrado, o puede conectarse a su infraestructura de AD existente con una confianza y utilizar las credenciales de un Active Directory ejecutándose de forma local o en EC2 Windows. Si unes EC2 instancias a tu Microsoft AD AWS administrado, tus usuarios pueden acceder a las cargas de trabajo de Windows en la AWS nube con la misma experiencia de inicio de sesión único (SSO) de Windows que cuando acceden a las cargas de trabajo de tu red local.

AWS Microsoft AD administrado también admite casos de uso federados mediante Active Directory credenciales. Por sí solo, AWS Managed Microsoft AD le permite iniciar sesión en AWS Management Console. Con AWS IAM Identity Center, también puede obtener credenciales a corto plazo para usarlas con el AWS SDK y la CLI, y usar integraciones SAML preconfiguradas para iniciar sesión en muchas aplicaciones en la nube. Añadiendo Microsoft Entra Connect (anteriormente conocido como Azure Active Directory Connect), y opcionalmente Active Directory Servicio de federación (AD FS), en el que puede iniciar sesión Microsoft Office 365 y otras aplicaciones en la nube con credenciales almacenadas en AWS Managed Microsoft AD.

El servicio incluye características clave que le permiten ampliar el esquema, administrar políticas de contraseñas y habilitar las comunicaciones de LDAP seguro a través de capa de conexión segura (SSL)/Transport Layer Security (TLS). También puede habilitar la autenticación multifactor (MFA) para Microsoft AD AWS administrado a fin de proporcionar un nivel de seguridad adicional cuando los usuarios AWS accedan a las aplicaciones desde Internet. Porque Active Directory es un directorio LDAP, también puede usar la autenticación gestionada de AWS Microsoft AD para Linux Secure Shell (SSH) y para otras aplicaciones habilitadas para LDAP.

AWS proporciona supervisión, instantáneas diarias y recuperación como parte del servicio: se agregan usuarios y grupos a AWS Microsoft AD administrado y se administra la política de grupo con la ayuda de un familiar Active Directory herramientas que se ejecutan en un Windows equipo unido al dominio AWS administrado de Microsoft AD. También puede escalar el directorio mediante la implementación de controladores de dominio adicionales y ayudar a mejorar el desempeño de las aplicaciones distribuyendo solicitudes a través de un gran número de controladores de dominio.

AWS Managed Microsoft AD está disponible en dos ediciones: Standard y Enterprise.

* Los límites superiores son aproximaciones. Su directorio podría admitir más o menos objetos de directorio en función del tamaño de los mismos, y el comportamiento y las necesidades de rendimiento de sus aplicaciones.

Cuándo se debe usar

AWS Managed Microsoft AD es su mejor opción si necesita información real Active Directory funciones de soporte para AWS aplicaciones o Windows cargas de trabajo, incluido Amazon Relational Database Service para Microsoft SQL Server. También es mejor si quieres una versión independiente Active Directory en la AWS nube compatible con Office 365 o si necesitas un directorio LDAP que dé soporte a tus aplicaciones Linux. Para obtener más información, consulte AWS Managed Microsoft AD.

AD Connector es un servicio de proxy que proporciona una forma sencilla de conectar AWS aplicaciones compatibles, como Amazon WorkSpaces QuickSight, Amazon y Amazon EC2 para Windows Server instancias, a sus instalaciones locales existentes Microsoft Active Directory. Con AD Connector, solo tiene que añadir una cuenta de servicio a su Active Directory. AD Connector también elimina la necesidad de sincronización de directorios o el coste y la complejidad de alojar una infraestructura de federación.

Al añadir usuarios a AWS aplicaciones como Amazon QuickSight, AD Connector lee los que ya tienes Active Directory para crear listas de usuarios y grupos entre los que elegir. Cuando los usuarios inician sesión en las AWS aplicaciones, AD Connector reenvía las solicitudes de inicio de sesión a su entorno local Active Directory controladores de dominio para la autenticación. AD Connector funciona con muchas AWS aplicaciones y servicios WorkSpaces, como Amazon WorkDocs, Amazon QuickSight, Amazon, Amazon Chime, Amazon Connect y Amazon. WorkMail También puedes unirte a tu EC2 Windows instancias a sus instalaciones Active Directory dominio a través de AD Connector mediante una unión de dominios perfecta. AD Connector también permite a sus usuarios acceder a los AWS recursos AWS Management Console y administrarlos iniciando sesión con sus recursos existentes. Active Directory credenciales. Conector AD no es compatible con RDS SQL Server.

También puede usar AD Connector para habilitar la autenticación multifactor (MFA) para los usuarios de AWS su aplicación conectándola a su infraestructura de MFA existente basada en RADIUS. Esto proporciona una capa adicional de seguridad cuando los usuarios obtienen acceso a las aplicaciones de AWS .

Con AD Connector, puede seguir gestionando sus Active Directory como lo haces ahora. Por ejemplo, se añaden nuevos usuarios y grupos y se actualizan las contraseñas de forma estándar Active Directory herramientas de administración en sus instalaciones Active Directory . Esto le ayuda a aplicar de forma coherente sus políticas de seguridad, como la caducidad de las contraseñas, el historial de contraseñas y los bloqueos de cuentas, independientemente de si los usuarios acceden a los recursos de forma local o en la AWS nube.

Cuándo se debe usar

AD Connector es la mejor opción si desea utilizar su directorio local existente con AWS servicios compatibles. Para obtener más información, consulte Conector de AD.

Simple AD es un Microsoft Active Directory— directorio compatible AWS Directory Service que funciona con Samba 4. Simple AD admite lo básico Active Directory funciones como cuentas de usuario, pertenencia a grupos, unirse a un dominio de Linux o Windows EC2 instancias basadas, SSO basado en Kerberos y políticas de grupo. AWS proporciona supervisión, instantáneas diarias y recuperación como parte del servicio.

Simple AD es un directorio independiente en la nube que permite crear y administrar identidades de usuarios y administrar el acceso a las aplicaciones. Puede utilizar muchas conocidas Active Directory: aplicaciones y herramientas compatibles que requieren lo básico Active Directory características. Simple AD es compatible con las siguientes AWS aplicaciones: Amazon WorkSpaces WorkDocs, Amazon QuickSight, Amazon y Amazon WorkMail. También puede iniciar sesión en las cuentas AWS Management Console de usuario de Simple AD y administrar AWS los recursos.

Simple AD no admite la autenticación multifactorial (MFA), las relaciones de confianza, la actualización dinámica de DNS, las extensiones de esquema, la comunicación a través de LDAPS PowerShell , los cmdlets de AD ni la transferencia de funciones FSMO. Simple AD no es compatible con RDS SQL Server. Clientes que requieren las funciones de un dispositivo real Microsoft Active Directory, o quienes tengan previsto usar su directorio con RDS SQL Server deberían usar AWS Microsoft AD administrado en su lugar. Compruebe que las aplicaciones que necesita sean totalmente compatibles con Samba 4 antes de usar Simple AD. Para obtener más información, visite https://www.samba.org.

Cuándo se debe usar

Puede usar Simple AD como un directorio independiente en la nube para dar soporte Windows cargas de trabajo que necesitan lo básico Active Directory funciones, AWS aplicaciones compatibles o para admitir cargas de trabajo de Linux que necesitan el servicio LDAP. Para obtener más información, consulte AD sencillo.